信息化觀察網(wǎng)

2019 年是過去十年最糟糕的一年，也可能會(huì)是未來十年最好的一年。

天下武功，無堅(jiān)不摧，唯快不破。對(duì)于網(wǎng)絡(luò)安全而言，最安全的選擇就是快，不但要比同行跑得快，還要比熊跑得快。這里說的快，不僅僅是對(duì)威脅的響應(yīng)速度快，更重要的是安全能力的發(fā)展速度要超過威脅增長(zhǎng)速度，在高速變化的威脅態(tài)勢(shì)中，僅僅依靠對(duì)漏洞縫縫補(bǔ)補(bǔ)，或針對(duì)隔夜的威脅設(shè)計(jì)一個(gè)刻舟求劍的安全方案已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。未來十年最好的一年即將翻篇，隨之而來的是新的威脅和趨勢(shì)，以下安全牛匯總了 2020 年對(duì)網(wǎng)絡(luò)安全的十大預(yù)測(cè)，助您第一個(gè)嗅到春天的氣息：

1、勒索軟件變本加厲

睡眠質(zhì)量糟糕已經(jīng)成了全球性的頭號(hào)健康問題，但是對(duì)于企業(yè) IT 部門來說，勒索軟件就是個(gè)那個(gè)讓你不敢入眠的噩夢(mèng)。

勒索軟件正變得越來越復(fù)雜。

甚至能夠穿透最先進(jìn)的電子郵件安全解決方案。

將帶來更多破壞性后果。

據(jù)英國(guó)一家技術(shù)服務(wù)集團(tuán)發(fā)布的消息，2018 年全球 41% 的企業(yè)遭受過勒索軟件的攻擊，該類攻擊占企業(yè)攻擊的四分之一，有 37% 的企業(yè)受害者都選擇支付了贖款。一些中國(guó)企業(yè)已經(jīng)成為勒索軟件的受害者。

2019 年，勒索軟件攻擊不但會(huì)更 “滑頭”，而且會(huì)更頻繁。

如今，隨著復(fù)雜度和自動(dòng)化程度的不斷提高，一些勒索軟件攻擊（例如木馬變體）已經(jīng)可以通滲透到最復(fù)雜的電子郵件安全解決方案中。更致命的是，當(dāng)前的電子郵件安全解決方案在勒索軟件攻擊發(fā)生數(shù)小時(shí)后才能察覺，這給攻擊留下了足夠大的時(shí)間窗口。

Emotet 就是一個(gè)典型的例子。這款勒索軟件界的當(dāng)紅炸子雞如此成功的原因之一是：能夠利用特定的目標(biāo)候選列表，導(dǎo)致安全系統(tǒng)需要花費(fèi)更多時(shí)間來檢測(cè)它。而且 Emotet 的攻擊能夠不斷改變 IOC，即使最聰明的簽名系統(tǒng)、IDS 和其他傳統(tǒng)安全解決方案也無法足夠快地檢測(cè)到它。

如我們所見，勒索軟件攻擊大約每隔一周就會(huì)發(fā)生一次。攻擊者不斷開發(fā)出新的樣本庫(kù)，其中包含新的混淆和規(guī)避技術(shù)，而安全廠商則疲于追趕，很難跟上新的攻擊樣本庫(kù)的節(jié)奏。

2、數(shù)據(jù)泄露第一元兇：網(wǎng)絡(luò)釣魚攻擊

一年前，通常認(rèn)為惡意軟件是企業(yè)面臨的最大威脅。隨著我們臨近 2020 年，網(wǎng)絡(luò)釣魚攻擊成為主要問題。

根據(jù) Verizon 2019 DBIR 數(shù)據(jù)泄露報(bào)告的觀點(diǎn)，網(wǎng)絡(luò)釣魚是造成數(shù)據(jù)泄露的第一大原因。

如今，企業(yè)提升電子郵件安全性的最大需求就是防范網(wǎng)絡(luò)釣魚攻擊。然而，過去幾年中，網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜，即使是最專業(yè)的專業(yè)人員也無法檢測(cè)到所有攻擊。暗網(wǎng)上提供五花八門的網(wǎng)絡(luò)釣魚工具包以及用以實(shí)施針對(duì)性攻擊的賬號(hào)列表，網(wǎng)絡(luò)釣魚攻擊的數(shù)量和復(fù)雜性可謂每日劇增。

此外，網(wǎng)絡(luò)釣魚攻擊的后果變得更加嚴(yán)重。數(shù)據(jù)泄露，財(cái)務(wù)欺詐和網(wǎng)絡(luò)釣魚攻擊的其他后果可能對(duì)各種規(guī)模的組織造成可怕的后果。今年早些時(shí)候聯(lián)邦調(diào)查局發(fā)布的《互聯(lián)網(wǎng)犯罪報(bào)告》發(fā)現(xiàn)，BEC（商業(yè)電子郵件攻擊）在 2018 年共計(jì)造成了 13 億美元的損失——這一數(shù)字遠(yuǎn)超于五年前的 6000 萬美元。另一項(xiàng)調(diào)查則顯示 2018 年大約 35% 的 CEO 和 CFO 受到過鯨釣攻擊。

可以說，檢測(cè)和阻止網(wǎng)絡(luò)釣魚攻擊，尤其是通過電子郵件發(fā)起的釣魚/釣鯨攻擊，將是2019年企業(yè)安全的最大剛需之一。

3、縮短反射弧，提高威脅感知速度

數(shù)據(jù)驅(qū)動(dòng)的安全解決方案要花費(fèi)數(shù)小時(shí)才能檢測(cè)到前所未有的威脅。

這也是攻擊的最危險(xiǎn)時(shí)段。

組織對(duì)這種等待時(shí)間的容忍度將越來越低。

從惡意攻擊發(fā)起到被檢測(cè)到之前的這段時(shí)間，是攻擊造成最大破壞性的窗口時(shí)段。目前即使是最復(fù)雜的安全解決方案，通常也要花費(fèi)幾個(gè)小時(shí)（甚至更長(zhǎng)的時(shí)間）才能檢測(cè)到新的、前所未有的攻擊，因此對(duì)企業(yè)來說，攻擊發(fā)起的最初幾個(gè)小時(shí)內(nèi)的風(fēng)險(xiǎn)極大。

如何大幅縮短企業(yè)安全系統(tǒng)的 “反射弧”，提高對(duì)未知威脅的感知速度，將是 2020 年企業(yè)和安全業(yè)界面臨的關(guān)鍵挑戰(zhàn)。

4、企業(yè)網(wǎng)絡(luò)協(xié)作平臺(tái)和移動(dòng)端成為攻擊對(duì)象

越來越多的攻擊者將嘗試?yán)镁W(wǎng)盤、即時(shí)通訊和企業(yè)協(xié)作平臺(tái)。

因?yàn)橛脩敉鶗?huì)不假思索地信任企業(yè)協(xié)作平臺(tái)，攻擊者將充分利用這一點(diǎn)。

BYOD 風(fēng)險(xiǎn)加大，APT 攻擊開始熱衷移動(dòng)端。

隨著企業(yè)數(shù)字化轉(zhuǎn)型、敏捷組織和去中心化組織的流行，企業(yè)協(xié)作服務(wù)市場(chǎng)呈爆炸式增長(zhǎng)。用戶越來越多地使用釘釘、Slack、微軟 OneDrive 等工具進(jìn)行協(xié)作。雖然這些工具對(duì)于提高生產(chǎn)率效果顯著，但對(duì)企業(yè)安全專業(yè)人員則意味著嚴(yán)峻挑戰(zhàn)。

企業(yè)協(xié)作服務(wù)將受到不斷的攻擊，頻率、復(fù)雜性和隱秘性也將不斷提高，可能造成的風(fēng)險(xiǎn)和潛在損失也將不斷增加。

此外，移動(dòng)端植入如今已成為很多 APT 團(tuán)伙的基本操作，移動(dòng)端的零日漏洞價(jià)格也是水漲船高，行情一路看漲。今年 9 月份，零日漏洞交易服務(wù)商 Zerodium 發(fā)布的數(shù)據(jù)顯示，Android 零日漏洞的價(jià)格首次超過了 iOS。該公司目前給 “零點(diǎn)擊”（無需被攻擊者進(jìn)行任何手機(jī)操作）Android 零日漏洞開出的價(jià)格高達(dá) 250 萬美元，遠(yuǎn)遠(yuǎn)超過了此前 iOS 越獄漏洞創(chuàng)下的 200 萬美元的最高收購(gòu)價(jià)格。

5、BAS亟待實(shí)現(xiàn)攻擊面的全覆蓋

根據(jù) Gartner 的說法，大多數(shù)威脅仍然始于電子郵件渠道。

電子郵件傳遞涉及 94％ 的惡意軟件檢測(cè)，2018 年造成的損失超過12億美元。

突破和攻擊模擬 (BAS) 工具通過模擬網(wǎng)絡(luò)攻擊來測(cè)試網(wǎng)絡(luò)的防御能力，但電子郵件的 BAS 尚未成為主流。

客戶希望 BAS 供應(yīng)商將其解決方案擴(kuò)展到整個(gè)攻擊面，提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介，BAS 供應(yīng)商們很可能優(yōu)先將電子郵件作為其 BAS 解決方案的一部分進(jìn)行覆蓋。

6、CMMC風(fēng)頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認(rèn)證

美國(guó)國(guó)防部即將于 2020 年 1 月份發(fā)布的 CMMC（安全成熟度模型認(rèn)證）被不少業(yè)界人士看好，有望成為風(fēng)頭蓋過 ISO27001、SOC2 等老牌安全認(rèn)證的熱門認(rèn)證。CMMC 最初的合規(guī)對(duì)象是美國(guó) 20 萬家國(guó)防工業(yè)企業(yè)，包括波音、雷神這樣的行業(yè)巨頭，并覆蓋整個(gè)供應(yīng)鏈上的大大小小的 IT 供應(yīng)商和子承包商。簡(jiǎn)單來說，CMMC 就是美國(guó)國(guó)防部用來對(duì) NIST800-171 和規(guī)范圍內(nèi)企業(yè)進(jìn)行第三方獨(dú)立審計(jì)的一套方法。

CMMC 采取以數(shù)據(jù)為中心的安全評(píng)估方法，重點(diǎn)放在 CUI 在系統(tǒng)、應(yīng)用程序或服務(wù)的整個(gè)生命周期中的存儲(chǔ)，傳輸和處理。這超越了 ISO 27001，SOC 2 或 HITRUST 面向流程的評(píng)估方法，這些方法評(píng)估的是現(xiàn)有的內(nèi)部風(fēng)險(xiǎn)管控機(jī)制，而 CMMC 的成熟度標(biāo)準(zhǔn)覆蓋了敏感數(shù)據(jù)生命周期、技術(shù)基礎(chǔ)架構(gòu)乃至整個(gè)供應(yīng)鏈的人員、流程和技術(shù)。

如果你對(duì) CMMC 的了解還不多，那么需要抓緊時(shí)間了，因?yàn)?CMMC 很有可能成為成為全球企業(yè)信息安全認(rèn)證的下一個(gè) “黃金標(biāo)準(zhǔn)”。

7、物聯(lián)網(wǎng)安全法蓄勢(shì)待發(fā)

由于在技術(shù)標(biāo)準(zhǔn)的生命周期早期沒有充分考慮信息安全問題，以及產(chǎn)品技術(shù)和產(chǎn)業(yè)的高度碎片化，物聯(lián)網(wǎng) IoT 安全問題顯得尤為棘手。

2020 年 1 月，全球首部物聯(lián)網(wǎng)安全法將在美國(guó)加利福尼亞州啟動(dòng)實(shí)施。對(duì)于全球物聯(lián)網(wǎng)產(chǎn)業(yè)和監(jiān)管部門來說，加州物聯(lián)網(wǎng)安全法贏得了極大的關(guān)注度，但遺憾的是，該法律尚未實(shí)施就已經(jīng)暴露出不少潛在問題。例如，加州物聯(lián)網(wǎng)安全法依據(jù)的 CIS 20 并非專門針對(duì)物聯(lián)網(wǎng)設(shè)備，導(dǎo)致對(duì)物聯(lián)網(wǎng)設(shè)備范圍定義模糊，而且違規(guī)認(rèn)定和處罰方面的條款都非常模糊，企業(yè)合規(guī)困難。

但即便問題纏身，面對(duì)迫在眉睫的物聯(lián)網(wǎng) “安全原罪”，2020 年將有越來越多的國(guó)家開始擬訂或發(fā)布類似法規(guī)。此外，諸如歐盟《通用數(shù)據(jù)保護(hù)法規(guī)》和《加利福尼亞消費(fèi)者隱私法》也強(qiáng)調(diào)了 IoT 設(shè)備中隱私和安全性的重要性。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加和更多政府法規(guī)的出臺(tái)，數(shù)據(jù)隱私和安全性成為推動(dòng)物聯(lián)網(wǎng)解決方案發(fā)展的重中之重。

8、GDPR罰款機(jī)開始大規(guī)模“收割韭菜”

就數(shù)據(jù)泄露的嚴(yán)重性而言，根據(jù) RBS 的 2019 數(shù)據(jù)泄露年中報(bào)告，2019 年是過去十年最糟糕的一年，也會(huì)是未來十年最好的一年。2019 年上半年數(shù)據(jù)泄露事件同比暴增 54%，半年間累計(jì)發(fā)生 3800 起數(shù)據(jù)泄露事件，超過 40 億條消費(fèi)者個(gè)人和財(cái)務(wù)數(shù)據(jù)被暴露。

GDPR 這臺(tái)巨型聯(lián)合罰款機(jī)，剛剛完成熱車，它會(huì)有多殘暴？誰會(huì)被收割？2019 年 Facebook 面臨的 20 億美元罰單，英國(guó)航空（2.3億美元）、萬豪國(guó)際和 Uber 的整改和罰款，都只是牛刀小試，但也足以讓大量非歐盟跨國(guó)企業(yè)們虎軀一震。對(duì)于擁有海外業(yè)務(wù)的企業(yè)安全專業(yè)人士和管理人員來說，如果不能盡快從 2019 已經(jīng)發(fā)生的大大小小的GDPR合規(guī)案例中汲取經(jīng)驗(yàn)，那么 2020 年將會(huì)是腥風(fēng)血雨的一年。

以英國(guó)航空（官網(wǎng)的第三方供應(yīng)商腳本被改裝成信用卡盜卡器）和 Uber 為例，英國(guó)航空現(xiàn)在面臨的整改包括：實(shí)施定期安全審查，代碼分析和惡意軟件檢測(cè)技術(shù)和審查，并加密敏感數(shù)據(jù)。此外，英國(guó)航空還必須在整個(gè)數(shù)據(jù)收集過程中增加額外的控制，從表單到付款提交，包括第三方合作伙伴，以及更積極地監(jiān)控和響應(yīng)外部威脅環(huán)境。

Uber 的整改工作包括但不限于：強(qiáng)制實(shí)踐包括用于訪問 AWS S3 服務(wù)器的 IP 過濾系統(tǒng)，要求工程師使用 2FA 連接到 GitHub，而不是以純文本格式存儲(chǔ)這些憑據(jù)。

9、工控安全：OT安全需求大增

OT（運(yùn)營(yíng)技術(shù)）的網(wǎng)絡(luò)安全已經(jīng)變得越來越重要，這在一定程度上要 “歸功于” 安全儀表系統(tǒng)已成為攻擊目標(biāo)。霍尼韋爾的 Mirel Sehic 預(yù)計(jì)，隨著越來越多的 OT 環(huán)境采用數(shù)字化技術(shù)，這一趨勢(shì)將在 2020 年加速。

OT 市場(chǎng)目前還處于早期階段，從安全角度來看，OT 正處于 10 年前 IT 的發(fā)展階段。十年前，為 IT 環(huán)境尋找匹配的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)非常困難。網(wǎng)絡(luò)專業(yè)人員可以查找 NIST 指南，但是針對(duì)各種特定工業(yè)環(huán)境的垂直指南卻少得可憐。

這導(dǎo)致以 OT 為中心的組織（例如西門子的 Charter of Trust 和非營(yíng)利的 MITER Engenuity 威脅情報(bào)防御中心）開始 “吃香”。2020 年將有更多工控企業(yè)以 OT 網(wǎng)絡(luò)標(biāo)準(zhǔn)為重點(diǎn)。

事實(shí)上，OT 比 IT 安全更難。因?yàn)楝F(xiàn)實(shí)中，隨著操作系統(tǒng)的整合，各種臺(tái)式機(jī)、筆記本電腦和服務(wù)器沒有太大不同，但是 Rockwell PLC 和 Honeywell 制造系統(tǒng)之間的差異卻是巨大的。

值得欣慰的是，以 OT 為中心的安全標(biāo)準(zhǔn)（例如 ISA / IEC 62443 和歐洲網(wǎng)絡(luò)指令）以及來自 NIST，NERC，SANS 和 CIS 的框架正在增多。2020 年，更多采用這些框架和標(biāo)準(zhǔn)能夠降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，但同時(shí)也增加工控網(wǎng)絡(luò)的安全成本和復(fù)雜性。考慮到目前 OT 安全標(biāo)準(zhǔn)和框架尚處于驗(yàn)證階段，企業(yè)往往會(huì)評(píng)估采用多個(gè)框架，從而進(jìn)一步增加成本和復(fù)雜性。

10、安全咨詢和可管理安全（托管）服務(wù)市場(chǎng)激增

近年來，越來越多的公司放棄了完全自主的安全管理。根據(jù)肯尼斯研究 (Kenneth Research) 的研究報(bào)告，可管理安全服務(wù)是安全市場(chǎng)中增速較高的領(lǐng)域，每年增速達(dá)到 15％。

報(bào)告認(rèn)為 2020 年可管理安全服務(wù)市場(chǎng)的增長(zhǎng)將提速。很多數(shù)字化轉(zhuǎn)型中的企業(yè)很難找到足夠的安全人才應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全問題，這促使他們將目光投向可管理安全服務(wù)。

報(bào)告還預(yù)計(jì)，隨著企業(yè)對(duì)技術(shù)的依賴性加強(qiáng)，安全咨詢業(yè)務(wù)的需求也將快速增長(zhǎng)。公司尋求可以幫助他們解決問題并滿足公司需求的安全服務(wù)，安全咨詢服務(wù)交付的主要方式包括合作伙伴關(guān)系、外包、SaaS 解決方案和常規(guī)服務(wù)等。

但是，網(wǎng)絡(luò)安全市場(chǎng)的復(fù)雜性使一些公司不愿將所有的安全任務(wù)都外包出去，市場(chǎng)上的一個(gè)變化趨勢(shì)是，大公司愿意引入可管理安全服務(wù)提供商解決難點(diǎn)和痛點(diǎn)，但并不會(huì)全部外包，自主和外包的混合模式將成為主流。