您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

2018年的网络安全规划

发表于:2017-12-24 作者:佚名 来源:安全加

本文回顾了9个机构归纳的2018年网络安全发展趋势,并预测15个可能发生的2018年网络安全事件类型,有鉴于此大家还给出了11点网络安全方面的希望和建议,最后提供一份来自ESG/ISSA 的调查报告,报告显示数百家企业在制定2018年网络安全预算的时候,作出的5个共性考虑与选择,这可以作为您的2018网络安全规划的参考。

2018年的网络安全规划

2018年网络安全发展趋势或预测

  1. 2017网络安全发展回顾与2018网络安全发展趋势, 创新、协作与安全意识
  2. 2018网络安全发展趋势如何, 来看2018网络安全6家谈
  3. 2018网络安全发展趋势 ,10个关键词表述安全事件主要特征
  4. 2018网络安全发展趋势, 人工智能与攻防PK
  5. 2018网络安全发展趋势, 高级威胁防御技术5个方面需关注
  6. 2018信息安全发展趋势 ,Gartner说支出将达930亿美元, 主要是升级购买

行业安全发展趋势:

  • 2018金融信息安全发展趋势, 8点金融信息安全威胁扎心
  • 2018工控安全发展趋势, 8个方向直击工业控制系统要害
  • 2018物联网及其安全发展趋势 ,17位专家形成7532阵型

来自新浪财经的消息称,在企业的经营管理中,合规与风险预防始终是重中之重,来自内外部的威胁,曾使得很多企业代价惨重。垃圾邮件、病毒、间谍软件以及员工不恰当行为,往往令企业处于商业机密被窃取、舞弊指责、政策监管的风险之中。

如何应对网络安全的威胁,是企业经营管理中的重大课题,同时亦是健康商业环境的应有之义……此外,受影响较大的行业还集中于金融服务、卫生医疗、能源、运输及其他一些公共服务行业。……企业的安全风险,往往分为内外两方面。相比外部环境等风险,来自企业内部的风险,往往更直接,危害也更严重。

对很多中国企业来说,由于外部法律环境和商业环境的不完善,以及内部治理模式和流程的不完善等因素,商业秘密的保护一直是个比较难的问题,商业秘密的侵权认定也一直是一个难点。

2018年网络安全事件预测及我们的良好愿望

据估计,2016年 网络犯罪活动中有3万亿美元被盗。有人认为,由于网络犯罪造成的美元数额,在未来几年内很容易增加三倍。

1. 2018年网络安全事件预测

  1. 一个或多个 物联网僵尸网络 将再次造成中断,DDoS或类似Mirai的其他类型破坏。 最近发现的两个僵尸网络的例子是 Reaper僵尸网络 和Satori僵尸网络, 他们肯定不会是最后一个。在一些 易受攻击面上,包括默认密码、连接的云或整个物联网生态系统中最薄弱的环节,这些威胁形式都会进行利用。
  2. 网络犯罪将会作为一种服务持续扩大规模。您不再需要成为黑客或开发人员,去运行 僵尸网络 、分发 勒索软件 或入侵电脑, 你只需要几百美元,就开始自己的网络犯罪业务, 技术支持服务可能比主要科技公司的软件支持还要好。无需 命令行,只需连入并点击,就可以营业了。 不仅如此,您购买的漏洞,还有性能保证。
  3. 更多的 0Day漏洞 代码泄漏将会发生,比如Wikileaks的 Vault7 和 Vault8 ,这将使得攻击者能够轻松地入侵受害者,直到修补程序被开发并且实际安装上去。
  4. 从发现漏洞到释放漏洞利用方法PoC,再到利用漏洞进行攻击的停留时间,将持续减少。
  5. 我们将看到更多合法的软件被修改,利用合法数字证书,最终用于恶意目的。 代码有效性的持续验证将变得更加重要。
  6. 我们将看到 网络机器学习展开军备竞赛 ,竞赛在网络防御者的机器学习与网络攻击者的机器学习代码之间展开。
  7. 我们将在网络媒体上看到“假新闻”的网络武器化。(安全加小编将在后续有篇文章来解释这个有趣的事情)
  8. 勒索软件将继续发展,将会具有新的目的、目标和技术。 例如:被锁在门外(物联网/智能家居锁),或者汽车外,然后要求赎金。
  9. 比特币和 加密货币 的狂热,将成为网络犯罪分子的一大利器,这些犯罪分子将针对交易平台以及个人利用等较为简单的目标和脆弱性入手,窃取资金。
  10. 我们看到的传统恶意软件,比如可执行文件,会变少,而更多的会出现无文件恶意软件,攻击的意图转移到命令行,劫持用户凭据,提升权限,然后利用像Powershell,Win32等合法进程/实用程序,进而利用计算机。先进的终端安全,需要比以往更加能够识别什么是恶意的行为。
  11. 更多的计算机将受到 APT (高级持续性威胁)的威胁,这是一种持续性的攻击,除非计算机上的每一次更改都被记录下来,否则无法清除,这种局面一种方式可以通过下一代终端防护解决方案来逆转, 另一种方法自然是全盘擦除,然后重建映像。
  12. 高级攻击者,将利用大多数杀毒软件无法检测到的固件/硬件漏洞,进行攻击。
  13. 我们将会看到至少有一起诉讼起诉,将利用从亚马逊Alexa、Google Home或类似的设备,从中获取到你到录音,作为呈堂证供。
  14. 公有云和在线仓库中将会出现一些重大的数据泄露行为,如GitHub公开私钥、密码、特权信息和可能的知识产权。
  15. 欧盟以外的公司,将会出现违反GDPR的违规行为,罚款数百万美元。

2. 2018年网络安全愿望清单

  1. 希望董事会和CISO一起工作,沟通和了解业务的风险。 共同合作,以合理的周期更新其技术、可视性、流程和防御能力,希望比前几年快得多。
  2. 希望意识到大多数GRC 安全合规 性是一个很好的开始,是启动风险管理计划的基础。 然而,这不应该被视为最终的目标,而只是一个开始。如果不相信, 你去问 问一个好的红队 ,如果我们遵守了合规性,那么他们就无法完成网络 渗透测试 任务。 答案显然是不太可能的。
  3. 希望笔记本电脑和台式机的补丁周期,需要缩短到几天,甚至几个小时,而不是几周或几个月。
  4. 希望所有参与网络弹性决策和规划的人,都不会低估他们的对手。
  5. 希望 人工智能 和机器学习将是网络防御所必需的,因为攻击者也会利用它。
  6. 希望物联网设备,特别是消费设备,将定期提供安全更新,最少是五年更新一次。 更多的商业和工业设备合同,将有制造商支持安全补丁的明确要求。
  7. 希望物联网设备在销售给消费者或行业之前,将经过某种类型的安全认证程序。
  8. 希望网络安全合规,被视为风险管理计划的一部分,以避免罚款和其他法律处罚,但不应被视为整个风险管理计划。 遵守这些法律法规应视为网络安全审计职能的一部分。
  9. 希望监管机构了解他们的网络安全标准遵守要求是否繁重,他们可能实际上将风险管理项目的预算和资源,从风险管理项目中分离出来,这些风险管理项目的风险甚至可能超过他们所实施的标准。
  10. 希望大家不要过度依赖IOC指标。 网络犯罪分子可以改变 恶意软件 哈希值、域名和IP,这个速度比分析师验证它们的速度更快。 其中很大一部分,可能是后知后觉,你拿到的IoC可能只是历史指标而不是可以依赖的前瞻性指标。 只有缓慢防御的对手才会依赖IoC。
  11. 需要更多地关注TTP(工具、技术和过程,也有称为战术、技术和过程),更少关注IOC(事件攻击指标)。

不要因为你的企业合规了,就认为你的企业是安全的。

2018企业网络安全及行业网络安全调查报告

最近一份来自ESG和信息系统安全协会ISSA的报告《网络安全专家的生活和时代》称 , 在过去数年中,各组织中的343名信息安全专业人士,曾被要求确定其组织中采取的 网络安全 行动。 这份清单可以为企业及行业应对2018年的网络安全挑战或者制定网络安全规划提供参考。

在报告中,一些回答比例最高的条目如下:

  1. 52%的组织采用了部分或全部 NIST网络安全框架 (CSF)。 如果您没有注意到这一点,您会惊讶地发现,NIST CSF已经成为许多行业的标准风险管理工具,并且已经发展为 网络保险 的制定提供了基准指标。 1.1版草案最近出版了, 承诺给网络供应链带来更加清晰、通用的语言和可扩展性。 最后,CSF很可能会与主管机构委员会(COSO)风险管理框架(第二部分)相辅相成,后者更侧重于企业和企业风险。 总的来说,在2018年可以看到更多的风险管理方面的推进, 包括最近对高级防御技术的描述 。
  2. 50%的组织增加了安全和IT人员的 网络安全培训 。 好的,这是个好消息。 坏消息是接受调查的网络安全专业人员中,有62%认为他们从组织那里获得的培训水平仍然不足。 网络安全培训将在2018年增加,但可能不会如此。
  3. 49%的组织提高了非技术员工的网络安全培训水平。 这可能是一个很好的投资,但是太多的组织会通过网络安全培训的动作,将其视为复选项。 令人遗憾的是,许多机构仍将继续增加培训预算,但在这一过程中投资回报率甚微。 我看到领先的公司,正在通过以用户为中心的 渗透测试 ,比如白帽子 钓鱼攻击 活动,使用KnowBe4 、PhishMe和Wombat Security的工具,来加倍努力。 我也看到更好的交流,像解释为什么用户操作被阻止,而不是简单地屏蔽他们,并向他们传递加密信息。持续 教育非常重要,所以我希望CISO和人力资源经理能够在这方面作出改进,而不是仅仅在2018年增加用户培训的量。
  4. 48%的组织增加了网络安全预算。 ESG即将发布2018年IT支出意向研究,其中包括网络安全预算的重点。 扰乱警报:大多数组织将在所有行业中增加2018年的网络安全预算。 然而,即使有这种增长,安全团队也会发现,在网络安全的所有领域进行投资,非常具有挑战性。 在2018年,首席信息安全官将制定一个投资组合管理的方法来投资,寻找方法来使用 机器学习 技术、安全运营自动化/业务流程工具、 安全管理服务 和 软件定义安全 选项,以满足需求,并作为对成本上升的对策。
  5. 48%准备遵守一项或几项新的监管要求。 2017年,纽约州推出了金融服务公司的新规定,而许多全球公司开始了 通用数据保护条例GDPR 准备。 随着五月份截止日期临近,GDPR将继续成为2018年投资热点区域,但是我怀疑这是否会结束。 我希望在2018年对 物联网设备的安全性 进行大量的审查,或许还有一些初步的规定。哦,一个大的 数据泄露 或服务中断肯定会在一夜之间改变立法的态度。 作为一名美国公民,我希望华盛顿重视从 Equifax数据泄露 和GDPR等方面吸取的经验教训,开始在本地开展合理的数据隐私和 网络安全法规。

ESG / ISSA的数据表明,过去的网络安全是序幕。 希望CISO不仅能获得更多的现金,而且还能通过各自对于2018年的规划。相反,我希望他们能够评估需求,流程和资源,并利用不断增加的预算,来提高基础网络安全。