2019 年是過去十年最糟糕的一年，也可能會是未來十年最好的一年。

天下武功，無堅不摧，唯快不破。對于網(wǎng)絡安全而言，最安全的選擇就是快，不但要比同行跑得快，還要比熊跑得快。這里說的快，不僅僅是對威脅的響應速度快，更重要的是安全能力的發(fā)展速度要超過威脅增長速度，在高速變化的威脅態(tài)勢中，僅僅依靠對漏洞縫縫補補，或針對隔夜的威脅設計一個刻舟求劍的安全方案已經(jīng)遠遠不夠了。未來十年最好的一年即將翻篇，隨之而來的是新的威脅和趨勢，以下安全牛匯總了 2020 年對網(wǎng)絡安全的十大預測，助您第一個嗅到春天的氣息：

1

勒索軟件變本加厲

睡眠質量糟糕已經(jīng)成了全球性的頭號健康問題，但是對于企業(yè) IT 部門來說，勒索軟件就是個那個讓你不敢入眠的噩夢。

勒索軟件正變得越來越復雜。

甚至能夠穿透最先進的電子郵件安全解決方案。

將帶來更多破壞性后果。

據(jù)英國一家技術服務集團發(fā)布的消息，2018 年全球 41% 的企業(yè)遭受過勒索軟件的攻擊，該類攻擊占企業(yè)攻擊的四分之一，有 37% 的企業(yè)受害者都選擇支付了贖款。一些中國企業(yè)已經(jīng)成為勒索軟件的受害者。

2019 年，勒索軟件攻擊不但會更 “滑頭”，而且會更頻繁。

如今，隨著復雜度和自動化程度的不斷提高，一些勒索軟件攻擊（例如木馬變體）已經(jīng)可以通滲透到最復雜的電子郵件安全解決方案中。更致命的是，當前的電子郵件安全解決方案在勒索軟件攻擊發(fā)生數(shù)小時后才能察覺，這給攻擊留下了足夠大的時間窗口。

Emotet 就是一個典型的例子。這款勒索軟件界的當紅炸子雞如此成功的原因之一是：能夠利用特定的目標候選列表，導致安全系統(tǒng)需要花費更多時間來檢測它。而且 Emotet 的攻擊能夠不斷改變 IOC，即使最聰明的簽名系統(tǒng)、IDS 和其他傳統(tǒng)安全解決方案也無法足夠快地檢測到它。

如我們所見，勒索軟件攻擊大約每隔一周就會發(fā)生一次。攻擊者不斷開發(fā)出新的樣本庫，其中包含新的混淆和規(guī)避技術，而安全廠商則疲于追趕，很難跟上新的攻擊樣本庫的節(jié)奏。

2

數(shù)據(jù)泄露第一元兇：網(wǎng)絡釣魚攻擊

一年前，通常認為惡意軟件是企業(yè)面臨的最大威脅。隨著我們臨近 2020 年，網(wǎng)絡釣魚攻擊成為主要問題。

根據(jù) Verizon 2019 DBIR 數(shù)據(jù)泄露報告的觀點，網(wǎng)絡釣魚是造成數(shù)據(jù)泄露的第一大原因。

如今，企業(yè)提升電子郵件安全性的最大需求就是防范網(wǎng)絡釣魚攻擊。然而，過去幾年中，網(wǎng)絡釣魚攻擊變得越來越復雜，即使是最專業(yè)的專業(yè)人員也無法檢測到所有攻擊。暗網(wǎng)上提供五花八門的網(wǎng)絡釣魚工具包以及用以實施針對性攻擊的賬號列表，網(wǎng)絡釣魚攻擊的數(shù)量和復雜性可謂每日劇增。

此外，網(wǎng)絡釣魚攻擊的后果變得更加嚴重。數(shù)據(jù)泄露，財務欺詐和網(wǎng)絡釣魚攻擊的其他后果可能對各種規(guī)模的組織造成可怕的后果。今年早些時候聯(lián)邦調查局發(fā)布的《互聯(lián)網(wǎng)犯罪報告》發(fā)現(xiàn)，BEC（商業(yè)電子郵件攻擊）在 2018 年共計造成了 13 億美元的損失——這一數(shù)字遠超于五年前的 6000 萬美元。另一項調查則顯示 2018 年大約 35% 的 CEO 和 CFO 受到過鯨釣攻擊。

可以說，檢測和阻止網(wǎng)絡釣魚攻擊，尤其是通過電子郵件發(fā)起的釣魚/釣鯨攻擊，將是2019年企業(yè)安全的最大剛需之一。

3

縮短反射弧，提高威脅感知速度

數(shù)據(jù)驅動的安全解決方案要花費數(shù)小時才能檢測到前所未有的威脅。

這也是攻擊的最危險時段。

組織對這種等待時間的容忍度將越來越低。

從惡意攻擊發(fā)起到被檢測到之前的這段時間，是攻擊造成最大破壞性的窗口時段。目前即使是最復雜的安全解決方案，通常也要花費幾個小時（甚至更長的時間）才能檢測到新的、前所未有的攻擊，因此對企業(yè)來說，攻擊發(fā)起的最初幾個小時內的風險極大。

如何大幅縮短企業(yè)安全系統(tǒng)的 “反射弧”，提高對未知威脅的感知速度，將是 2020 年企業(yè)和安全業(yè)界面臨的關鍵挑戰(zhàn)。

4

企業(yè)網(wǎng)絡協(xié)作平臺和移動端成為攻擊對象

越來越多的攻擊者將嘗試利用網(wǎng)盤、即時通訊和企業(yè)協(xié)作平臺。

因為用戶往往會不假思索地信任企業(yè)協(xié)作平臺，攻擊者將充分利用這一點。

BYOD 風險加大，APT 攻擊開始熱衷移動端。

隨著企業(yè)數(shù)字化轉型、敏捷組織和去中心化組織的流行，企業(yè)協(xié)作服務市場呈爆炸式增長。用戶越來越多地使用釘釘、Slack、微軟 OneDrive 等工具進行協(xié)作。雖然這些工具對于提高生產率效果顯著，但對企業(yè)安全專業(yè)人員則意味著嚴峻挑戰(zhàn)。

企業(yè)協(xié)作服務將受到不斷的攻擊，頻率、復雜性和隱秘性也將不斷提高，可能造成的風險和潛在損失也將不斷增加。

此外，移動端植入如今已成為很多 APT 團伙的基本操作，移動端的零日漏洞價格也是水漲船高，行情一路看漲。今年 9 月份，零日漏洞交易服務商 Zerodium 發(fā)布的數(shù)據(jù)顯示，Android 零日漏洞的價格首次超過了 iOS。該公司目前給 “零點擊”（無需被攻擊者進行任何手機操作）Android 零日漏洞開出的價格高達 250 萬美元，遠遠超過了此前 iOS 越獄漏洞創(chuàng)下的 200 萬美元的最高收購價格。

5

BAS亟待實現(xiàn)攻擊面的全覆蓋

根據(jù) Gartner 的說法，大多數(shù)威脅仍然始于電子郵件渠道。

電子郵件傳遞涉及 94％ 的惡意軟件檢測，2018 年造成的損失超過12億美元。

突破和攻擊模擬 (BAS) 工具通過模擬網(wǎng)絡攻擊來測試網(wǎng)絡的防御能力，但電子郵件的 BAS 尚未成為主流。

客戶希望 BAS 供應商將其解決方案擴展到整個攻擊面，提供更全面的解決方案。由于電子郵件依然是一種流行的攻擊媒介，BAS 供應商們很可能優(yōu)先將電子郵件作為其 BAS 解決方案的一部分進行覆蓋。

6

CMMC風頭蓋過ISO 27001、SOC 2和HTIRUST等老牌安全認證

美國國防部即將于 2020 年 1 月份發(fā)布的 CMMC（安全成熟度模型認證）被不少業(yè)界人士看好，有望成為風頭蓋過 ISO27001、SOC2 等老牌安全認證的熱門認證。CMMC 最初的合規(guī)對象是美國 20 萬家國防工業(yè)企業(yè)，包括波音、雷神這樣的行業(yè)巨頭，并覆蓋整個供應鏈上的大大小小的 IT 供應商和子承包商。簡單來說，CMMC 就是美國國防部用來對 NIST800-171 和規(guī)范圍內企業(yè)進行第三方獨立審計的一套方法。

CMMC 采取以數(shù)據(jù)為中心的安全評估方法，重點放在 CUI 在系統(tǒng)、應用程序或服務的整個生命周期中的存儲，傳輸和處理。這超越了 ISO 27001，SOC 2 或 HITRUST 面向流程的評估方法，這些方法評估的是現(xiàn)有的內部風險管控機制，而 CMMC 的成熟度標準覆蓋了敏感數(shù)據(jù)生命周期、技術基礎架構乃至整個供應鏈的人員、流程和技術。

如果你對 CMMC 的了解還不多，那么需要抓緊時間了，因為 CMMC 很有可能成為成為全球企業(yè)信息安全認證的下一個 “黃金標準”。

7

物聯(lián)網(wǎng)安全法蓄勢待發(fā)

由于在技術標準的生命周期早期沒有充分考慮信息安全問題，以及產品技術和產業(yè)的高度碎片化，物聯(lián)網(wǎng) IoT 安全問題顯得尤為棘手。

2020 年 1 月，全球首部物聯(lián)網(wǎng)安全法將在美國加利福尼亞州啟動實施。對于全球物聯(lián)網(wǎng)產業(yè)和監(jiān)管部門來說，加州物聯(lián)網(wǎng)安全法贏得了極大的關注度，但遺憾的是，該法律尚未實施就已經(jīng)暴露出不少潛在問題。例如，加州物聯(lián)網(wǎng)安全法依據(jù)的 CIS 20 并非專門針對物聯(lián)網(wǎng)設備，導致對物聯(lián)網(wǎng)設備范圍定義模糊，而且違規(guī)認定和處罰方面的條款都非常模糊，企業(yè)合規(guī)困難。

但即便問題纏身，面對迫在眉睫的物聯(lián)網(wǎng) “安全原罪”，2020 年將有越來越多的國家開始擬訂或發(fā)布類似法規(guī)。此外，諸如歐盟《通用數(shù)據(jù)保護法規(guī)》和《加利福尼亞消費者隱私法》也強調了 IoT 設備中隱私和安全性的重要性。隨著物聯(lián)網(wǎng)設備數(shù)量的增加和更多政府法規(guī)的出臺，數(shù)據(jù)隱私和安全性成為推動物聯(lián)網(wǎng)解決方案發(fā)展的重中之重。

8

GDPR罰款機開始大規(guī)模“收割韭菜”

就數(shù)據(jù)泄露的嚴重性而言，根據(jù) RBS 的 2019 數(shù)據(jù)泄露年中報告，2019 年是過去十年最糟糕的一年，也會是未來十年最好的一年。2019 年上半年數(shù)據(jù)泄露事件同比暴增 54%，半年間累計發(fā)生 3800 起數(shù)據(jù)泄露事件，超過 40 億條消費者個人和財務數(shù)據(jù)被暴露。

GDPR 這臺巨型聯(lián)合罰款機，剛剛完成熱車，它會有多殘暴？誰會被收割？2019 年 Facebook 面臨的 20 億美元罰單，英國航空（2.3億美元）、萬豪國際和 Uber 的整改和罰款，都只是牛刀小試，但也足以讓大量非歐盟跨國企業(yè)們虎軀一震。對于擁有海外業(yè)務的企業(yè)安全專業(yè)人士和管理人員來說，如果不能盡快從 2019 已經(jīng)發(fā)生的大大小小的GDPR合規(guī)案例中汲取經(jīng)驗，那么 2020 年將會是腥風血雨的一年。

以英國航空（官網(wǎng)的第三方供應商腳本被改裝成信用卡盜卡器）和 Uber 為例，英國航空現(xiàn)在面臨的整改包括：實施定期安全審查，代碼分析和惡意軟件檢測技術和審查，并加密敏感數(shù)據(jù)。此外，英國航空還必須在整個數(shù)據(jù)收集過程中增加額外的控制，從表單到付款提交，包括第三方合作伙伴，以及更積極地監(jiān)控和響應外部威脅環(huán)境。

Uber 的整改工作包括但不限于：強制實踐包括用于訪問 AWS S3 服務器的 IP 過濾系統(tǒng)，要求工程師使用 2FA 連接到 GitHub，而不是以純文本格式存儲這些憑據(jù)。

9

工控安全：OT安全需求大增

OT（運營技術）的網(wǎng)絡安全已經(jīng)變得越來越重要，這在一定程度上要 “歸功于” 安全儀表系統(tǒng)已成為攻擊目標?；裟犴f爾的 Mirel Sehic 預計，隨著越來越多的 OT 環(huán)境采用數(shù)字化技術，這一趨勢將在 2020 年加速。

OT 市場目前還處于早期階段，從安全角度來看，OT 正處于 10 年前 IT 的發(fā)展階段。十年前，為 IT 環(huán)境尋找匹配的網(wǎng)絡安全標準非常困難。網(wǎng)絡專業(yè)人員可以查找 NIST 指南，但是針對各種特定工業(yè)環(huán)境的垂直指南卻少得可憐。

這導致以 OT 為中心的組織（例如西門子的 Charter of Trust 和非營利的 MITER Engenuity 威脅情報防御中心）開始 “吃香”。2020 年將有更多工控企業(yè)以 OT 網(wǎng)絡標準為重點。

事實上，OT 比 IT 安全更難。因為現(xiàn)實中，隨著操作系統(tǒng)的整合，各種臺式機、筆記本電腦和服務器沒有太大不同，但是 Rockwell PLC 和 Honeywell 制造系統(tǒng)之間的差異卻是巨大的。

值得欣慰的是，以 OT 為中心的安全標準（例如 ISA / IEC 62443 和歐洲網(wǎng)絡指令）以及來自 NIST，NERC，SANS 和 CIS 的框架正在增多。2020 年，更多采用這些框架和標準能夠降低網(wǎng)絡風險，但同時也增加工控網(wǎng)絡的安全成本和復雜性?？紤]到目前 OT 安全標準和框架尚處于驗證階段，企業(yè)往往會評估采用多個框架，從而進一步增加成本和復雜性。

10

安全咨詢和可管理安全（托管）服務市場激增

近年來，越來越多的公司放棄了完全自主的安全管理。根據(jù)肯尼斯研究 (Kenneth Research) 的研究報告，可管理安全服務是安全市場中增速較高的領域，每年增速達到 15％。

報告認為 2020 年可管理安全服務市場的增長將提速。很多數(shù)字化轉型中的企業(yè)很難找到足夠的安全人才應對日益復雜的網(wǎng)絡安全問題，這促使他們將目光投向可管理安全服務。

報告還預計，隨著企業(yè)對技術的依賴性加強，安全咨詢業(yè)務的需求也將快速增長。公司尋求可以幫助他們解決問題并滿足公司需求的安全服務，安全咨詢服務交付的主要方式包括合作伙伴關系、外包、SaaS 解決方案和常規(guī)服務等。

但是，網(wǎng)絡安全市場的復雜性使一些公司不愿將所有的安全任務都外包出去，市場上的一個變化趨勢是，大公司愿意引入可管理安全服務提供商解決難點和痛點，但并不會全部外包，自主和外包的混合模式將成為主流。

Verizon 2019 DBIR數(shù)據(jù)泄露報告：

https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report-emea.pdf

RBS 2019 數(shù)據(jù)泄露年中報告：

https://pages.riskbasedsecurity.com/2019-midyear-data-breach-quickview-report

文章來源于公眾號安全牛