The Hacker News分析了30份专门针对2020年网络安全和网络犯罪预测的报告,并编译了其中最值得耐人寻味的五大研究结果和预测。

合规疲劳将在安全专业人员之间蔓延

围绕《加利福尼亚州消费者隐私法案 (CCPA)》的争议和辩论还在持续,但它最终在2019年1月11日敲定,并将于2020年1月1日正式生效。

这部法案本意是保护加利福尼亚居民的个人数据安全,阻止被不道德的实体滥用或者在未经同意的情况下使用,该法案规定如故意违反则将受到最高7500美元的罚款,以及每项非故意违规行为将受到2500美元的罚款。

处理加利福尼亚州居民个人数据的组织机构必须执行该法案,不管该组织机构位于哪个地理位置。和欧盟颁发的《通用数据保护条例》类似,数据主体被赋予控制个人数据及其最终用途的各项权利。

不过该法案的隐患在于,如果每个州都推出自己的隐私法律,那么每个组织机构必须遵守50多部存在重合之处而且有时候甚至相互矛盾的法规,否则将面临严厉的经济处罚甚至刑事诉讼。

迅速发展的地区、国家和跨国法规更加剧了这一趋势,2020年,网络安全合规或许受到侵蚀并开始迅速崩溃。一方面司法系统运行缓慢,而另一方面网络安全技能且预算不足,网络安全专业人员可能会开始无视所有繁琐的法规。

第三方数据泄露事故将成为威胁主旋律

赛门铁克公司表示,2019年的供应链攻击增长了78%。富有竞争性和成功的企业通常由熟练度和专业度而见长,它们投入所有可用资源,在某个特定市场表现出色而超越竞争者。

因此,它们将多数次级业务进程外包给技术高超的供应商和经验丰富的第三方,因此来降低成本、提高品质并加速交付。遗憾的是,供应商也在动荡不安且高度竞争的全球市场中运行,因此很少能够为客户承担体面的网络安全和数据保护措施。

IBM表示,2019年识别数据泄露事件的平均用时高达206天。然而,更糟糕的是,这类攻击通常无法被检测出来,它既有攻击的复杂性也有受害者缺乏必要技术的原因,最终导致突然被安全研究员或记者报道而数据所有者则大惊失色。

网络犯罪分子很清楚地了解这种容易得手的目标而且将继续有目的地攻击这个最薄弱的链接以获取你的数据、商业机密和知识产权。

外部攻击面将继续不受控制地扩大

IDG旗下CSO Online 表示,2019年,61%的组织机构曾经历物联网安全事件。全球物联网和联网设备的流行,公有云、PaaS和IaaS 的使用为企业提供了很大的便利性而且使其快速发展。而随之而来的且经常不为人注意的是组织机构外部攻击面的增大。

简言之,外部攻击面由用户所有的数字资产(即IT 资产)组成,攻击者可以从互联网访问这些资产并找到用户所在的组织机构。

传统的数字资产如网络或 web 服务器通常有很多库存,但 RESTful API 和 Web 服务、混合云应用程序和托管在外部平台上的业务关键数据只是不断增长的数字资产的几个例子之一,而这些数字资产是仍无人看管的现代攻击面。

由于我们无法保护不了解的东西,因此绝大部分数字资产并未得到任何形式的正确的维护、监管或保护。

恶意移动应用,欺诈性、钓鱼和抢注网站加剧了这种情况的严重性,而部署适当的域名安全监控可以检测到它们的存在,这种方式开始流行于网络安全专业人员之间。

总言之,随着组织机构更新其 IT 并留下许多模糊的未知数字因素(无论是内部还是外部)的产生,入侵这些机构的过程将变得更加轻松快捷。

云的错误配置将暴露数十亿记录

Forbes平台称,2020年,83%的企业工作量将迁移到云上。遗憾的是,数据云存储和处理的稳定增长将超过负责云基础设施的IT 人员所需的安全技能和足够的培训活动。

高德纳发布报告称,大约95%的云安全失败是由于客户而非公有云基础设施的供应商造成的。

毫不令人惊讶的是,2019年发生的大量数据泄露事件源自配置错误的云存储,从而将规模最大的技术公司和金融机构的头号珠宝遭暴露。

2019年7月,全球媒体都在报道 Capital One 遭遇美国金融行业规模最大的数据泄露事件,影响约1亿美国公民和约600万名加拿大公民。

据称,攻击者利用了一个配置错误的 AWS S3 存储桶,导致无人看管的极度敏感的数据遭下载。虽然Capital One 事件造成的直接损失达到1.5亿美元,但 FBI 随后披露称其它使用类似错误配置的30家组织机构也遭攻陷。

可以预见的是,2020年,云安全事件将始终是造成数据泄露事件的最大根源。

密码复用和钓鱼攻击将激增

ImmuniWeb公司表示,2019年,仅全球规模最大的财富500强公司就在暗网中暴露了超过2100万有效凭证。

网络犯罪分子更喜欢快速无风险的突袭而非费时的APT 攻击、成本高昂的0day 或SAP 中复杂漏洞的连锁利用。

即使很多组织机构最终设法实现了具有强大的密码策略、MFA和持续监控异常的易耗品身份和访问管理(IAM) 系统,但受保护的范围中也很少包括外部系统。

此类灰色区域系统包括 SaaS CRM、ERP 和弹性的公有云平台。即使攻击者在暗网找到或购买的密码是无效的,但它们能够为巧妙的社工活动提供很多思路,从而有助于网络钓鱼和聪明的暴力破解攻击。

通常而言,这些攻击从技术角度乍看很原始,但它们展示了惊人的效率并且无情地破坏和削弱了组织机构的网络安全防御能力。

你觉得在2020年,不可阻挡的趋势有哪些?欢迎在留言区和我们分享。

原文链接

https://thehackernews.com/2019/12/cybersecurity-predictions-2020.html

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。