信息化觀察網(wǎng)

整個(gè)技術(shù)產(chǎn)業(yè)都是動(dòng)態(tài)的，不停在變化，新技術(shù)新方法如浪潮般不斷涌現(xiàn)。只要身處IT安全領(lǐng)域，必然會(huì)被惡意黑客的技術(shù)推動(dòng)著趕上這些潮流。也就是說，業(yè)內(nèi)總會(huì)出現(xiàn)新東西，也總有些技術(shù)和工具會(huì)落伍。

那么，接下來的一年，安全人員眼中的技術(shù)趨勢(shì)都有哪些呢？又有哪些曾經(jīng)熱門的話題會(huì)漸漸淡出人們的視線呢？

勒索軟件（熱門1）：去年，WannaCry和NotPetya很是在媒體上霸屏了一段時(shí)間，很多專家都認(rèn)為公司企業(yè)已經(jīng)將勒索軟件防御提到了公司重要事項(xiàng)前列。助燃勒索軟件威脅風(fēng)潮的一大因素，就是勒索軟件即服務(wù)的興起，也就是攻擊者可以將定制勒索軟件開發(fā)工作“外包”給愿意提供新型勒索軟件并共享贖金回報(bào)的黑客。接下來的一年，我們會(huì)看到更多非技術(shù)型黑客讓勒索軟件開發(fā)者在勒索活動(dòng)中摻一腳，然后以共享非法所得的形式作為報(bào)酬，這樣就無需任何技術(shù)或啟動(dòng)資金也能發(fā)起惡意攻擊了。

勒索軟件大爆發(fā)的另一個(gè)驅(qū)動(dòng)因素是加密貨幣。對(duì)勒索軟件而言，以政府發(fā)行的貨幣支付贖金是完全不可取的，這太容易被追蹤了。但是，如果要求以加密貨幣支付贖金，這種貨幣自帶的匿名性就大大提高了捐款而逃的可能性。

區(qū)塊鏈（熱門2）：加密貨幣不過是區(qū)塊鏈技術(shù)的一種應(yīng)用，還有很多工作要利用該技術(shù)來提高交易的安全性。應(yīng)用到身份領(lǐng)域就是區(qū)塊鏈一個(gè)相當(dāng)有趣的現(xiàn)實(shí)世界應(yīng)用案例。身份區(qū)塊鏈引人注目的一個(gè)基本要素，就是用戶與合作伙伴之間的交易無需中央“存儲(chǔ)”（或者說銀行）來作為中間人。事實(shí)上，甚至連合作伙伴是誰都不需要知道——只需要合作伙伴是經(jīng)驗(yàn)證的區(qū)塊鏈參與者即可。信任是商業(yè)的基礎(chǔ)，而信任恰恰是區(qū)塊鏈的特長(zhǎng)。

VPN（漸冷1）：與外部合作伙伴建立可信連接變得越來越重要。需遠(yuǎn)程訪問公司網(wǎng)絡(luò)的供應(yīng)商越來越多，很多情況下甚至是本公司員工數(shù)量的10倍。于是，這么多特權(quán)訪問會(huì)話的管理、監(jiān)視和保護(hù)工作就成為了熱點(diǎn)敏感問題。

但是，保護(hù)該外部訪問的一種傳統(tǒng)方式——VPN連接，卻開始走向沒落。雖然VPN很好用，但這種技術(shù)原本只是為同個(gè)網(wǎng)絡(luò)中兩個(gè)內(nèi)部終端之間創(chuàng)建連接而開發(fā)的，并不是給外部承包商或第三方供應(yīng)商創(chuàng)建外部通道用的。因?yàn)榕渲脧?fù)雜性和對(duì)訪問控制列表（ACL）及良好網(wǎng)絡(luò)分隔的依賴，VPN驅(qū)動(dòng)的外部到內(nèi)部訪問的最終結(jié)果，往往就是“全權(quán)或無權(quán)”訪問。只要能訪問公司系統(tǒng)的第三方被黑，攻擊者就能以該第三方供應(yīng)商作為支點(diǎn)，獲得公司網(wǎng)絡(luò)的無限制訪問權(quán)。

過去幾年里，公司企業(yè)一直在尋找可以實(shí)施細(xì)粒度訪問控制的解決方案：能在正確的時(shí)間點(diǎn)為正確的人員分配恰當(dāng)?shù)臋?quán)限，同時(shí)對(duì)所有遠(yuǎn)程支持活動(dòng)進(jìn)行監(jiān)視，留有日志記錄。

欺騙（熱門3）：為對(duì)抗網(wǎng)絡(luò)攻擊，很多安全人員想采取積極手段迷惑對(duì)手，僅僅識(shí)別哪些系統(tǒng)可能被黑已經(jīng)滿足不了企業(yè)的當(dāng)前需求，事件響應(yīng)團(tuán)隊(duì)一直在尋求更為主動(dòng)地對(duì)抗已存在惡意威脅的方法，比如說，公司企業(yè)可能會(huì)針對(duì)特定惡意軟件家族為自家系統(tǒng)進(jìn)行“預(yù)防接種”，讓惡意軟件誤以為自身已經(jīng)在系統(tǒng)中而不執(zhí)行感染操作。

在公司企業(yè)疲于應(yīng)付各種網(wǎng)絡(luò)威脅的時(shí)候，在安全策略中加入欺騙操作的趨勢(shì)正在興起。各種模擬器正在學(xué)習(xí)如何將攻擊者引誘至“虛假”的ATM機(jī)、醫(yī)療設(shè)備等等。在陷阱系統(tǒng)上一無所獲后，攻擊者就可能轉(zhuǎn)向更好啃的目標(biāo)了。

云（熱門4）：幾乎每個(gè)行業(yè)的公司企業(yè)都意識(shí)到了所有IT都自己搞定是多么昂貴。于是，他們紛紛將IT負(fù)載分流到Azure之類的云環(huán)境中。在承受云風(fēng)險(xiǎn)與承擔(dān)昂貴自有成本之間取舍并不是太難。

“風(fēng)險(xiǎn)”這個(gè)詞聽起來似乎意味著會(huì)給安全團(tuán)隊(duì)帶來更多工作。但實(shí)際上，更加減輕了公司安全團(tuán)隊(duì)的工作量才是真的。雖然前些年盛傳云是不安全的，但過去一年中，公司企業(yè)將數(shù)據(jù)轉(zhuǎn)移到AWS這種安全環(huán)境的腳步可不要太快哦。相比之下，云環(huán)境才是更安全的。

甚至安全工具也正在向云端遷移。無論是Web網(wǎng)關(guān)、數(shù)據(jù)丟失防護(hù)，還是高級(jí)威脅防護(hù)，全都在向云端邁進(jìn)。

靜態(tài)殺毒（漸冷2）：公司企業(yè)迎娶云安全技術(shù)新歡，曾經(jīng)的舊愛——基于病毒特征碼的靜態(tài)殺毒軟件，也就成了下堂妻。畢竟，遺留殺毒軟件向來以被動(dòng)、臃腫，且對(duì)現(xiàn)代攻擊無甚效果而聞名。

事實(shí)上，隨著技術(shù)服務(wù)的發(fā)展，殺毒軟件可能面臨著史上最大拋棄潮。即便還在用殺軟的人，多半也無需再為之付費(fèi)了。操作系統(tǒng)廠商，尤其是微軟，已經(jīng)接過了安全接力棒。Windows 10 就內(nèi)置了 Windows Defender，讓很多第三方殺毒軟件完全多余。這并不是說殺毒軟件不像以前那么重要，只是說如今大多數(shù)人已經(jīng)無需為之付款了。

內(nèi)置安全（熱門5）：多年來，安全人員一直在宣傳安全需一開始就做進(jìn)系統(tǒng)和過程中。如今，這一理念終于深入人心了。在開發(fā)運(yùn)維界，內(nèi)置安全運(yùn)動(dòng)聲勢(shì)漸隆。開發(fā)安全運(yùn)維（DevSecOps）實(shí)踐正驅(qū)動(dòng)公司企業(yè)將安全作為嵌入到整個(gè)軟件生命周期中的基本組成部分，而非僅僅是事發(fā)后貼上的一塊創(chuàng)可貼。將安全焦點(diǎn)從防火墻或殺毒軟件之類輔助措施上移開，可使公司企業(yè)在重大事件發(fā)生前搶先撲滅威脅和漏洞，從而省下大筆金錢、時(shí)間和無盡的煩惱。

系統(tǒng)集成領(lǐng)域也適用從一開始就內(nèi)置安全的方法?？蛻艉图夹g(shù)提供商方面都提出了更強(qiáng)烈的集成需求。從客戶的視角出發(fā)，尤其是站在企業(yè)客戶的角度，他們可能不具備持續(xù)整合多個(gè)產(chǎn)品的能力。從技術(shù)合作伙伴的角度出發(fā)，提供可能有限或缺乏的附加功能也是個(gè)雙贏的策略。

人工智能與自動(dòng)化（熱門6）：現(xiàn)代經(jīng)濟(jì)社會(huì)中對(duì)機(jī)器人或算法取代人類職位的恐慌從來不少，但很多專家都認(rèn)為，人工智能（AI）和深度學(xué)習(xí)指導(dǎo)下的自動(dòng)化安全過程，將倍增人類處理海量安全威脅的能力?；谏疃葘W(xué)習(xí)的行為分析可分析安全情報(bào)并將之與外部威脅數(shù)據(jù)關(guān)聯(lián)，指引人類分析師找出海量威脅數(shù)據(jù)中真正相關(guān)的那些真實(shí)威脅。AI不僅可以輔助識(shí)別威脅，還能幫助安排修復(fù)過程，用預(yù)設(shè)事件響應(yīng)工作流來自動(dòng)化事件響應(yīng)工作。

所有這些“AI”和“深度學(xué)習(xí)”場(chǎng)景聽起來都太玄幻了，但在實(shí)踐中，大部分自動(dòng)化過程做的是相當(dāng)繁瑣而基礎(chǔ)的工作。自動(dòng)化單調(diào)的工作可以讓分析師不再拘于禁用端口或做些其他調(diào)整之類“體力活”，將時(shí)間精力投入到真正復(fù)雜的調(diào)查分析上。登錄設(shè)備和修改配置這種基本操作完全可以撰寫自動(dòng)化腳本來搞定。

不過，別以為只有網(wǎng)絡(luò)安全人員才利用自動(dòng)化。黑產(chǎn)從業(yè)者絕對(duì)會(huì)用自動(dòng)化技術(shù)增加自己的效率的。民族國(guó)家可能已經(jīng)在用該技術(shù)挖零日漏洞了。不遠(yuǎn)的將來，會(huì)有更多攻擊者使用機(jī)器學(xué)習(xí)挖掘漏洞或者執(zhí)行更有效的網(wǎng)絡(luò)釣魚活動(dòng)。

情報(bào)共享（漸冷3）：技術(shù)人員或許想要依靠機(jī)器的智慧，但他們對(duì)與對(duì)手公司的人共享情報(bào)仍然存有疑慮。安全社區(qū)曾經(jīng)以為我們終有一天會(huì)廣泛共享威脅情報(bào)，私營(yíng)產(chǎn)業(yè)和司法機(jī)構(gòu)也能更好地溝通。然而，基本上，至今仍欠缺該合作關(guān)系的催化劑，威脅情報(bào)也一直被當(dāng)做知識(shí)產(chǎn)權(quán)看待。

技術(shù)升級(jí)（熱門7）：無論用不用AI，安全人才招聘和保留上依然存在非?，F(xiàn)實(shí)的人才荒。不過，在如何彌補(bǔ)這一人才缺口上，還是出現(xiàn)了新的轉(zhuǎn)機(jī)。過去幾十年來，實(shí)踐性經(jīng)驗(yàn)一直是安全領(lǐng)域技術(shù)發(fā)展的主要驅(qū)動(dòng)力，讓很多公司企業(yè)競(jìng)相爭(zhēng)奪資深分析師而不是自己培養(yǎng)新的人才。但如今，我們開始將熱情而非技術(shù)，視作新分析師能夠取得長(zhǎng)期成功的最重要因素。有激情的人更值得招聘、培養(yǎng)成高技術(shù)網(wǎng)絡(luò)安全分析師。將分析師技術(shù)升級(jí)為威脅獵手，讓他們有能力主動(dòng)搜尋暴露點(diǎn)和未知漏洞，將他們的時(shí)間從低級(jí)工作中解放出來，也會(huì)增加分析師的工作滿足感，讓他們?yōu)楣椭魍ｑv更長(zhǎng)時(shí)間。

隔離（漸冷4）：隨著這些分析師步入工作崗位，他們會(huì)被鼓勵(lì)加強(qiáng)交流，更多合作。越來越多的大型企業(yè)傾向于為他們的網(wǎng)絡(luò)和實(shí)體部門構(gòu)建融合式的安全運(yùn)營(yíng)中心。對(duì)協(xié)作的需求大大驅(qū)動(dòng)了該趨勢(shì)。安全運(yùn)營(yíng)中心作為一個(gè)割裂的部門運(yùn)作的方式正逐漸被企業(yè)拋棄。

安全托管（熱門8）：但或許，整合安全運(yùn)營(yíng)的終極辦法，是將整個(gè)安全職能都分配給一家托管安全公司。對(duì)資源不足的小公司而言，外包安全的做法更具吸引力。

轉(zhuǎn)向托管安全服務(wù)的趨勢(shì)正在形成。尤其是在中端市場(chǎng)上，中小公司沒必要雇傭全職安全工程師來監(jiān)視和保護(hù)他們的網(wǎng)絡(luò)，只需將安全工作外包給以成套產(chǎn)品提供托管安全服務(wù)的公司即可。這么做，客戶即能享受全天候的安全監(jiān)視與報(bào)警服務(wù)，又可免去聘用全職安全工程師的開銷。

老實(shí)說，很多用戶公司都不了解各種服務(wù)和技術(shù)之間的差異，老實(shí)說，他們也不在意這些。他們只想要個(gè)保障，以保證有人試圖入侵公司時(shí)，自己是受到保護(hù)的。

Gartner預(yù)測(cè)，到2019年，安全外包服務(wù)開銷會(huì)有大幅增長(zhǎng)。技術(shù)和資源的缺乏，再加上威脅復(fù)雜度的增加與IT安全人才的短缺，將驅(qū)使公司企業(yè)尋求由安全提供商、電信運(yùn)營(yíng)商和其他供應(yīng)商外部托管的自動(dòng)化安全服務(wù)。