2020年03月24日
迄今為止,關于2020年網絡安全領域的預言想必你已經看過很多了,確實,預言已經多的不值一提了,今天之所以還做這個主題,是因為我要說的是2020年你并不會看到的8大網絡安全趨勢,想不想去了解一下。
在許多文化中,新年伊始都會被視為新希望的開始。我們有機會重啟、刷新、重設、從錯誤中學習,并憑借大量的精力和驚人的計劃來繼續前行。但是,由于在過去的2019年有超過50億個敏感數據記錄被盜,所以我認為預測2020年網絡安全領域不會發生的事件可能會更為準確些。為此,我們訪問了Secure Code Warrior聯合創始人Matias Madou,并提出了以下8大趨勢:
1. SQL注入從所有軟件中根除
對于這一天的到來,我們已經等待了20多年,遺憾的是,我們還要繼續等下去,至少這一天不會發生在2020年。迄今為止,這種缺陷始終堅挺,就像蟑螂一樣無法徹底根除。具有諷刺意味的是,在這種缺陷存在之初就同時發現了補救措施。但是,在軟件開發的每個階段(尤其是確保一開始就正確)對安全最佳做法的優先級仍然太低,自發現SQL注入漏洞以來,代碼產量已經發生了爆炸式增長,目前的安全實踐很明顯并不夠應付這種情況。
2. 開發人員和應用安全人員成為最好的朋友
沒錯,開發人員和應用安全團隊。他們是會友好相處,還是注定要像洛奇vs阿波羅(美國拳擊史上的兩大名人)那樣過著競爭的生活?答案是他們能夠相處,只是現在這種局面可能還不會出現,因為他們的工作重點還存在很大差異。
當他們雙方同處在項目環境中時,他們通常是處于對立面的,而且,一旦應用安全專家開始仔細研究開發人員的代碼時,沖突可能就會一觸即發。試想一下,開發人員費盡心思構建了一個頁面精美且功能齊全的軟件(當然,這是他/她的首要任務),但是,一旦應用安全專家在其中發現安全漏洞,該軟件將難以面世,甚至會被徹底否決。實際上,應用安全專家經常會在開發人員的軟件中發現這樣或那樣的問題,并迫使他們回去修復所有的錯誤,這通常會延遲軟件的部署上市進程。
就目前這種狀態來看,直到這兩個團隊懂得朝著一個共同的目標(即開發安全軟件)努力之時,這一問題才能得到解決。遺憾的是,這種情況不會發生在2020年。但是,隨著DevSecOps運動的到來,開發人員已經開始認識到提高軟件安全性的必要性,并朝著更高標準(將安全嵌入開發過程中)邁進。
3. 安全專業人員供過于求
在2020年,2025年,2030年……乃至更遠的未來,幾乎可以肯定的是,在安全專業知識方面,全球范圍內仍將面臨人手不足的現象。根據ISC公布的數據顯示,目前大約存在293萬個網絡安全職位空缺。
在不久的將來,我們解決技能短缺的最佳機會是將安全性作為組織優先事項,并提高我們現有員工的技能,這就意味著要為開發人員提供培訓和工具以安全地進行編碼,并建立全公司范圍內的安全文化。當前大多數應用安全團隊可能正在與一些眾所周知的老舊安全性漏洞作斗爭。如果我們能夠保證他們不必花費寶貴的時間和精力來解決這些常見問題,那么他們將有更多的精力投入到更為棘手的安全問題中,例如API和適應開發流程的構建工具。
4. 更少的代碼產量
世界正在以驚人的速度進行數字化,社會需求不會動搖。根據思科和Cyber security Ventures的研究報告顯示,每年編寫的代碼行約為1110億行,而對于已經擴展的AppSec團隊來說,這一數字只會變得越來越龐大,越可怕。
5. 被盜數據記錄減少
更多的代碼也就意味著更多的安全漏洞,而更多的漏洞又為攻擊者提供了更多的機會來尋找竊取數據的方法。2019年,全球至少有53億條數據記錄被盜,對于攻擊者的防御仍然只是一種拼命的反應式爭奪戰。這個數字在2020年可能不會翻倍,但應該也不會差太遠。
根據Statistica公司的研究發現,在美國,泄露和被盜記錄數量呈上升趨勢,并于2017年達到了峰值。在2018年,攻擊數量呈下降趨勢,這可能是由于采取了更為嚴格的安全措施所致,但獲取的記錄數量仍是有史以來的最高水平。展望未來,網絡攻擊將變得越來越復雜和規模化,所以被盜數據記錄短期內不會出現放緩跡象。
6. 開發人員要求更長、更頻繁的基于視頻的安全培訓
如果說有件事是開發人員喜歡的,那就是在電腦上觀看數小時的培訓視頻。事實上,開發人員需要的就是這種有吸引力的內容,Netflix將宣布一個全新的子類別,專門用于通用安全培訓視頻。
不過不是現在,不是2020年,時機還未到。對于開發人員而言,所謂安全培訓通常是在工作場所進行合規性介紹,對于安全編碼甚至軟件安全的內容根本鮮少提及。毫不奇怪,開發人員通常不喜歡這種培訓。
為了使開發人員認真對待安全性并進行有用的培訓,該培訓內容必須要與他們的工作相關,具有吸引力并存在關聯性。一次性合規培訓-或無休止的無聊視頻流-并不是開發人員的內心之道,也不會減少漏洞。
如果您希望開發人員能夠心存防范常見漏洞的安全意識,并成為防御威脅的中流砥柱,那么,請讓他們使用真實的代碼示例(他們在日常任務中會遇到的那種)進行工作。培訓內容要精煉,易于掌握,并以一種有趣的方式激勵學習。為了使安全文化蓬勃發展,它必須是積極的、可參與的,并且能夠在整個組織中發展出真正的技能和解決方案。
7. 與網絡安全相關的事件導致零死亡
我已經強調過很多次了,除非人們開始出現死于網絡攻擊事件的案例,否則世界根本不會真正關心網絡安全問題。但是現在問題是,這種基于網絡攻擊的死亡事件已經發生了,只是并沒有在很大程度上引起關注。
事實證明,針對美國醫院的網絡攻擊事件與2019年心臟病發作死亡人數增加有關。當然,攻擊者并未直接造成患者心臟病發的致命事件,但他們對醫院系統和設備釋放的勒索軟件攻擊卻減慢了重癥監護的治療時間,間接導致了病人的死亡。
中佛羅里達大學針對3,000家醫院進行的一項研究發現,其中311家醫院經歷了數據泄露事件。在這些受到安全事件影響的醫療機構中,醫護人員平均要多花費2.7分鐘才能為可疑的心臟病發作受害者提供心電圖,這可能是由于程序更改,新實施的安全措施以及IT支持問題所花費的時間比原來更長。識別和治療心臟病是一場與時間的競賽,數據顯示,這些遭受攻擊的醫院平均每年每10,000例心臟病發作案例中就會多增36例死亡案例。
8. 擺脫“戴面具的黑客”的古板印象
如果在圖像搜索欄中鍵入“黑客”一詞,你將不可避免地看到數千個戴著帽子、不露面的人物在筆記本電腦上打字的畫面,或是戴著Guy Fawkes面具的畫面等等。這種刻板的黑客形象實在是太過根深蒂固。但其實,網絡安全領域多的是好人,這種黑客形象所賦予的負面含義只會使每個人都受到傷害,正可謂“一棍子打翻一船人”。
如今,2020已走完了1/4的歷程,你覺得上述這些情況會發生改變嗎?也許說不準,但是敢作夢還是很美好的。目前,最重要的是要記住,安全并不是一個值得恐懼的事情!
江蘇國駿為您提供全面可信的信息安全服務
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
長按二維碼關注我們
