網絡安全的8個熱門趨勢和4個漸冷趨勢
整個技術產業都是動態的,不停在變化,新技術新方法如浪潮般不斷涌現。只要身處IT安全領域,必然會被惡意黑客的技術推動著趕上這些潮流。也就是說,業內總會出現新東西,也總有些技術和工具會落伍。
那么,接下來的一年,安全人員眼中的技術趨勢都有哪些呢?又有哪些曾經熱門的話題會漸漸淡出人們的視線呢?
勒索軟件(熱門1):
去年,WannaCry和NotPetya很是在媒體上霸屏了一段時間,很多專家都認為公司企業已經將勒索軟件防御提到了公司重要事項前列。助燃勒索軟件威脅風潮的一大因素,就是勒索軟件即服務的興起,也就是攻擊者可以將定制勒索軟件開發工作“外包”給愿意提供新型勒索軟件并共享贖金回報的黑客。接下來的一年,我們會看到更多非技術型黑客讓勒索軟件開發者在勒索活動中摻一腳,然后以共享非法所得的形式作為報酬,這樣就無需任何技術或啟動資金也能發起惡意攻擊了。
勒索軟件大爆發的另一個驅動因素是加密貨幣。對勒索軟件而言,以政府發行的貨幣支付贖金是完全不可取的,這太容易被追蹤了。但是,如果要求以加密貨幣支付贖金,這種貨幣自帶的匿名性就大大提高了捐款而逃的可能性。
區塊鏈(熱門2):
加密貨幣不過是區塊鏈技術的一種應用,還有很多工作要利用該技術來提高交易的安全性。應用到身份領域就是區塊鏈一個相當有趣的現實世界應用案例。身份區塊鏈引人注目的一個基本要素,就是用戶與合作伙伴之間的交易無需中央“存儲”(或者說銀行)來作為中間人。事實上,甚至連合作伙伴是誰都不需要知道——只需要合作伙伴是經驗證的區塊鏈參與者即可。信任是商業的基礎,而信任恰恰是區塊鏈的特長。
VPN(漸冷1):
與外部合作伙伴建立可信連接變得越來越重要。需遠程訪問公司網絡的供應商越來越多,很多情況下甚至是本公司員工數量的10倍。于是,這么多特權訪問會話的管理、監視和保護工作就成為了熱點敏感問題。
但是,保護該外部訪問的一種傳統方式——VPN連接,卻開始走向沒落。雖然VPN很好用,但這種技術原本只是為同個網絡中兩個內部終端之間創建連接而開發的,并不是給外部承包商或第三方供應商創建外部通道用的。因為配置復雜性和對訪問控制列表(ACL)及良好網絡分隔的依賴,VPN驅動的外部到內部訪問的最終結果,往往就是“全權或無權”訪問。只要能訪問公司系統的第三方被黑,攻擊者就能以該第三方供應商作為支點,獲得公司網絡的無限制訪問權。
過去幾年里,公司企業一直在尋找可以實施細粒度訪問控制的解決方案:能在正確的時間點為正確的人員分配恰當的權限,同時對所有遠程支持活動進行監視,留有日志記錄。
欺騙(熱門3):
為對抗網絡攻擊,很多安全人員想采取積極手段迷惑對手,僅僅識別哪些系統可能被黑已經滿足不了企業的當前需求,事件響應團隊一直在尋求更為主動地對抗已存在惡意威脅的方法,比如說,公司企業可能會針對特定惡意軟件家族為自家系統進行“預防接種”,讓惡意軟件誤以為自身已經在系統中而不執行感染操作。
在公司企業疲于應付各種網絡威脅的時候,在安全策略中加入欺騙操作的趨勢正在興起。各種模擬器正在學習如何將攻擊者引誘至“虛假”的ATM機、醫療設備等等。在陷阱系統上一無所獲后,攻擊者就可能轉向更好啃的目標了。
云(熱門4):
幾乎每個行業的公司企業都意識到了所有IT都自己搞定是多么昂貴。于是,他們紛紛將IT負載分流到Azure之類的云環境中。在承受云風險與承擔昂貴自有成本之間取舍并不是太難。
“風險”這個詞聽起來似乎意味著會給安全團隊帶來更多工作。但實際上,更加減輕了公司安全團隊的工作量才是真的。雖然前些年盛傳云是不安全的,但過去一年中,公司企業將數據轉移到AWS這種安全環境的腳步可不要太快哦。相比之下,云環境才是更安全的。
甚至安全工具也正在向云端遷移。無論是Web網關、數據丟失防護,還是高級威脅防護,全都在向云端邁進。
靜態殺毒(漸冷2):
公司企業迎娶云安全技術新歡,曾經的舊愛——基于病毒特征碼的靜態殺毒軟件,也就成了下堂妻。畢竟,遺留殺毒軟件向來以被動、臃腫,且對現代攻擊無甚效果而聞名。
事實上,隨著技術服務的發展,殺毒軟件可能面臨著史上最大拋棄潮。即便還在用殺軟的人,多半也無需再為之付費了。操作系統廠商,尤其是微軟,已經接過了安全接力棒。Windows 10 就內置了 Windows Defender,讓很多第三方殺毒軟件完全多余。這并不是說殺毒軟件不像以前那么重要,只是說如今大多數人已經無需為之付款了。
內置安全(熱門5):
多年來,安全人員一直在宣傳安全需一開始就做進系統和過程中。如今,這一理念終于深入人心了。在開發運維界,內置安全運動聲勢漸隆。開發安全運維(DevSecOps)實踐正驅動公司企業將安全作為嵌入到整個軟件生命周期中的基本組成部分,而非僅僅是事發后貼上的一塊創可貼。將安全焦點從防火墻或殺毒軟件之類輔助措施上移開,可使公司企業在重大事件發生前搶先撲滅威脅和漏洞,從而省下大筆金錢、時間和無盡的煩惱。
系統集成領域也適用從一開始就內置安全的方法。客戶和技術提供商方面都提出了更強烈的集成需求。從客戶的視角出發,尤其是站在企業客戶的角度,他們可能不具備持續整合多個產品的能力。從技術合作伙伴的角度出發,提供可能有限或缺乏的附加功能也是個雙贏的策略。
人工智能與自動化(熱門6):
現代經濟社會中對機器人或算法取代人類職位的恐慌從來不少,但很多專家都認為,人工智能(AI)和深度學習指導下的自動化安全過程,將倍增人類處理海量安全威脅的能力。基于深度學習的行為分析可分析安全情報并將之與外部威脅數據關聯,指引人類分析師找出海量威脅數據中真正相關的那些真實威脅。AI不僅可以輔助識別威脅,還能幫助安排修復過程,用預設事件響應工作流來自動化事件響應工作。
所有這些“AI”和“深度學習”場景聽起來都太玄幻了,但在實踐中,大部分自動化過程做的是相當繁瑣而基礎的工作。自動化單調的工作可以讓分析師不再拘于禁用端口或做些其他調整之類“體力活”,將時間精力投入到真正復雜的調查分析上。登錄設備和修改配置這種基本操作完全可以撰寫自動化腳本來搞定。
不過,別以為只有網絡安全人員才利用自動化。黑產從業者絕對會用自動化技術增加自己的效率的。民族國家可能已經在用該技術挖零日漏洞了。不遠的將來,會有更多攻擊者使用機器學習挖掘漏洞或者執行更有效的網絡釣魚活動。
情報共享(漸冷3):
技術人員或許想要依靠機器的智慧,但他們對與對手公司的人共享情報仍然存有疑慮。安全社區曾經以為我們終有一天會廣泛共享威脅情報,私營產業和司法機構也能更好地溝通。然而,基本上,至今仍欠缺該合作關系的催化劑,威脅情報也一直被當做知識產權看待。
技術升級(熱門7):
無論用不用AI,安全人才招聘和保留上依然存在非常現實的人才荒。不過,在如何彌補這一人才缺口上,還是出現了新的轉機。過去幾十年來,實踐性經驗一直是安全領域技術發展的主要驅動力,讓很多公司企業競相爭奪資深分析師而不是自己培養新的人才。但如今,我們開始將熱情而非技術,視作新分析師能夠取得長期成功的最重要因素。有激情的人更值得招聘、培養成高技術網絡安全分析師。將分析師技術升級為威脅獵手,讓他們有能力主動搜尋暴露點和未知漏洞,將他們的時間從低級工作中解放出來,也會增加分析師的工作滿足感,讓他們為雇主停駐更長時間。
隔離(漸冷4):
隨著這些分析師步入工作崗位,他們會被鼓勵加強交流,更多合作。越來越多的大型企業傾向于為他們的網絡和實體部門構建融合式的安全運營中心。對協作的需求大大驅動了該趨勢。安全運營中心作為一個割裂的部門運作的方式正逐漸被企業拋棄。
安全托管(熱門8):
但或許,整合安全運營的終極辦法,是將整個安全職能都分配給一家托管安全公司。對資源不足的小公司而言,外包安全的做法更具吸引力。
轉向托管安全服務的趨勢正在形成。尤其是在中端市場上,中小公司沒必要雇傭全職安全工程師來監視和保護他們的網絡,只需將安全工作外包給以成套產品提供托管安全服務的公司即可。這么做,客戶即能享受全天候的安全監視與報警服務,又可免去聘用全職安全工程師的開銷。
老實說,很多用戶公司都不了解各種服務和技術之間的差異,老實說,他們也不在意這些。他們只想要個保障,以保證有人試圖入侵公司時,自己是受到保護的。
Gartner預測,到2019年,安全外包服務開銷會有大幅增長。技術和資源的缺乏,再加上威脅復雜度的增加與IT安全人才的短缺,將驅使公司企業尋求由安全提供商、電信運營商和其他供應商外部托管的自動化安全服務。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
