迄今为止, 关于 2020 年网络安全领域的预言想必你已经看过很多了, 确实, 预言已经多的不值一提了, 今天之所以还做这个主题, 是因为我要说的是 2020 年你并不会看到的 8 大网络安全趋势, 想不想去了解一下.
在许多文化中, 新年伊始都会被视为新希望的开始. 我们有机会重启, 刷新, 重设, 从错误中学习, 并凭借大量的精力和惊人的计划来继续前行. 但是, 由于在过去的 2019 年有超过 50 亿个敏感数据记录被盗, 所以我认为预测 2020 年网络安全领域不会发生的事件可能会更为准确些. 为此, 我们访问了 Secure Code Warrior 联合创始人 Matias Madou, 并提出了以下 8 大趋势:
1. SQL 注入从所有软件中根除
对于这一天的到来, 我们已经等待了 20 多年, 遗憾的是, 我们还要继续等下去, 至少这一天不会发生在 2020 年. 迄今为止, 这种缺陷始终坚挺, 就像蟑螂一样无法彻底根除. 具有讽刺意味的是, 在这种缺陷存在之初就同时发现了补救措施. 但是, 在软件开发的每个阶段 (尤其是确保一开始就正确) 对安全最佳做法的优先级仍然太低, 自发现 SQL 注入漏洞以来, 代码产量已经发生了爆炸式增长, 目前的安全实践很明显并不够应付这种情况.
2. 开发人员和应用安全人员成为最好的朋友
没错, 开发人员和应用安全团队. 他们是会友好相处, 还是注定要像洛奇 vs 阿波罗 (美国拳击史上的两大名人) 那样过着竞争的生活? 答案是他们能够相处, 只是现在这种局面可能还不会出现, 因为他们的工作重点还存在很大差异.
当他们双方同处在项目环境中时, 他们通常是处于对立面的, 而且, 一旦应用安全专家开始仔细研究开发人员的代码时, 冲突可能就会一触即发. 试想一下, 开发人员费尽心思构建了一个页面精美且功能齐全的软件(当然, 这是他 / 她的首要任务), 但是, 一旦应用安全专家在其中发现安全漏洞, 该软件将难以面世, 甚至会被彻底否决. 实际上, 应用安全专家经常会在开发人员的软件中发现这样或那样的问题, 并迫使他们回去修复所有的错误, 这通常会延迟软件的部署上市进程.
就目前这种状态来看, 直到这两个团队懂得朝着一个共同的目标 (即开发安全软件) 努力之时, 这一问题才能得到解决. 遗憾的是, 这种情况不会发生在 2020 年. 但是, 随着 DevSecOps 运动的到来, 开发人员已经开始认识到提高软件安全性的必要性, 并朝着更高标准 (将安全嵌入开发过程中) 迈进.
3. 安全专业人员供过于求
在 2020 年, 2025 年, 2030 年...... 乃至更远的未来, 几乎可以肯定的是, 在安全专业知识方面, 全球范围内仍将面临人手不足的现象. 根据 ISC 公布的数据显示, 目前大约存在 293 万个网络安全职位空缺.
在不久的将来, 我们解决技能短缺的最佳机会是将安全性作为组织优先事项, 并提高我们现有员工的技能, 这就意味着要为开发人员提供培训和工具以安全地进行编码, 并建立全公司范围内的安全文化. 当前大多数应用安全团队可能正在与一些众所周知的老旧安全性漏洞作斗争. 如果我们能够保证他们不必花费宝贵的时间和精力来解决这些常见问题, 那么他们将有更多的精力投入到更为棘手的安全问题中, 例如 API 和适应开发流程的构建工具.
4. 更少的代码产量
世界正在以惊人的速度进行数字化, 社会需求不会动摇. 根据思科和 Cyber security Ventures 的研究报告显示, 每年编写的代码行约为 1110 亿行, 而对于已经扩展的 AppSec 团队来说, 这一数字只会变得越来越庞大, 越可怕.
5. 被盗数据记录减少
更多的代码也就意味着更多的安全漏洞, 而更多的漏洞又为攻击者提供了更多的机会来寻找窃取数据的方法. 2019 年, 全球至少有 53 亿条数据记录被盗, 对于攻击者的防御仍然只是一种拼命的反应式争夺战. 这个数字在 2020 年可能不会翻倍, 但应该也不会差太远.
根据 Statistica 公司的研究发现, 在美国, 泄露和被盗记录数量呈上升趋势, 并于 2017 年达到了峰值. 在 2018 年, 攻击数量呈下降趋势, 这可能是由于采取了更为严格的安全措施所致, 但获取的记录数量仍是有史以来的最高水平. 展望未来, 网络攻击将变得越来越复杂和规模化, 所以被盗数据记录短期内不会出现放缓迹象.
6. 开发人员要求更长, 更频繁的基于视频的安全培训
如果说有件事是开发人员喜欢的, 那就是在电脑上观看数小时的培训视频. 事实上, 开发人员需要的就是这种有吸引力的内容, Netflix 将宣布一个全新的子类别, 专门用于通用安全培训视频.
不过不是现在, 不是 2020 年, 时机还未到. 对于开发人员而言, 所谓安全培训通常是在工作场所进行合规性介绍, 对于安全编码甚至软件安全的内容根本鲜少提及. 毫不奇怪, 开发人员通常不喜欢这种培训.
为了使开发人员认真对待安全性并进行有用的培训, 该培训内容必须要与他们的工作相关, 具有吸引力并存在关联性. 一次性合规培训 - 或无休止的无聊视频流 - 并不是开发人员的内心之道, 也不会减少漏洞.
如果您希望开发人员能够心存防范常见漏洞的安全意识, 并成为防御威胁的中流砥柱, 那么, 请让他们使用真实的代码示例 (他们在日常任务中会遇到的那种) 进行工作. 培训内容要精炼, 易于掌握, 并以一种有趣的方式激励学习. 为了使安全文化蓬勃发展, 它必须是积极的, 可参与的, 并且能够在整个组织中发展出真正的技能和解决方案.
7. 与网络安全相关的事件导致零死亡
我已经强调过很多次了, 除非人们开始出现死于网络攻击事件的案例, 否则世界根本不会真正关心网络安全问题. 但是现在问题是, 这种基于网络攻击的死亡事件已经发生了, 只是并没有在很大程度上引起关注.
事实证明, 针对美国医院的网络攻击事件与 2019 年心脏病发作死亡人数增加有关. 当然, 攻击者并未直接造成患者心脏病发的致命事件, 但他们对医院系统和设备释放的勒索软件攻击却减慢了重症监护的治疗时间, 间接导致了病人的死亡.
中佛罗里达大学针对 3,000 家医院进行的一项研究发现, 其中 311 家医院经历了数据泄露事件. 在这些受到安全事件影响的医疗机构中, 医护人员平均要多花费 2.7 分钟才能为可疑的心脏病发作受害者提供心电图, 这可能是由于程序更改, 新实施的安全措施以及 IT 支持问题所花费的时间比原来更长. 识别和治疗心脏病是一场与时间的竞赛, 数据显示, 这些遭受攻击的医院平均每年每 10,000 例心脏病发作案例中就会多增 36 例死亡案例.
8. 摆脱 "戴面具的黑客" 的古板印象
如果在图像搜索栏中键入 "黑客" 一词, 你将不可避免地看到数千个戴着帽子, 不露面的人物在笔记本电脑上打字的画面, 或是戴着 Guy Fawkes 面具的画面等等. 这种刻板的黑客形象实在是太过根深蒂固. 但其实, 网络安全领域多的是好人, 这种黑客形象所赋予的负面含义只会使每个人都受到伤害, 正可谓 "一棍子打翻一船人".
如今, 2020 已走完了 1/4 的历程, 你觉得上述这些情况会发生改变吗? 也许说不准, 但是敢作梦还是很美好的. 目前, 最重要的是要记住, 安全并不是一个值得恐惧的事情!
来源: http://netsecurity.51cto.com/art/202003/613029.htm