2020年網絡安全趨勢預測

常莽

對于網絡安全而言，最安全的選擇就是快，這里說的快，不僅是對威脅的響應速度快，更重要的是安全能力的發展速度要超過威脅增長速度，在高速變化的威脅態勢中，僅依靠對漏洞縫縫補補，或針對隔夜的威脅設計一個刻舟求劍的安全方案已經遠遠不夠，以下是2020年對網絡安全的十大預測。

1勒索軟件變本加厲

睡眠質量糟糕已經成了全球性的頭號健康問題，但是對于企業IT部門來說，勒索軟件就是個那個讓你不敢入眠的噩夢。勒索軟件正變得越來越復雜，甚至能夠穿透最先進的電子郵件安全解決方案，帶來更多破壞性后果。

據英國一家技術服務集團發布的消息，2018年全球41 %的企業遭受過勒索軟件的攻擊，該類攻擊占企業攻擊的四分之一，有37 %的企業受害者都選擇支付了贖款，一些中國企業也成為勒索軟件的受害者。

2019年，勒索軟件攻擊不但會更“滑頭”，而且會更頻繁。

如今，隨著復雜度和自動化程度的不斷提高，一些勒索軟件攻擊（例如木馬變體）已經可以滲透到最復雜的電子郵件安全解決方案中。更致命的是，當前的電子郵件安全解決方案在勒索軟件攻擊發生數小時后才能察覺，這給攻擊留下了足夠大的時間窗口。Emotet就是一個典型的例子。這款勒索軟件如此“成功”的原因之一是：能夠利用特定的目標候選列表，導致安全系統需要花費更多時間來檢測它。而且Emotet的攻擊能夠不斷改變IOC，即使最聰明的簽名系統、IDS和其他傳統安全解決方案也無法足夠快地檢測到它。如我們所見，勒索軟件攻擊大約每隔一周就會發生一次，攻擊者不斷開發出新的樣本庫，其中包含新的混淆和規避技術，而安全廠商則疲于追趕，很難跟上新攻擊樣本庫的節奏。

2數據泄露第一元兇：網絡釣魚攻擊

一年前，通常認為惡意軟件是企業面臨的最大威脅，到了2020年，網絡釣魚攻擊成為主要問題。

根據Verizon 2019 DBIR數據泄露報告的觀點，網絡釣魚是造成數據泄露的第一大原因。

如今，企業提升電子郵件安全性的最大需求就是防范網絡釣魚攻擊。然而，過去幾年中，網絡釣魚攻擊變得越來越復雜，即使是最專業的人員也無法檢測到所有攻擊。暗網上提供五花八門的網絡釣魚工具包以及用以實施針對性攻擊的賬號列表，網絡釣魚攻擊的數量和復雜性可謂每日劇增。此外，網絡釣魚攻擊的后果變得更加嚴重。數據泄露，財務欺詐和網絡釣魚攻擊的其他后果可對各種規模的組織造成可怕的后果。2019年早些時候聯邦調查局發布的《互聯網犯罪報告》發現，商業電子郵件攻擊（BEC）在2018年共計造成了13億美元的損失———這一數字遠超5年前的6 000萬美元。另一項調查則顯示2018年大約35 %的CEO和CFO受到過鯨釣攻擊。可以說，檢測和阻止網絡釣魚攻擊，尤其是通過電子郵件發起的釣魚/釣鯨攻擊，將是2019年企業安全的最大剛需之一。

3縮短反射弧，提高威脅感知速度

數據驅動的安全解決方案要花費數小時才能檢測到前所未有的威脅，這也是攻擊的最危險時段。組織對這種等待時間的容忍度將越來越低，從惡意攻擊發起到被檢測到之前的這段時間，是攻擊造成最大破壞性的窗口時段。目前即使是最復雜的安全解決方案，通常也要花費幾個小時（甚至更長的時間）才能檢測到新的、前所未有的攻擊，因此對企業來說，攻擊發起的最初幾個小時內的風險極大。

如何大幅縮短企業安全系統的“反射弧”，提高對未知威脅的感知速度，將是2020年企業和安全業界面臨的關鍵挑戰。

4企業網絡協作平臺和移動端成為攻擊對象

越來越多的攻擊者嘗試利用網盤、即時通訊和企業協作平臺，因為用戶往往會不假思索地信任企業協作平臺，攻擊者將充分利用這一點，BYOD風險加大，APT攻擊開始熱衷移動端。

隨著企業數字化轉型、敏捷組織和去中心化組織的流行，企業協作服務市場呈爆炸式增長。用戶越來越多地使用《釘釘》Slack和《微軟OneDrive》等工具進行協作。雖然這些工具提高生產率效果顯著，但對企業安全專業人員則意味著嚴峻挑戰。企業協作服務將受到不斷的攻擊，頻率、復雜性和隱秘性也將不斷提高，可能造成的風險和潛在損失也將不斷增加。

此外，移動端植入如今已成為很多APT團伙的基本操作，移動端的零日漏洞價格也是水漲船高，行情一路看漲。根據2019年9月份，零日漏洞交易服務商Zerodium發布的數據顯示，Android零日漏洞的價格首次超過了iOS。該公司目前給“零點擊”（無需被攻擊者進行任何手機操作）Android零日漏洞開出的價格高達250萬美元，遠遠超過此前iOS越獄漏洞創下的200萬美元最高收購價格。

5突破和攻擊模擬亟待實現攻擊面的全覆蓋

根據Gartner的說法，大多數威脅仍然始于電子郵件渠道。電子郵件傳遞涉及94%的惡意軟件檢測，2018年造成的損失超過12億美元。

BAS工具通過模擬網絡攻擊來測試網絡的防御能力，但電子郵件的BAS尚未成為主流。客戶希望BAS供應商將其解決方案擴展到整個攻擊面，提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介，BAS供應商們很可能優先將電子郵件作為其BAS解決方案的一部分進行覆蓋。

6安全成熟度模型認證風頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認證

美國國防部于2020年1月份發布的安全成熟度模型認證（CMMC）被不少業界人士看好，有望成為蓋過ISO27001、SOC2等老牌安全認證的熱門認證。CMMC最初的合規對象是美國20萬家國防工業企業，包括波音、雷神這樣的行業巨頭，并覆蓋整個供應鏈上的大大小小的IT供應商和子承包商。簡單來說，CMMC就是美國國防部用來對NIST800-171和規范圍內企業進行第三方獨立審計的一套方法。CMMC采取以數據為中心的安全評估方法，重點放在CUI在系統、應用程序或服務的整個生命周期中的存儲，傳輸和處理。這超越了ISO 27001，SOC 2或

HITRUST面向流程的評估方法，這些方法評估的是現有的內部風險管控機制，而CMMC的成熟度標準覆蓋了敏感數據生命周期、技術基礎架構乃至整個供應鏈的人員、流程和技術。

如果對CMMC的了解還不多，那么需要抓緊時間了，因為CMMC很有可能成為成為全球企業信息安全認證的下一個“黃金標準”。

7物聯網安全法蓄勢待發

由于在技術標準的生命周期早期沒有充分考慮信息安全問題，以及產品技術和產業的高度碎片化，物聯網IoT安全問題顯得尤為棘手。

2020年1月，全球首部物聯網安全法將在美國加利福尼亞州啟動實施。對于全球物聯網產業和監管部門來說，加州物聯網安全法贏得了極大的關注度，但遺憾的是，該法律尚未實施就已經暴露出不少潛在問題。例如，加州物聯網安全法依據的CIS 20并非專門針對物聯網設備，導致對物聯網設備范圍定義模糊，而且違規認定和處罰方面的條款都非常模糊，企業合規困難。但即便問題纏身，面對迫在眉睫的物聯網“安全原罪”，2020年將有越來越多的國家開始擬訂或發布類似法規。此外，諸如歐盟《通用數據保護法規》和《加利福尼亞消費者隱私法》也強調了IoT設備中隱私和安全性的重要性。隨著物聯網設備數量的增加和更多政府法規的出臺，數據隱私和安全性成為推動物聯網解決方案發展的重中之重。

8 GDPR罰款機開始大規模“收割韭菜”

就數據泄露的嚴重性而言，根據RBS的2019數據泄露年中報告，2019年是過去10年最糟糕的一年，也會是未來10年最好的一年。2019年上半年數據泄露事件同比暴增54 %，半年間累計發生3 800起數據泄露事件，超過40億條消費者個人和財務數據被暴露。GDPR這臺巨型聯合罰款機，剛剛完成熱車，它會有多殘暴？誰會被收割？2019年Facebook面臨的20億美元罰單，英國航空（2.3億美元）、萬豪國際和Uber的整改和罰款，都只是牛刀小試，但也足以讓大量非歐盟跨國企業們“虎軀一震”。對于擁有海外業務的企業安全專業人士和管理人員來說，如果不能盡快從2019已經發生的大大小小的GDPR合規案例中汲取經驗，那么2020年將會是腥風血雨的一年。

9工控安全：運營技術安全需求大增

運營技術（OT）的網絡安全已經變得越來越重要，這在一定程度上要“歸功于”安全儀表系統已成為攻擊目標。霍尼韋爾的Mirel Sehic預計，隨著越來越多的OT環境采用數字化技術，這一趨勢將在2020年加速。

OT市場目前還處于早期階段，從安全角度來看，OT正處于10年前IT的發展階段。10年前，為IT環境尋找匹配的網絡安全標準非常困難。網絡專業人員可以查找NIST指南，但是針對各種特定工業環境的垂直指南卻少得可憐。

這導致以OT為中心的組織（例如西門子的Charter of Trust和非營利的MITER Engenuity威脅情報防御中心）開始“吃香”。

2020年將有更多工控企業以OT網絡標準為重點。

事實上，OT比IT安全更難。因為現實中，隨著操作系統的整合，各種臺式機、筆記本電腦和服務器沒有太大不同，但是Rockwell PLC和Honeywell制造系統之間的差異卻是巨大的。

值得欣慰的是，以OT為中心的安全標準（例如ISA / IEC 62443和歐洲網絡指令）以及來自NIST，NERC，SANS，CIS的框架正在增多。2020年，更多采用這些框架和標準能夠降低網絡風險，但同時也增加工控網絡的安全成本和復雜性。考慮到目前OT安全標準和框架尚處于驗證階段，企業往往會評估采用多個框架，從而進一步增加成本和復雜性。

10安全咨詢和可管理安全（托管）服務市場激增

近年來，越來越多的公司放棄了完全自主的安全管理。根據肯尼斯研究的研究報告，可管理安全服務是安全市場中增速較高的領域，每年增速達到15%。

報告認為2020年可管理安全服務市場的增長將提速。很多數字化轉型中的企業很難找到足夠的安全人才應對日益復雜的網絡安全問題，這促使他們將目光投向可管理安全服務。

報告還預計，隨著企業對技術的依賴性加強，安全咨詢業務的需求也將快速增長。公司尋求可以幫助他們解決問題并滿足公司需求的安全服務，安全咨詢服務交付的主要方式包括合作伙伴關系、外包、SaaS解決方案和常規服務等。

但是，網絡安全市場的復雜性使一些公司不愿將所有的安全任務都外包出去，市場上的一個變化趨勢是，大公司愿意引入可管理安全服務提供商解決難點和痛點，但并不會全部外包，自主和外包的混合模式將成為主流。