2019 年是過去十年最糟糕的一年，也可能會是未來十年最好的一年。

天下武功，無堅不摧，唯快不破。對于網(wǎng)絡(luò)安全而言，最安全的選擇就是快，不但要比同行跑得快，還要比熊跑得快。這里說的快，不僅僅是對威脅的響應(yīng)速度快，更重要的是安全能力的發(fā)展速度要超過威脅增長速度，在高速變化的威脅態(tài)勢中，僅僅依靠對漏洞縫縫補補，或針對隔夜的威脅設(shè)計一個刻舟求劍的安全方案已經(jīng)遠遠不夠了。未來十年最好的一年即將翻篇，隨之而來的是新的威脅和趨勢，以下安全牛匯總了 2020 年對網(wǎng)絡(luò)安全的十大預(yù)測，助您第一個嗅到春天的氣息：

1

勒索軟件變本加厲

睡眠質(zhì)量糟糕已經(jīng)成了全球性的頭號健康問題，但是對于企業(yè) IT 部門來說，勒索軟件就是個那個讓你不敢入眠的噩夢。

勒索軟件正變得越來越復(fù)雜。

甚至能夠穿透最先進的電子郵件安全解決方案。

將帶來更多破壞性后果。

據(jù)英國一家技術(shù)服務(wù)集團發(fā)布的消息，2018 年全球 41% 的企業(yè)遭受過勒索軟件的攻擊，該類攻擊占企業(yè)攻擊的四分之一，有 37% 的企業(yè)受害者都選擇支付了贖款。一些中國企業(yè)已經(jīng)成為勒索軟件的受害者。

2019 年，勒索軟件攻擊不但會更 “滑頭”，而且會更頻繁。

如今，隨著復(fù)雜度和自動化程度的不斷提高，一些勒索軟件攻擊（例如木馬變體）已經(jīng)可以通滲透到最復(fù)雜的電子郵件安全解決方案中。更致命的是，當(dāng)前的電子郵件安全解決方案在勒索軟件攻擊發(fā)生數(shù)小時后才能察覺，這給攻擊留下了足夠大的時間窗口。

Emotet 就是一個典型的例子。這款勒索軟件界的當(dāng)紅炸子雞如此成功的原因之一是：能夠利用特定的目標候選列表，導(dǎo)致安全系統(tǒng)需要花費更多時間來檢測它。而且 Emotet 的攻擊能夠不斷改變 IOC，即使最聰明的簽名系統(tǒng)、IDS 和其他傳統(tǒng)安全解決方案也無法足夠快地檢測到它。

如我們所見，勒索軟件攻擊大約每隔一周就會發(fā)生一次。攻擊者不斷開發(fā)出新的樣本庫，其中包含新的混淆和規(guī)避技術(shù)，而安全廠商則疲于追趕，很難跟上新的攻擊樣本庫的節(jié)奏。

2

數(shù)據(jù)泄露第一元兇：網(wǎng)絡(luò)釣魚攻擊

一年前，通常認為惡意軟件是企業(yè)面臨的最大威脅。隨著我們臨近 2020 年，網(wǎng)絡(luò)釣魚攻擊成為主要問題。

根據(jù) Verizon 2019 DBIR 數(shù)據(jù)泄露報告的觀點，網(wǎng)絡(luò)釣魚是造成數(shù)據(jù)泄露的第一大原因。

如今，企業(yè)提升電子郵件安全性的最大需求就是防范網(wǎng)絡(luò)釣魚攻擊。然而，過去幾年中，網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜，即使是最專業(yè)的專業(yè)人員也無法檢測到所有攻擊。暗網(wǎng)上提供五花八門的網(wǎng)絡(luò)釣魚工具包以及用以實施針對性攻擊的賬號列表，網(wǎng)絡(luò)釣魚攻擊的數(shù)量和復(fù)雜性可謂每日劇增。

此外，網(wǎng)絡(luò)釣魚攻擊的后果變得更加嚴重。數(shù)據(jù)泄露，財務(wù)欺詐和網(wǎng)絡(luò)釣魚攻擊的其他后果可能對各種規(guī)模的組織造成可怕的后果。今年早些時候聯(lián)邦調(diào)查局發(fā)布的《互聯(lián)網(wǎng)犯罪報告》發(fā)現(xiàn)，BEC（商業(yè)電子郵件攻擊）在 2018 年共計造成了 13 億美元的損失——這一數(shù)字遠超于五年前的 6000 萬美元。另一項調(diào)查則顯示 2018 年大約 35% 的 CEO 和 CFO 受到過鯨釣攻擊。

可以說，檢測和阻止網(wǎng)絡(luò)釣魚攻擊，尤其是通過電子郵件發(fā)起的釣魚/釣鯨攻擊，將是2019年企業(yè)安全的最大剛需之一。

3

縮短反射弧，提高威脅感知速度

數(shù)據(jù)驅(qū)動的安全解決方案要花費數(shù)小時才能檢測到前所未有的威脅。

這也是攻擊的最危險時段。

組織對這種等待時間的容忍度將越來越低。

從惡意攻擊發(fā)起到被檢測到之前的這段時間，是攻擊造成最大破壞性的窗口時段。目前即使是最復(fù)雜的安全解決方案，通常也要花費幾個小時（甚至更長的時間）才能檢測到新的、前所未有的攻擊，因此對企業(yè)來說，攻擊發(fā)起的最初幾個小時內(nèi)的風(fēng)險極大。

如何大幅縮短企業(yè)安全系統(tǒng)的 “反射弧”，提高對未知威脅的感知速度，將是 2020 年企業(yè)和安全業(yè)界面臨的關(guān)鍵挑戰(zhàn)。

4

企業(yè)網(wǎng)絡(luò)協(xié)作平臺和移動端成為攻擊對象

越來越多的攻擊者將嘗試利用網(wǎng)盤、即時通訊和企業(yè)協(xié)作平臺。

因為用戶往往會不假思索地信任企業(yè)協(xié)作平臺，攻擊者將充分利用這一點。

BYOD 風(fēng)險加大，APT 攻擊開始熱衷移動端。

隨著企業(yè)數(shù)字化轉(zhuǎn)型、敏捷組織和去中心化組織的流行，企業(yè)協(xié)作服務(wù)市場呈爆炸式增長。用戶越來越多地使用釘釘、Slack、微軟 OneDrive 等工具進行協(xié)作。雖然這些工具對于提高生產(chǎn)率效果顯著，但對企業(yè)安全專業(yè)人員則意味著嚴峻挑戰(zhàn)。

企業(yè)協(xié)作服務(wù)將受到不斷的攻擊，頻率、復(fù)雜性和隱秘性也將不斷提高，可能造成的風(fēng)險和潛在損失也將不斷增加。

此外，移動端植入如今已成為很多 APT 團伙的基本操作，移動端的零日漏洞價格也是水漲船高，行情一路看漲。今年 9 月份，零日漏洞交易服務(wù)商 Zerodium 發(fā)布的數(shù)據(jù)顯示，Android 零日漏洞的價格首次超過了 iOS。該公司目前給 “零點擊”（無需被攻擊者進行任何手機操作）Android 零日漏洞開出的價格高達 250 萬美元，遠遠超過了此前 iOS 越獄漏洞創(chuàng)下的 200 萬美元的最高收購價格。

5

BAS亟待實現(xiàn)攻擊面的全覆蓋

根據(jù) Gartner 的說法，大多數(shù)威脅仍然始于電子郵件渠道。

電子郵件傳遞涉及 94％ 的惡意軟件檢測，2018 年造成的損失超過12億美元。

突破和攻擊模擬 (BAS) 工具通過模擬網(wǎng)絡(luò)攻擊來測試網(wǎng)絡(luò)的防御能力，但電子郵件的 BAS 尚未成為主流。

客戶希望 BAS 供應(yīng)商將其解決方案擴展到整個攻擊面，提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介，BAS 供應(yīng)商們很可能優(yōu)先將電子郵件作為其 BAS 解決方案的一部分進行覆蓋。

6

CMMC風(fēng)頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認證

美國國防部即將于 2020 年 1 月份發(fā)布的 CMMC（安全成熟度模型認證）被不少業(yè)界人士看好，有望成為風(fēng)頭蓋過 ISO27001、SOC2 等老牌安全認證的熱門認證。CMMC 最初的合規(guī)對象是美國 20 萬家國防工業(yè)企業(yè)，包括波音、雷神這樣的行業(yè)巨頭，并覆蓋整個供應(yīng)鏈上的大大小小的 IT 供應(yīng)商和子承包商。簡單來說，CMMC 就是美國國防部用來對 NIST800-171 和規(guī)范圍內(nèi)企業(yè)進行第三方獨立審計的一套方法。

CMMC 采取以數(shù)據(jù)為中心的安全評估方法，重點放在 CUI 在系統(tǒng)、應(yīng)用程序或服務(wù)的整個生命周期中的存儲，傳輸和處理。這超越了 ISO 27001，SOC 2 或 HITRUST 面向流程的評估方法，這些方法評估的是現(xiàn)有的內(nèi)部風(fēng)險管控機制，而 CMMC 的成熟度標準覆蓋了敏感數(shù)據(jù)生命周期、技術(shù)基礎(chǔ)架構(gòu)乃至整個供應(yīng)鏈的人員、流程和技術(shù)。

如果你對 CMMC 的了解還不多，那么需要抓緊時間了，因為 CMMC 很有可能成為成為全球企業(yè)信息安全認證的下一個 “黃金標準”。

7

物聯(lián)網(wǎng)安全法蓄勢待發(fā)

由于在技術(shù)標準的生命周期早期沒有充分考慮信息安全問題，以及產(chǎn)品技術(shù)和產(chǎn)業(yè)的高度碎片化，物聯(lián)網(wǎng) IoT 安全問題顯得尤為棘手。

2020 年 1 月，全球首部物聯(lián)網(wǎng)安全法將在美國加利福尼亞州啟動實施。對于全球物聯(lián)網(wǎng)產(chǎn)業(yè)和監(jiān)管部門來說，加州物聯(lián)網(wǎng)安全法贏得了極大的關(guān)注度，但遺憾的是，該法律尚未實施就已經(jīng)暴露出不少潛在問題。例如，加州物聯(lián)網(wǎng)安全法依據(jù)的 CIS 20 并非專門針對物聯(lián)網(wǎng)設(shè)備，導(dǎo)致對物聯(lián)網(wǎng)設(shè)備范圍定義模糊，而且違規(guī)認定和處罰方面的條款都非常模糊，企業(yè)合規(guī)困難。

但即便問題纏身，面對迫在眉睫的物聯(lián)網(wǎng) “安全原罪”，2020 年將有越來越多的國家開始擬訂或發(fā)布類似法規(guī)。此外，諸如歐盟《通用數(shù)據(jù)保護法規(guī)》和《加利福尼亞消費者隱私法》也強調(diào)了 IoT 設(shè)備中隱私和安全性的重要性。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加和更多政府法規(guī)的出臺，數(shù)據(jù)隱私和安全性成為推動物聯(lián)網(wǎng)解決方案發(fā)展的重中之重。

8

GDPR罰款機開始大規(guī)?！笆崭罹虏恕?/span>

就數(shù)據(jù)泄露的嚴重性而言，根據(jù) RBS 的 2019 數(shù)據(jù)泄露年中報告，2019 年是過去十年最糟糕的一年，也會是未來十年最好的一年。2019 年上半年數(shù)據(jù)泄露事件同比暴增 54%，半年間累計發(fā)生 3800 起數(shù)據(jù)泄露事件，超過 40 億條消費者個人和財務(wù)數(shù)據(jù)被暴露。

GDPR 這臺巨型聯(lián)合罰款機，剛剛完成熱車，它會有多殘暴？誰會被收割？2019 年 Facebook 面臨的 20 億美元罰單，英國航空（2.3億美元）、萬豪國際和 Uber 的整改和罰款，都只是牛刀小試，但也足以讓大量非歐盟跨國企業(yè)們虎軀一震。對于擁有海外業(yè)務(wù)的企業(yè)安全專業(yè)人士和管理人員來說，如果不能盡快從 2019 已經(jīng)發(fā)生的大大小小的GDPR合規(guī)案例中汲取經(jīng)驗，那么 2020 年將會是腥風(fēng)血雨的一年。

以英國航空（官網(wǎng)的第三方供應(yīng)商腳本被改裝成信用卡盜卡器）和 Uber 為例，英國航空現(xiàn)在面臨的整改包括：實施定期安全審查，代碼分析和惡意軟件檢測技術(shù)和審查，并加密敏感數(shù)據(jù)。此外，英國航空還必須在整個數(shù)據(jù)收集過程中增加額外的控制，從表單到付款提交，包括第三方合作伙伴，以及更積極地監(jiān)控和響應(yīng)外部威脅環(huán)境。

Uber 的整改工作包括但不限于：強制實踐包括用于訪問 AWS S3 服務(wù)器的 IP 過濾系統(tǒng)，要求工程師使用 2FA 連接到 GitHub，而不是以純文本格式存儲這些憑據(jù)。

9

工控安全：OT安全需求大增

OT（運營技術(shù)）的網(wǎng)絡(luò)安全已經(jīng)變得越來越重要，這在一定程度上要 “歸功于” 安全儀表系統(tǒng)已成為攻擊目標?；裟犴f爾的 Mirel Sehic 預(yù)計，隨著越來越多的 OT 環(huán)境采用數(shù)字化技術(shù)，這一趨勢將在 2020 年加速。

OT 市場目前還處于早期階段，從安全角度來看，OT 正處于 10 年前 IT 的發(fā)展階段。十年前，為 IT 環(huán)境尋找匹配的網(wǎng)絡(luò)安全標準非常困難。網(wǎng)絡(luò)專業(yè)人員可以查找 NIST 指南，但是針對各種特定工業(yè)環(huán)境的垂直指南卻少得可憐。

這導(dǎo)致以 OT 為中心的組織（例如西門子的 Charter of Trust 和非營利的 MITER Engenuity 威脅情報防御中心）開始 “吃香”。2020 年將有更多工控企業(yè)以 OT 網(wǎng)絡(luò)標準為重點。

事實上，OT 比 IT 安全更難。因為現(xiàn)實中，隨著操作系統(tǒng)的整合，各種臺式機、筆記本電腦和服務(wù)器沒有太大不同，但是 Rockwell PLC 和 Honeywell 制造系統(tǒng)之間的差異卻是巨大的。

值得欣慰的是，以 OT 為中心的安全標準（例如 ISA / IEC 62443 和歐洲網(wǎng)絡(luò)指令）以及來自 NIST，NERC，SANS 和 CIS 的框架正在增多。2020 年，更多采用這些框架和標準能夠降低網(wǎng)絡(luò)風(fēng)險，但同時也增加工控網(wǎng)絡(luò)的安全成本和復(fù)雜性。考慮到目前 OT 安全標準和框架尚處于驗證階段，企業(yè)往往會評估采用多個框架，從而進一步增加成本和復(fù)雜性。

10

安全咨詢和可管理安全（托管）服務(wù)市場激增

近年來，越來越多的公司放棄了完全自主的安全管理。根據(jù)肯尼斯研究 (Kenneth Research) 的研究報告，可管理安全服務(wù)是安全市場中增速較高的領(lǐng)域，每年增速達到 15％。

報告認為 2020 年可管理安全服務(wù)市場的增長將提速。很多數(shù)字化轉(zhuǎn)型中的企業(yè)很難找到足夠的安全人才應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全問題，這促使他們將目光投向可管理安全服務(wù)。

報告還預(yù)計，隨著企業(yè)對技術(shù)的依賴性加強，安全咨詢業(yè)務(wù)的需求也將快速增長。公司尋求可以幫助他們解決問題并滿足公司需求的安全服務(wù)，安全咨詢服務(wù)交付的主要方式包括合作伙伴關(guān)系、外包、SaaS 解決方案和常規(guī)服務(wù)等。

但是，網(wǎng)絡(luò)安全市場的復(fù)雜性使一些公司不愿將所有的安全任務(wù)都外包出去，市場上的一個變化趨勢是，大公司愿意引入可管理安全服務(wù)提供商解決難點和痛點，但并不會全部外包，自主和外包的混合模式將成為主流。

Verizon 2019 DBIR數(shù)據(jù)泄露報告：

https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report-emea.pdf

RBS 2019 數(shù)據(jù)泄露年中報告：

https://pages.riskbasedsecurity.com/2019-midyear-data-breach-quickview-report

文章來源于公眾號安全牛