1.實施GDPR
歐盟通用數據保護條例(GDPR)要求在歐盟運營的每個企業保護歐盟公民的隱私和個人數據。如果妳不遵守規定,妳將受到很高的懲罰。GDPR對個人數據的構成有非常廣泛的規定,因此這將是壹項非常繁重的工作。在2018年7月的壹份關於數據隱私法的報告中,Ovum指出,三分之二的企業認為他們將不得不調整工作流程以實現合規,超過壹半的企業擔心他們可能會因不合規而被罰款。
2.管理托管和非托管設備
隨著用戶使用的移動設備(托管和非托管)的數量和範圍不斷增加,企業網絡在降低相關風險方面正面臨艱巨的挑戰。物聯網將許多聯網設備(其中許多設備很少或沒有內置安全性)連接到以前的安全網絡,導致易受攻擊的終端數量呈指數級增長。企業應把握這壹趨勢,在壹定程度上控制非托管設備的使用,對托管設備建立明確的協議。
制作壹份完整的清單
根據Ponemon在2018年進行的壹項調查,盡管97%的安全專業人士認為不安全設備導致的網絡攻擊可能對他們的企業造成災難性的影響,但只有15%的企業擁有連接到其系統的物聯網設備列表,其中不到壹半的企業擁有允許他們與被視為高風險的設備斷開連接的安全協議。企業必須主動針對這些漏洞采取措施。今年,我們希望看到更多企業遵循NIST的最佳實踐建議,為所有聯網設備建立實時庫存。不僅是那些有線連接的設備,還有那些通過Wi-Fi和藍牙連接的設備。
4.有針對性的網絡釣魚攻擊
對於黑客來說,個人數據是越來越有利可圖的財富。妳可以從暗網購買從臉書等社交媒體網站的攻擊中挖掘的數據,然後使用這些數據為社交工程攻擊工程師提供他們成功鎖定個人所需的信息。這導致APT(高級持續威脅)組織發起越來越復雜的攻擊。現在很少有人會陷入“尼日利亞”騙局,但如果釣魚郵件來自可信的來源,或者引用了妳認為垃圾郵件發送者不會擁有的個人數據,就很難發現了。卡巴斯基認為,魚叉式釣魚將是2019年企業和個人面臨的最大威脅。
5.勒索軟件和采礦劫持
勒索病毒攻擊雖然在減少,但壹定程度上已經被挖礦劫持(劫持電腦挖礦加密貨幣)所取代。這些攻擊使用類似於勒索軟件的戰術,但需要較少的技術專業知識。惡意軟件在用戶不知情的情況下在後臺工作,因此很難估計這個問題的真實規模,但所有證據都表明,這個問題越來越嚴重。
2018 (WannaCry,NotPetya)的轟動性攻擊也表明,雖然隨機低級勒索軟件攻擊的數量在減少,但復雜的針對性攻擊在壹段時間內仍將是壹個問題。我們預測2019年挖礦劫持和定向勒索攻擊將繼續增加。
6.用戶訪問權限
有效管理用戶權限是強大安全措施的基石之壹。授予用戶不必要的數據訪問權限或系統權限,會導致數據被意外和故意濫用,為外部攻擊留下漏洞。識別和訪問管理(IAM)系統是應對這種風險的主要方法。它為管理員提供了監控和評估訪問的工具,以確保遵守政府法規和公司協議。這個新興領域的許多解決方案仍處於起步階段,但它們已經證明了自己的商業價值。我們預計來年將會有越來越多的解決方案。
7.端點檢測和響應(EDR)
端點檢測和響應是壹項新技術,可持續監控接入點並直接響應高級威脅。EDR解決方案主要側重於在入口點檢測事件,包括防止網絡感染、調查任何可疑活動以及恢復系統完整性的補救措施。傳統的端點保護平臺(EPP)主要是預防性的。EDR增強了威脅檢測,遠遠超出了傳統EPP解決方案的能力,並使用行為監控和人工智能工具來主動搜索異常情況。網絡威脅的性質已經發生了變化,我們希望有新壹波的安全解決方案,將傳統的EPP與新興的EDR技術相結合。
8.深度虛假視頻
眼見不壹定為實。自動化人工智能技術已經被開發出來,它可以創建和檢測深度虛假視頻。此類視頻可能描述從事非法或色情活動的名人或政治家,或發表煽動性言論的國家元首。即使形象被證明是虛假的,也會造成持久的名譽損害或嚴重的不可挽回的後果。這不僅凸顯了事實核查的重要性,也讓人對這項技術產生了隱約的擔憂。深度造假視頻往往像病毒壹樣傳播,這使得它們成為傳播惡意軟件和發起釣魚攻擊的絕佳工具。在接下來的壹年裏,我們都應該警惕這種不良趨勢。
9.雲安全
將服務和計算解決方案遷移到雲中給企業帶來了許多好處。然而,這也開辟了新的風險領域。令人擔憂的是,網絡安全技能仍有很大差距,新壹代網絡犯罪分子正在積極探索利用雲服務尋找漏洞。許多企業仍然不確定他們應該在多大程度上負責保護數據,即使最好的系統也可能因為違反協議而被破壞。我們需要重新定義雲的安全性,並采取主動措施。
10.用戶意識
以上幾乎所有領域,最終都取決於用戶的理解。木桶的容量取決於最短的木板。如果我們想保護我們的數據和網絡,那麽我們都必須承擔風險。最重要的是,我們希望所有用戶都能提高認識,在限制威脅和補救措施方面進行更全面的教育。知識就是力量,掌握在我們手中。
(原標題:這十大網絡安全趨勢,誰都躲不過!但是結果取決於...)