在2016年的日子里,各行业在IT安全方面一直被黑暗的新闻所主导。关于大规模DDoS攻击,国家层面支持的黑客,以及其他不断发展网络威胁,这些新闻不太可能在人们进入新的一年时发生巨大变化,但2017年将会有一个亮点。随着网络威胁的增加和业务熟练的安全人才的增加,组织的安全策略正在达到一个临界点,现在他们可以容忍这种现象。但在接下来的几个月里,人们应该看到很多企业开始积极反击,并保护自己和他们的客户。
以下是人们需要了解的2017年网络安全趋势。
1.通过物联网(IoT)引入的新漏洞将会增加。
2016年10月中旬在互联网上发布的Mirai代码为部署对服务提供商Dyn公司前所未有的DDoS攻击提供了帮助,并影响了Twitter和Spotify等组织正常运行。其本质上接管“智能”设备或连接到互联网的设备,并启动拒绝服务(DoS)攻击。每分钟有4,800多个智能设备连接到互联网,而诸如Mirai等恶意软件提供了允许攻击者控制这些设备的能力,这是一个巨大的漏洞。就像之前的许多其他恶意代码片段,未来这种手段还将变形,并毫无疑问地落入更多的潜在攻击者的手中,因为它将继续传播。
2.采用“网络武器条约”扭转这种趋势。
随着更多的黑客主义和一些国家支持或实施网络犯罪,世界各国将必须考虑“网络武器条约”以扭转这种趋势。
匿名攻击,维基解密,以及国家层面支持的黑客在2016年成为主导。企业应该阻止DDoS攻击,并承担网站安全的责任。
3.组织迁移到云计算和移动计算将增加安全需求的数量。
如今,组织的应用程序和数据正在转向云计算和移动设备,以提高访问和生产力,以及减少组织的基础架构和维护成本。显然,所有这些都对员工,客户,组织,以及整个社会都有好处。然而,这种转变无疑将产生新的脆弱性。毕竟,“云计算”只是别人的计算机,通过在更多的设备和人们之间移动和共享信息,而攻击面的增长,也导致攻击者的机会随之增加。
4.组织将努力适应,理解和调整隐私框架的更新。
欧盟的常规数据保护法规(GDPR)于2018年5月生效。对于控制或处理欧洲人的个人数据的组织,不管他们是否实际位于欧洲,GDPR将会强制执行违约报告,私人数据删除权以及通过设计采用隐私(包括业务流程开发中的数据保护)。如果不遵守这些规定,将会产生巨额的罚款(每年全球收入的4%或违约金2000万欧元),因此组织将会在2017年时间做一些准备。
5.消费者和其他人将更积极地游说以获得保护。
目前,政府监督仍将是焦点,人权组织将推动更强有力的隐私立法。这种变革的压力可以在私营部门感受到,在那里,客户将面临大数据公司遭受数据泄露而没有后果的情况下,需要更多的保护。美国联邦贸易委员会(FTC)将越来越积极地保护客户,而美国证券交易委员会(SEC)将更密切地监控上市公司。美国当选总统特朗普必须选择一个有关网络安全的方向,以巩固所有这些监管干预措施。
6.安全技能短缺将会持续。
保护组织免受网络攻击,需要在技术和专业知识方面投入巨大资源。许多人忘记了互联网不是为了安全而设计的,而是旨在允许人们和组织共享信息。因此,提高安全性是次要的。大多数组织都在试图堵塞漏洞和弥补缺陷,即使这些问题不断涌现。而了解如何预测这些漏洞并充分保护组织的专家很少。这种状部将持续一段时间的趋势,因为攻击者不需要像网络安全专家那样聪明才能成功。因为黑客只需要正确地实施一次,而专家必须每次都是正确的。因此,吸引安全人才和充分培训他们将继续是一个挑战。
7.组织将会反击。
毫无疑问,网络攻击者,黑客,以及其他敌人都在不断进行攻击。但每种现象都有一个临界点,当这些攻击的痛苦刺激组织的时候,也是其投资并行动的时候。2017年将是一个转折点。组织将认真考虑保护他们的知识产权,客户数据和业务连续性。客户将会远离遭受违约的企业,监管环境使企业需要实质性保护,无论是将其建立在组织中还是外包责任。
在许多方面,2017年代表了从2016年开始的网络安全故事的延续和演变。然而可以确定的是,无论多大规模的组织都意识到这个网络战争的风险,他们需要坚定立场,在不断的攻击下,保护他们的客户,员工,知识产权和能力。