2019年網絡安全領域的十大挑戰
2018年,很多轟動的數據洩露和勒索軟件攻擊震驚了企業界。Juniper Research公司估計,在未來五年內,網絡犯罪分子竊取的數據量會增加高達175%。再加上全球經濟的不確定性,2019年對於網絡安全專業人士來說將是充滿挑戰的一年。
管理託管和非託管設備
隨著用戶使用的移動設備(包括託管的和非託管的)的數量和範圍不斷增加,企業網絡在降低相關風險方面面臨著艱鉅的挑戰。物聯網已經把很多聯網的設備(其中很多設備幾乎沒有或者根本沒有內置安全性)連接到以前的安全網絡中,導致易被攻擊的端點數量呈指數增長。企業應把握好這一趨勢,對非託管設備的使用進行一定程度的控制,併為託管設備建立明確的協議。
用戶訪問權限
有效的管理用戶權限是強大的安全措施的基石之一。授予用戶不必要的數據訪問權限或者系統權限會導致意外和故意濫用數據,並給外部攻擊留下漏洞。識別和訪問管理(IAM)系統是應對這種風險的主要途徑,它為管理員提供了監視和評估訪問的工具,以確保符合政府法規和公司協議。在這一新興領域中的很多解決方案仍處於起步階段,但它們已經證明了自己的業務價值。我們預計在未來一年會有越來越多的解決方案。
端點檢測與響應(EDR)
端點檢測和響應是一種新興的技術,它連續監視接入點,對高級威脅做出直接響應。EDR解決方案主要側重於檢測入口點的事件,包括防止網絡感染的事件、調查任何可疑的活動,以及恢復系統完整性的補救措施等。傳統的端點保護平臺(EPP)主要是預防性的。EDR增強威脅檢測遠遠超出了傳統EPP解決方案的能力,並使用行為監視和人工智能工具去主動搜索異常情況。網絡威脅的性質已經發生了變化,我們期望能夠有一波新的安全解決方案,能夠把傳統的EPP與新興的EDR技術結合起來。
物聯網安全清單
Ponemon在2018年進行的一項調查發現,儘管97%的安全專業人士認為由不安全設備引起的網絡攻擊對他們的企業來說可能是災難性的,但只有15%的企業擁有與其系統相連的物聯網設備的清單,不到一半的企業擁有允許他們斷開與被視為高風險設備的連接的安全協議。企業必須對這些漏洞主動採取措施。今年,我們希望看到有更多的企業遵循NIST的最佳實踐建議,為所有連接設備建立實時清單。不僅是那些通過有線連接的設備,還有通過Wi-Fi和藍牙連接的設備。
深度虛假視頻
眼見不一定為實。自動化的人工智能技術已經開發出來,能夠創建和檢測深度虛假視頻。這類視頻可能描述了一個從事非法或者色情活動的名人或者政治家,也可能是一個發表煽動性言論的國家元首。即使圖像被證明是假的,但也會造成持久的名譽損害,或者嚴重的不可挽回的後果。這不僅突出了事實檢驗的重要性,而且這項技術還令人感到隱隱的擔憂。深度虛假視頻經常會像病毒一樣傳播,這使其成為傳播惡意軟件和發起網絡釣魚攻擊的絕佳工具。在接下來的一年裡,我們都應警惕這種惡劣的趨勢。
實施GDPR
歐盟的通用數據保護條例(GDPR)要求在歐盟運營的每一家企業都要保護歐盟公民的隱私和個人數據。如果不合規會受到很高的處罰,GDPR對個人數據的構成的規定非常寬泛,因此,這會是一項非常繁重的工作。Ovum在2018年7月一份有關數據隱私法的報告中指出,三分之二的企業認為他們將不得不調整自己的工作流程以實現合規,一半以上的企業擔心他們可能會因為不合規而被罰款。
雲安全
把服務和計算解決方案遷移到雲端給企業帶來了很多好處。然而,這也打開了新的風險領域。令人擔憂的是,網絡安全技能方面的差距仍然很大,新一代網絡犯罪分子正在積極探索利用基於雲的服務,尋找漏洞。很多企業仍然不確定他們應在多大程度上負責保護數據,即使是最好的系統也可能因為違反協議而被攻破。我們需要重新定義雲的安全性並採取主動措施。
有目標的網絡釣魚攻擊
對於黑客來說,個人數據是越來越有利可圖的寶藏。可以從暗網上買到從Facebook等社交媒體網站的攻擊中挖掘出來的數據,然後利用這些數據為社會工程攻擊工程師提供成功瞄準個人所需的信息。這導致了APT(高級持續威脅)組織能夠發起越來越複雜的攻擊。現在很少有人會陷入“尼日利亞”騙局,但如果網絡釣魚電子郵件來自可信來源或者引用了你認為垃圾郵件發送者不會擁有的個人數據,那這就很難被發現。卡巴斯基公司認為,魚叉式網絡釣魚將是2019年對企業和個人最大的一種威脅。
勒索軟件和挖礦劫持
雖然勒索軟件攻擊在減少,但在某種程度上已經被挖礦劫持(劫持計算機以挖掘加密貨幣)所取代。這些攻擊採用與勒索軟件類似的戰術,但需要較少的技術專業知識。惡意軟件是在用戶不知情的情況下在後臺工作,因此很難估計這個問題的真實規模,但所有證據都表明這一問題越來越嚴重。
2018年(WannaCry、NotPetya)發生的轟動的攻擊也表明,儘管隨機的低級勒索軟件攻擊數量在減少,但複雜的有目標的攻擊在一段時間內仍是問題。我們預計,2019年挖礦劫持和有目標的勒索軟件攻擊仍然會持續增長。
用戶認識
在上述幾乎所有的領域中,最終都取決於用戶認識。木桶的容量取決於最短的那塊木板,如果我們想保護好我們的數據和網絡,那麼我們都必須承擔風險。最重要的是,我們希望所有用戶都能提高認識,並在限制威脅和補救方面開展更全面的教育。知識就是力量,它就在我們的掌握之中。
以上是“2019年網絡安全領域的十大挑戰”的全部內容,如有需求歡迎登陸GDCA數安時代諮詢,我們將竭誠為您服務。