两年前,时任RSA总裁Amit Yoran在RSAC的主题演讲中认为,在当今的网络安全威胁形势下,防御者如同拿着一张旧地图在海上航行,茫然无助。在当今动态的、不对称的、复杂的和不确定的网络安全环境下,画地图已经徒劳无益,所以我们尝试着做一个指南针。
2018年年初,湖南展瑞在湖南地区接连发起了“2018个人数据安全调查”、“2018企业数据安全调查”,约得到1200余人的共同参与,数万人的话题关注。结合腾讯安全、360企业安全、普华永道等多家行业知名企业、媒体、专家共同对2018年的行业风向进行的把握和预测,在此基础上形成了《2018年中国数据安全10大趋势预测》:
勒索攻击成为网络攻击的一种新常态,攻击方式不断花样翻新
由中国互联网协会指导的2017年度网络空间安全报告发布会发布的《2017年度网络空间安全报告》指出,全球约6300个平台提供勒索软件交易,勒索软件在2016-2017年期间的销售量增长了约2502%,恶意分子倾向于加密被感染设备的数据,向受害者进行勒索。
近期360互联网安全中心发布了《2017勒索软件威胁形势分析报告》,从报告中“受害者感染勒索软件途径”数据可以看出:从整体态势来看,2018年勒索软件的质量和数量将不断攀升、花样翻新,成为网络攻击的一种新常态。
此外,勒索软件造成的经济损失会越来越大。以国内《网络安全法》、网络安全等级保护制度、欧盟一般数据保护条例为代表的全球各国数据安全保护法规相继实施后,受害者支付赎金的数量也会越来越多,但由于各种原因,通过支付赎金恢复文件的成功率将大幅下降。
IPv6、5G等新技术助推物联网的发展,物联网安全威胁日趋严重
据普华永道《2018年全球信息安全状况调查》显示:72%的中国内地与香港受访企业表示其针对物联网安全的战略已经就位,这一数值高于全球水平(67%)。
近十年中,随着多种颠覆性技术的出现和应用,网络发生了巨大的变革,IPv6已经成为5G、IoT、SDN/NFV、云计算以及边缘计算等新兴技术的基础。2017年3月,全球IPv6论坛常任董事、下一代互联网国家工程中心主任刘东表示,目前所采用的IPv4协议地址总数只有大约43亿个,并且已经分配殆尽。
我国在“十三五”规划中也已经明确指出要“超前布局下一代互联网,全面向互联网协议第6版(IPv6)演进升级”,将助推物联网更快的普及。但物联网威胁不止是网络安全问题,还将牵涉到人身安全,我们亟需可实施的防护解决方案。
针对关键基础设施的网络攻击升级,攻防两端的对抗将加剧
2017年举办的第二届“关键信息基础设施等级保护研讨会”《全球关键信息基础设施网络安全状况分析报告》显示,金融、交通、能源三大关键基础设施领域成为网络攻击重灾区,其中34%的网络攻击都发生在金融领域。
针对关键信息基础设施领域的攻击中,敏感信息泄露事件占比最高,高达27.7%,其次为破坏型攻击事件。从报告来看,2018年以破坏和窃取情报为目的的,针对关键基础设施的攻击将逐渐升级。
我国相关主管机构也已经组织了多次针对电力、民航等关键基础设施的攻防演习,从已经实施的《网络安全法》到正在征求意见的《关键信息基础设施保护条例》都将关键基础设施保护上升到了国家战略层面,集中力量、加大投入、创新技术、提升能力将成为保障关键基础设施安全的趋势和方向。
人工智能成为网络安全领域的热点,保护人工智能安全和用人工智能技术保护安全两手都要抓,两手都要硬
2017年12月,中国长沙智能制造展举行。一批投资过50亿元的重大智能制造项目在峰会现场签约。
网络安全智库平台《安全内参》发布的2017年全球网络安全投融资事件Top100中,与人工智能相关的投融资事件超过15起,融资额度超过9亿美元,分布在威胁检测、终端安全、云安全等不同领域。预计2018年人工智能在安全领域的利用将会继续受到追捧。
根据调研机构Gartner公司预测,人工智能将在2020年发布的几乎每一个新软件产品中有所体现。
专家们则提醒注意人工智能应用带来的安全风险。包括人工智能应用深度学习框架中的软件实现漏洞、对抗机器学习的恶意样本生成、训练数据的污染等等。这些威胁可能导致人工智能所驱动的识别系统出现混乱,形成漏判或者误判,甚至导致系统崩溃或被劫持,并可以使智能设备变成僵尸攻击工具。
以培养和提升网络安全实战能力为目标的攻防演练、攻防比赛和网络安全学院成为行业热点
2017年9月26日,历时22天的湖南省公安机关“护网2017”网络安全攻防演练活动圆满结束,并进行了汇报演练。
2017年开始,国内攻防演练和攻防比赛的热度开始明显升温,据不完全统计,全年国内各类不同规模的攻防演练超过了100场,各类网络安全攻防比赛的总数近200场,参与比赛人次近60000人。注重实战型网络安全人才培养,采用校企合作模式的网络空间学院也将在2018年继续成为热点。
云、物联网与数字化推动身份认证技术变革,身份与访问管理(IAM)是一个比较成熟安全领域,但这不意味着没有变化
据调查,企业继续发展云技术,IT、运营、财务和市场/销售等功能将迁移至云端。同一云服务供应商往往为多个大企业共享,这会增加系统故障的可能性。
2017年的Verizon数据泄露报告显示,81%的数据泄露都与身份被窃取有关系。可以说,随着越来越多用户访问远程或者云端资源,身份已经成为当前最有重要性的攻击对象。
目前传统的IAM方案依然根据用户ID来授予访问权限,但随着社交媒体、大数据、BYOD以及物联网的普及,用户在保留ID的同时,会根据其与周围的交互情况,赋予信息访问权限。此外,由于攻击容易复杂,现在正在普及的双因素验证仍略显不足,增加生物识别等新的验证机制。
网络安全新常态推动政企机构建立重保常态化,应急小时化的安全体系
2017年5月的永恒之蓝勒索蠕虫事件和《网络安全法》6月1日的正式实施,对于网络安全行业是一个分水岭,广大的政企机构的攻防态势和网络安全监管形势发生了根本变化,我们称之为网络安全的新常态。
面对这样的新常态,传统完全依赖安全设备和技术的严防死守无法应对国家背景的高级威胁,防护重点需要过渡到加强检测和响应。未来敌方利用的不少漏洞可能是未知的,攻击方式也可能仅出现一次,在这种情况下,不能期望在对方攻进来之前就可以发现和拦截阻断。因此,建立起重保常态化、应急小时化的新一代安全体系是政企机构应对网络安全新常态的有力补充。
安全实施演变成安全能力交付,政企机构从购买产品到购买服务,安全服务化将快速成长
从2017年已经出现的几起政企服务案例来看,已经有政企客户在网络安全采购中从购买产品转到了购买服务,在与安全厂商签定的网络安全合同中安全服务成为了最主要内容,而安全的软硬件产品则成为了配合选项。
据普华永道调查数据显示:2017年中国内地与香港的企业在网络安全方面的平均投入比全球数值高出近四分之一。2018年,政企用户在网络安全方面的支出将进一步增加,以服务的形式购买安全能力、以云的方式交付安全能力将成为趋势。
隐私保护从争议话题开始迈向通过法律和技术方案的务实推进
个人信息数据是企业的核心资产,企业在强调权利的同时,也应切实担负起保护用户隐私安全的责任。如果企业行为可能给用户造成危害,企业有责任和义务保护用户数据,但也要法律先行。
目前我国没有统一的个人信息保护法,虽然《网络安全法》作为我国网络领域的基础性法律将个人信息保护列入其中,既是出于国家网络空间主权和网络安全考虑,也是对当前个人网络信息安全严峻现实的直接回应,但远不能全方位地保护个人信息安全,也存在个人信息保护的法律漏洞。但是通过“徐玉玉案”等一系列案件给社会带来的不良影响,使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害,同时也催生个人信息保护立法落地。
数据成为数字化转型时代的“石油”,数据安全保卫战将全面打响
根据调查反馈,中国内地与香港有46%受访者表示客户数据泄露是最直接影响,财务损失(38%)和商业邮件入侵(36%)紧随其后。
对2017年全球发生的近300起重大安全事件分析发现,其中75%的事件与数据泄露、数据窃取和数据勒索有关,而且有趣的是,数据泄露越来越丰富,我们能想象到或者接触到的数据都泄露了。
根据Verizon数据泄露调查报告,75%的数据泄露是外部人所为,也就是各种网络攻击造成的,而其他25%是由内部威胁造成的,所以数据安全面临内忧外患。《网络安全法》2017年6月1日正式实施依赖,已经发生了多起企业、机构和平台由于数据保护不利或者因数据保护相关法规执行不到位被处罚的案例。
可以预见,在业务需求和监管双重压力下,2018年,数据安全保卫战将在网络安全领域全面打响。
随着一系列新技术的崛起,人工智能、物联网、RPA / IPA、区块链、大数据分析、云以及增强现实/虚拟现实等正进一步颠覆全球商业格局。中国在物联网发展和应用上处于世界领先地位,随之而来的冲击也会更多。在中国营商的企业需要及时适应当地市场的高速发展变化,保持竞争力。在中国的许多企业,尤其是科技为先的企业,对于网络安全的潜在威胁反应越来越敏捷,因为他们有很强的意识,持续保护其网络安全,期望先发制人,通过预防来降低风险。
企业除了需要应对网络安全挑战,我们也提醒企业必须及时了解严格的新监管层面的法律法规。例如2017年6月起生效的《中国网络安全法》,以及将于2018年5月开始施行的《欧盟通用数据保护条例》(GDPR)。企业需要确保严格遵守规则,了解不合规的风险所在。
2018来了,
这是充满机遇与挑战的一年,
这也是数据安全领域蓬勃发展的一年。
你准备好了吗?
注:本文信息内容综合整理于腾讯安全、360企业安全、普华永道等多家企业调查数据,如有引用侵权,请及时与我们联系进行处理。