由于全世界技术型工人的缺口估计在180万到350万之间,安全领域的从业者在工作上可谓得心应手。尽管有很多工具可以帮助他们,但是绝大多数工具都存在集成方面的难题。虽然攻击者可能会将更多的注意力转向政府和政治目标,但是,保障企业网络的安全并不会在2019年变得更轻松。请做好准备,迎接这场长期且缓慢的斗争。
有鉴于这个严肃的前提,下面就来看看新年的五个预测。
属于整合的一年
正式的估算很难获得,但对Crunchbase报告的初略计算显示,安全领域的初创公司在2018年筹集了60多亿美元的资金。该投资数据库还列出了3,000多家公司,这些公司出现在其“网络安全”的市场类别。选择真多!
选择实在是太多了。IBM估计,普通企业使用了由40家提供商提供的80种不同的产品。光是将不同来源的大量信息拼凑在一起就很困难了,结果就是,组织往往没有充分利用可资利用的功能。
如果2018年末股市持续低迷,那么很多初创公司将开始谋求退路。随着思科和IBM等公司雄心勃勃地扩大其网络安全的影响力,这些初创公司将遇到大量的潜在买家。尽管创新可能会因整合而减弱,但买家在整合时会更省心。
其他人如何看待这个预言
• “根据Enterprise Strategy Group Research的数据,拥有1,000名员工或超过1,000名员工的公司中约有53%的公司在其网络中部署了三个或三个以上的不同的端点安全网络。这会造成很多浪费。在未来一年,随着规模更大的参与者将初创的技术加入其产品组合中以创建更广泛的产品,解决方案提供商的数量将会减少。”——CSO Online的撰稿人Rick Grinnell如是说
• “2019年,安全行业的公司将继续整合,特别是那些已经开发出与数字身份(包括引导、认证以及对特权和访问的持续管理)相关的技术的公司。”——Veridium Ltd.的首席全球战略师Todd Shollenbarger如是说,引自《福布斯》
• “明年,小型的安全厂商将因各种原因(如人才、基础技术)而被收购,它们还将推动传统的安全供应商或网络供应商惨淡的收益。此外,有些传统的大型公共安全厂商因其传统的内部架构而停滞不前,私人股本公司吞并它们的时机已经成熟了。”——Netskope Inc.的创始人兼首席执行官Sanjay Beri,引自了Inc.。
云方面的攻击加剧了
云计算提供商在过去几年中一直试图让客户相信,它们提供了世界一流的安全性。在2019年,为了证明这一点,它们将接受比以往任何时候都要多的考验。各种业务渐渐加快了向云端的迁移,这使这些服务越发地成为恶意行为者攻击的目标。
云提供商必须铁下心来,不仅要应对泄密,还要防范拒绝服务攻击(denial of service attacks)和其它扰乱客户的活动。它们还需要更好地教育客户,让他们对自己的数据负责,以防止最近发生的事件再次发生,如联邦快递在未受保护的服务器上留下119,000份文件,Panera Bread Co.也因类似的原因而使3,700万的客户记录受到损害
其他人如何看待这个预言
• “业界人士都体验了大规模向云端迁移的现象,但是大多数公司的工作都没有做到位,它们没有像保护数据中心那样保护云端——而且坏人知道这一点。我们处理的大约20%的事件响应和违规行为涉及云,这不是没有原因的。钱在哪里,坏人就在哪里。”——这是FireEye Inc.的首席安全官Steven Booth提出的想法,写于公司的年度预测概要
• “低效的用户名/密码难题多年来一直困扰着消费者和企业。解决这个问题的方案有很多(如非对称加密、生物识别、区块链、硬件解决方案等等),但到目前为止,网络安全行业还未能选定一个解决此问题的标准。在2019年,我们将看到,企业将更加齐心协力,将密码完全替换掉。”——Malwarebytes Corp. Labs,在公司博客上写道
经济和政治领域的间谍活动将会增加
由于近期的贸易紧张局势处于最高水平,全球局势越来越不稳定,由国家资助的犯罪分子有可能造成比以往任何时候都要严重的破坏,并且越来越多的国家和政治团体愿意为其服务买单。今年,攻击者将把矛头指向市政基础设施、航空公司、医院,甚至是报纸的分销网络,大多数情况下,其目的是使服务瘫痪而不是窃取个人信息。
即将到来的2020年美国大选将是一个诱人的目标。唯一积极的一方面是,犯罪分子至少有可能暂时分心,不去攻击更传统的商业目标。
其他人如何看待这个预测
• “据我们观察,去年至少有五家软件供应链受到了损害,这个数字比我们过去看到的要多。供应链使攻击者可以攻击多个颇具价值的目标,以便获取大量信息。此外,如果威胁源起方(threat actor)十分深入到供应链中的目标,那么他们很有可能不会被注意到。”——Fireraye Inc.的全球情报部门负责人Sandra Joyce如是说
• “攻击者不仅会以人工智能系统为攻击目标,他们还会征用人工智能技术来加强犯罪活动。由人工智能提供支持的自动化系统可以探测网络和系统,从而搜索尚未发现的漏洞,它还可以创建极其逼真的视频和音频、或旨在欺骗某一些人的精心设计的电子邮件,使网络钓鱼和其它社会工程方面的攻击变得更加复杂。人工智能还可用于发起逼真的虚假宣传活动。例如,不妨想象一下,一个由假的人工智能创建的逼真视频,该视频显示公司首席执行官宣布大量财务损失,重大安全漏洞或其他重要新闻。”——首席技术Hugh Thompson和安全分析总经理Steve Trilling赛门铁克在公司博客上这样写道
•“绕过人工智能引擎已经成了犯罪分子的待办事项。然而,犯罪分子还可以在恶意软件中实施人工智能。我们期望规避攻击的技术可以渐渐利用人工智能将目标的选择自动化,或在部署后期阶段和避免检测之前检查受感染的环境。这种实施办法在威胁环境中改变了游戏规则。”——迈克菲实验室得出了这样的结论,引自迈克菲公司的《2019年威胁预测报告》
其他人如何看待这个预测
欧洲的《通用数据保护条例》只是一个开始。刚刚过去的一年暴露了大量的真相,如网络巨头的隐私方面的失误或滥用,以及消费这对个人信息被使用的方式越来越警觉。已经有十几个国家引进了新的隐私法或收紧了现有法规,加利福尼亚州引进了隐私法,这些隐私法反映了《通用数据保护条例》的许多条款。这个故事还会有更多后续报道,如果隐私在2020年的选举中成为一个问题,请不要感到惊讶!
好消息是,对隐私采取积极主动的方法和保护性方法的公司可能会发现,这样的策略会给它们带来竞争优势。法规为组织带来了机会,使它们可以做大量的投资,如清理数据存储、提高效率并降低流程中的风险。那些在不违反法律的情况下能够想出新的方法将客户关系个性化的公司可以从落后的竞争对手那里抢占先机。
其他人如何看待这个预测
• “与《通用数据保护条例》合规的最初工作阶段是让组织了解自身是如何控制数据布局(data placement)和隐私的。如今,组织将希望以某种方式将《通用数据保护条例》的数据转化为收入来源。2019年的商机就是将《通用数据保护条例》的数据的模型、语义和报告汇集起来,并作为收入来源来开发。”——MapR Technologies Inc.的数据和应用高级副总裁Jack Norris如是说
•“消费者将慢慢地(但越来越多地)关注那些在数据隐私和数据关怀方面处于领先地位的公司。对变革的抵制是客观存在的,而那些领头的公司将比那些落伍的公司更具经济优势。”——Talend SA的首席技术官Laurent Bride如是说
• “无论公司是否受到《通用数据保护条例》的影响(其实大多数都会受到影响),它们都应该将其视为一个框架,这对于那些以此为基础来创建流程的公司来说是一个很好的起点。”——虹天软件(Quest Software Inc)的产品管理高级顾问Adrian Moir如是说
•“任何的美国隐私法都有可能推翻《通用数据保护条例》,也有可能受其启发。因此,美国的隐私法改革更多的是借此机会为《通用数据保护条例》创造一个制衡的模型。另一方面,如果美国的隐私法改革搞砸了,这可能会在欧洲触发更多的政治反弹,在美国本土以外的行业应发更大的问题。”——Access Partnership的全球公共政策主管Laura Sallstrom如是说
•“企业将越来越多地采用‘隐私至上’的数据管理方法。”——Commvault Systems Inc.的全球解决方案营销高级总监Don Foster如是说
•“虽然立法和监管方面的行动有小幅增加,以解决安全和隐私需求,但有些要求与其说有益,不如说适得其反。例如,过于宽泛的法规可能会禁止安全公司在发现和应对攻击的过程中共享通用信息。如果考虑不周的话,安全和隐私法规在堵住一些漏洞的同时可能会产生新的漏洞。”——赛门铁克的Thompson和Trilling如是说
区块链:等到明年
区块链的前景令人着迷。这是一种匿名,分布式,加密和防篡改机制,这种机制可用来验证数据,这些数据大有可为,如保护磁盘存储、为证券交易所供电等。但在2008年推出后的十年间,区块链因种种原因而使采用受挫,如扩展性问题、复杂性以及人们对其应用程序缺乏了解。这并没有阻止区块链初创公司筹集数十亿美元的风险资本,甚至也没有阻止它们发明自己的融资机制,即首次公开募币。
尽管如此,正如我们上个月所报告的那样,消除妨碍区块链得到广泛采用的结构性障碍尚需时日。这项技术将在某个时候爆发,但这不会发生在2019年。
其他人如何看待这个预测
•“越来越多的企业会渐渐采用区块链,但这只有在区块链与加密货币的负面声誉划清界限后才能实现。”——Teradata Corp.数据科学和高级分析产品营销总监Sri Raghavan如是说
• “当区块链社区和开源社区变成同义词时,两者之间的界限就模糊了。因为开源可以通过透明度提供安全性,它已经引起了广泛的关注。去中心化也具有同样的透明度原则。如果一个平台是专用的,那么它就不能去中心化,因为拥有软件代码的组织最终会成为核心的故障点。”——Storj Labs Inc.的执行主席Ben Golub如是说,引自《福布斯》
• “区块链”这个术语有一大堆问题,这些问题被认为是其没有得到快速采用的原因之一。很多研究人员认为它应该被另一个术语取代,也许是“分布式账本技术(DLT)”。分布式账本技术这一术语更加中性,它将这项技术与加密,首次公开募币以及投资者和开发人员认为不值得信任的其他一切东西区别开来。”——Global Coin Report的Ali Raza如是说
京公网安备 11010502049343号