年底總是會(huì)讓我們團(tuán)隊(duì)有些興奮,因?yàn)槲覀冃枰仡欉@一年,分析我們?nèi)甑墓ぷ髑闆r,并展望未來一年的發(fā)展。在充分利用我們團(tuán)隊(duì)在數(shù)據(jù)和應(yīng)用程序安全方面的專業(yè)知識(shí)和挖掘全球客戶群的洞察力的基礎(chǔ)上,我們決定采用不同的方法,重點(diǎn)關(guān)注我們認(rèn)為2019年將成為焦點(diǎn)的三個(gè)最重要趨勢(shì)。
2018年,數(shù)據(jù)和應(yīng)用安全事件出現(xiàn)激增,正如我們預(yù)測(cè)的那樣,數(shù)據(jù)泄露的規(guī)模和頻率都在增長(zhǎng),云安全在全球范圍內(nèi)占據(jù)了中心位置。就這一點(diǎn),我們來看看明年的情況。
數(shù)據(jù)泄露事件不會(huì)很快消失
數(shù)據(jù)泄露肯定還會(huì)出現(xiàn),這將導(dǎo)致監(jiān)管變嚴(yán)。事實(shí)上,2018年美國(guó)數(shù)據(jù)泄露事件的平均成本超過700萬美元。
無論是GDPR,澳大利亞隱私法,泰國(guó)的新隱私法還是土耳其的KVKK;無論你身在何處,法規(guī)將會(huì)成為一種標(biāo)準(zhǔn),這種標(biāo)準(zhǔn)可能是地區(qū)性的,集團(tuán)內(nèi)的或是某個(gè)國(guó)家內(nèi)的。
以前,當(dāng)我們看數(shù)據(jù)泄露事件,總是以美國(guó)為指向,但隨著監(jiān)管框架和隨后的合規(guī)措施在全球范圍內(nèi)擴(kuò)展,情況將發(fā)生改變。
2019年,隨著我們向前發(fā)展,相關(guān)規(guī)章將會(huì)在全球相繼出臺(tái),而不只是在美國(guó)。
如果黑客要竊取私人數(shù)據(jù)或信用卡詳細(xì)信息,為什么要在部署了世界級(jí)網(wǎng)絡(luò)安全措施的環(huán)境中進(jìn)行呢?如果其他人的保護(hù)程度更低,那黑客就會(huì)找到有目標(biāo)數(shù)據(jù)的人群,這樣的情況更多是出現(xiàn)在法規(guī)和合規(guī)操作不到位的地方。
因此,2019年,監(jiān)管機(jī)構(gòu)不一定會(huì)通過對(duì)公司進(jìn)行大規(guī)模罰款來約束其操作。但是,你會(huì)發(fā)現(xiàn)很多公司在合規(guī)方面已開展了大量工作。
在管理風(fēng)險(xiǎn)方面,您要了解云計(jì)算
麥肯錫報(bào)告指出,到2020年,企業(yè)在云產(chǎn)品上的投入將是一般性IT服務(wù)的六倍以上;LogicMonitor的調(diào)查則表明,高達(dá)83%的企業(yè)工作負(fù)載將在同一時(shí)間上載到云端。
各企業(yè)會(huì)繼續(xù)利用數(shù)字經(jīng)濟(jì)帶來的商業(yè)利益,結(jié)果就是將更多數(shù)據(jù)整合到云中。現(xiàn)在,我們并不是說這種操作缺乏深思熟慮,問題在于他們是否會(huì)對(duì)數(shù)據(jù)進(jìn)行分類,并逐漸將業(yè)務(wù)放到云端呢?
各團(tuán)隊(duì)需要認(rèn)識(shí)幾個(gè)問題:當(dāng)他們將數(shù)據(jù)轉(zhuǎn)移到云端時(shí),他們對(duì)云端內(nèi)容的認(rèn)識(shí)也在發(fā)生改變;誰(shuí)在使用云?什么時(shí)候使用云?以及他們?yōu)槭裁匆褂迷疲?019年不是企業(yè)認(rèn)為他們需要這樣做的一年。然而,我們將看到越來越多的云友好型解決方案進(jìn)入市場(chǎng)以解決這些挑戰(zhàn)。
社會(huì)工程和人工智能的興起
2019年最關(guān)鍵的發(fā)展之一將是網(wǎng)絡(luò)安全行業(yè)如何解決安全團(tuán)隊(duì)日益增加的壓力。根據(jù)全球信息安全勞動(dòng)力研究,到2022年,網(wǎng)絡(luò)安全專業(yè)人員的短缺將達(dá)到180萬,但與此同時(shí),ESG的一份報(bào)告顯示,只有9%的千禧一代對(duì)網(wǎng)絡(luò)安全職業(yè)感興趣。
我們將看到,人工智能和網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的機(jī)器學(xué)習(xí)縮小數(shù)量和技能多樣性的差距。
現(xiàn)在的企業(yè)需要雇傭?qū)I(yè)人員來解決網(wǎng)絡(luò)安全問題,包括網(wǎng)絡(luò)安全,應(yīng)用安全,數(shù)據(jù)安全,郵件安全,現(xiàn)在還要加上云安全。無論是什么安全,這些技能對(duì)于任何企業(yè)的安全姿態(tài)都至關(guān)重要。
并沒有很多人了解云安全性,數(shù)據(jù)庫(kù)安全性,應(yīng)用程序安全性,數(shù)據(jù)安全性或文件安全性。我們知道企業(yè)正在嘗試解決這個(gè)問題,通常都是走老路,這也是最常見的解決方案。做更多的反惡意軟件,做更多的反病毒軟件,收效有限。不過,他們也開始圍繞人工智能做些事情,并試圖利用技術(shù)來解決問題。后者將促成企業(yè)轉(zhuǎn)而使用訂閱服務(wù)。
有兩個(gè)因素在這種轉(zhuǎn)變中起推動(dòng)作用:第一,事實(shí)上,他們意識(shí)到自己不是專家,但可以請(qǐng)專家。不幸的是,他們只是不直接接受雇請(qǐng),專家們?yōu)槟切┨峁┻@項(xiàng)服務(wù)的公司工作。
其次,企業(yè)正逐漸認(rèn)識(shí)到進(jìn)入云計(jì)算的優(yōu)勢(shì),因?yàn)檫@是一個(gè)決定性的因素,它屬于運(yùn)營(yíng)開支,而不是資本支出。訂閱服務(wù)也是如此,無論是在云端還是在本地,都沒關(guān)系。在技能短缺和成本的驅(qū)動(dòng)下,2019年的訂購(gòu)服務(wù)將會(huì)出現(xiàn)增長(zhǎng),各組織實(shí)際上正在為你解決網(wǎng)絡(luò)安全問題。
但是,我們應(yīng)該補(bǔ)充一點(diǎn),隨著越來越多的組織轉(zhuǎn)向人工智能和基于機(jī)器學(xué)習(xí)的安全控制決策,攻擊者將試圖利用這一點(diǎn)攻克相應(yīng)的防御。
特別提到:網(wǎng)絡(luò)戰(zhàn)的“滴漏效應(yīng)”
事實(shí)是,國(guó)家之間的網(wǎng)絡(luò)攻擊確實(shí)出現(xiàn)了,這是一種互相遷就的情況。這也是我們生活的世界,是可接受的行為類型,坦率地說,這些在現(xiàn)今社會(huì)不一定會(huì)導(dǎo)致戰(zhàn)爭(zhēng),但有人仍然會(huì)從中獲益。
具體而言,他們正在攻擊第三方公司,承包商和金融機(jī)構(gòu)。這也是網(wǎng)絡(luò)安全如此重要的原因,你要意識(shí)到有人可能會(huì)竊取您的數(shù)據(jù)以獲取金錢收益。也許有人會(huì)竊取您的數(shù)據(jù)以獲取政治利益,所以保護(hù)這些數(shù)據(jù)是很重要的事情。
雖然國(guó)家型黑客攻擊不一定是開戰(zhàn)宣言,但其影響也不可小覷。民族國(guó)家黑客行為帶來的滴漏效應(yīng)特別令人擔(dān)憂,因?yàn)楦黝愓罱K會(huì)栽到資源豐富的網(wǎng)絡(luò)犯罪分子手中,這些網(wǎng)絡(luò)犯罪分子熱衷于攻擊企業(yè)和個(gè)人。
慣犯
在2017年Equifax數(shù)據(jù)泄露之后,API的安全性就躋身OWASP十大排行榜,并且仍有充分的理由蟬聯(lián)。隨著API的廣泛使用和面對(duì)檢測(cè)攻擊的不斷挑戰(zhàn),我們將看到攻擊者繼續(xù)將API作為一系列威脅的重要目標(biāo),包括暴力攻擊,App模擬,網(wǎng)絡(luò)釣魚和代碼注入。
非法挖加密幣的人已經(jīng)知道加密挖掘是獲取利潤(rùn)的最短途徑,他們會(huì)繼續(xù)改進(jìn)技術(shù)破壞別人的機(jī)器,希望通過挖加密幣和可以訪問控制加密錢包的機(jī)器發(fā)財(cái)致富。
省力,輕松賺錢,完全匿名,可能對(duì)受害者造成巨大傷害......當(dāng)談到勒索軟件時(shí),你不喜歡它的哪一點(diǎn)?不過這類型的攻擊不太可能消失。
結(jié)論
如果一定要給2019年一個(gè)主題,那就是威脅情報(bào)的概念,就是對(duì)存在的危險(xiǎn)有所了解并做一些事情,總比置之不理要好。
我們經(jīng)常談?wù)擄L(fēng)險(xiǎn)與可接受風(fēng)險(xiǎn)(或合理風(fēng)險(xiǎn))之間的差異,許多公司試圖解決自己所能遇到的每一個(gè)問題,最終不僅讓團(tuán)隊(duì)感到不堪重負(fù),還出現(xiàn)預(yù)算不足。
可接受的風(fēng)險(xiǎn)不是“因?yàn)槲覜]有有效阻止,所以導(dǎo)致數(shù)據(jù)泄露”??山邮艿娘L(fēng)險(xiǎn)是“我知道它發(fā)生了,我接受它發(fā)生了,但它是一個(gè)合理概率的事件,因?yàn)槲业目刂撇皇悄敲淳唧w,還沒有精細(xì)到可以解決所有風(fēng)險(xiǎn),但我的管控使我可以承受風(fēng)險(xiǎn)?!?/p>
所以,最好是從今天開始,從你的規(guī)模和相關(guān)性開始做改進(jìn),即便這種努力把高風(fēng)險(xiǎn)降到中等程度的風(fēng)險(xiǎn),或是合理可接受的風(fēng)險(xiǎn)程度。
-
數(shù)據(jù)
+關(guān)注
關(guān)注
8文章
7030瀏覽量
89038 -
云計(jì)算
+關(guān)注
關(guān)注
39文章
7808瀏覽量
137412 -
AI
+關(guān)注
關(guān)注
87文章
30896瀏覽量
269107
原文標(biāo)題:2019網(wǎng)絡(luò)安全展望:更多數(shù)據(jù)泄露,相關(guān)法規(guī)出臺(tái)以及AI崛起
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論