2020年全球企業(yè)安全領(lǐng)域的主要趨勢(shì)是什么?人們?cè)?020年需要關(guān)注四個(gè)安全問題。

[[313861]]

企業(yè)需要努力增強(qiáng)其安全狀況，這是安全實(shí)現(xiàn)現(xiàn)代化趨勢(shì)的一部分，因?yàn)榘踩珜＜液虸T領(lǐng)導(dǎo)者已經(jīng)認(rèn)識(shí)到這樣一個(gè)事實(shí)，即傳統(tǒng)的網(wǎng)絡(luò)邊界防御和其他長(zhǎng)期策略本身并不能在當(dāng)今的IT環(huán)境中完全消除安全威脅。

企業(yè)需要保持良好的工作狀態(tài)，這是因?yàn)樾碌囊荒陮⒃诰W(wǎng)絡(luò)安全領(lǐng)域面臨許多新的挑戰(zhàn)。

2020年的安全趨勢(shì)：新興威脅

網(wǎng)絡(luò)安全服務(wù)商 Kenna Security公司首席安全工程師Jerry Gamblin說(shuō)：“2020年將成為考驗(yàn)企業(yè)在過(guò)去五年中部署的網(wǎng)絡(luò)安全防御新策略的一年。由于今年將要舉行美國(guó)總統(tǒng)大選，新的勒索軟件攻擊，以及激進(jìn)國(guó)家進(jìn)行的攻擊和破壞，預(yù)計(jì)今年將是很多企業(yè)不斷做出反應(yīng)的一年。很多企業(yè)需要在快速變化的威脅形勢(shì)中努力保持領(lǐng)先地位。”

但是，對(duì)于許多企業(yè)而言，最直接的威脅可能不是頭版新聞中提到的。

Gamblin說(shuō)，“在系統(tǒng)修補(bǔ)和維護(hù)方面落后的企業(yè)將繼續(xù)成為惡意行為的目標(biāo)。”

毫無(wú)疑問，這些問題依然存在。例如，如果企業(yè)在諸如密碼和其他證書等方面的安全習(xí)慣一直很差，那么會(huì)怎么樣?當(dāng)企業(yè)采用云計(jì)算技術(shù)和現(xiàn)代IT的其他特征時(shí)，這仍然是一個(gè)問題。

因此，從操作實(shí)踐和組織文化的角度出發(fā)，重新審視基礎(chǔ)知識(shí)并確保安全始終是一個(gè)好主意。除此之外，Gamblin和其他安全專家還預(yù)測(cè)了2020年企業(yè)威脅領(lǐng)域的幾個(gè)關(guān)鍵趨勢(shì)，這是企業(yè)在2020年應(yīng)注意的四個(gè)問題：

1.云原生技術(shù)需要云原生安全策略

簡(jiǎn)單的安全模式一次又一次地發(fā)揮作用：隨著平臺(tái)或生態(tài)系統(tǒng)的普及，越來(lái)越多的威脅也隨之而來(lái)。

瞻博網(wǎng)絡(luò)公司技術(shù)安全主管Trevor Pott表示：“用戶群越大，網(wǎng)絡(luò)攻擊者的目標(biāo)就越豐富。”

隨著云計(jì)算環(huán)境(尤其是多云策略和混合云基礎(chǔ)設(shè)施)繼續(xù)成為一種運(yùn)營(yíng)規(guī)范，不良行為者越來(lái)越關(guān)注這些環(huán)境，以期希望找到可利用的安全漏洞。他們還利用了相關(guān)的工具和技術(shù)(例如容器和編排器)作為可能的攻擊媒介。

Fugue公司首席技術(shù)官Josh Stella將此視為今年企業(yè)云安全的主要趨勢(shì)之一，他說(shuō)，“高級(jí)云原生攻擊的出現(xiàn)——這些攻擊利用了錯(cuò)誤配置的云計(jì)算資源，以獲得對(duì)環(huán)境的訪問、橫向移動(dòng)和提取數(shù)據(jù)，而無(wú)需通過(guò)傳統(tǒng)的安全分析工具進(jìn)行檢測(cè)。”

不過(guò)，這里有個(gè)好消息：隨著云原生技術(shù)以及使用這些工具的IT專業(yè)人員不斷成熟，它們的安全特性以及最佳實(shí)踐的普遍認(rèn)知和實(shí)施也日益成熟。Kubernetes就是一個(gè)很好的例子：社區(qū)已經(jīng)對(duì)開源平臺(tái)的安全性做出了明顯的承諾，而且似乎已經(jīng)得到了回報(bào)。

StackRox公司產(chǎn)品營(yíng)銷副總裁Michelle McLean指出，“在2019年底，CNCF完成了對(duì)Kubernetes的首次全面審核，這表明Kubernetes是用于容器編排的基礎(chǔ)安全且功能齊全的平臺(tái)。對(duì)云原生堆棧安全性的信心日益增強(qiáng)，其好處將在2020年及以后延續(xù)。隨著人們了解有關(guān)保護(hù)Kubernetes和容器的優(yōu)秀做法的更多信息，我們將看到越來(lái)越強(qiáng)大的環(huán)境，從而提高了企業(yè)利用云原生技術(shù)的運(yùn)營(yíng)價(jià)值的能力。”

Red Hat公司首席安全架構(gòu)師Mike Bursell指出，人們對(duì)機(jī)密計(jì)算的興趣與日俱增：簡(jiǎn)而言之，這將加密靜態(tài)數(shù)據(jù)并將加密傳輸中的數(shù)據(jù)。Bursell說(shuō)，“很多企業(yè)意識(shí)到，有些工作負(fù)載過(guò)于敏感，無(wú)法部署到它們不擁有或無(wú)法完全信任的主機(jī)上，監(jiān)管機(jī)構(gòu)也對(duì)此表示贊同。我們可以期望看到該領(lǐng)域的新項(xiàng)目和技術(shù)越來(lái)越受到人們的關(guān)注和歡迎。”成立于2019年10月的機(jī)密計(jì)算聯(lián)盟已擁有20多個(gè)成員，并向其捐贈(zèng)了三個(gè)開源項(xiàng)目，其中包括Enarx(這是一個(gè)使用WebAssembly在多個(gè)硬件平臺(tái)上提供可信賴的運(yùn)行時(shí)的項(xiàng)目)。

2.繼續(xù)對(duì)安全責(zé)任進(jìn)行重新思考

這也意味著重新審視和修訂傳統(tǒng)的安全孤島和角色。例如，近年來(lái)關(guān)于DevSecOps和安全性“左移”的一般原則有很多討論，這意味安全性遷移引起人們的重視，而不是在代碼進(jìn)入生產(chǎn)環(huán)境之前將其視為最后或接近最后的一步。

不管怎么說(shuō)，這里的想法都不能將安全視為利基需求。“安全是每個(gè)人的責(zé)任”聽起來(lái)像是一種陳詞濫調(diào)，但其中至少有一部分事實(shí)。

McLean說(shuō)：“人為錯(cuò)誤是大多數(shù)安全事件的核心。容器和Kubernetes有很多功能。有時(shí)，DevOps與安全團(tuán)隊(duì)之間的協(xié)調(diào)有限，使該基礎(chǔ)設(shè)施的安全保護(hù)更具挑戰(zhàn)性。”

考慮到這種討論本質(zhì)上涉及人們的日常工作職責(zé)(即添加新職責(zé)，以及將職責(zé)與他人剝離的觀念)，這將在某些組織中引起持續(xù)的辯論和分歧。

Aqua Security公司戰(zhàn)略副總裁Rani Onsat說(shuō)，“DevOps團(tuán)隊(duì)將發(fā)現(xiàn)自己承擔(dān)越來(lái)越多的責(zé)任，包括更多的安全性和質(zhì)量自動(dòng)化，隨著企業(yè)采用規(guī)模不斷擴(kuò)大的DevOps實(shí)踐，對(duì)業(yè)務(wù)和關(guān)鍵任務(wù)應(yīng)用程序的影響不容忽視。”

Fugue公司Stella看到了與云原生攻擊同時(shí)出現(xiàn)的趨勢(shì)：讓開發(fā)人員對(duì)其代碼的安全性承擔(dān)更多責(zé)任。

Stella說(shuō)：“開發(fā)人員將通過(guò)軟件工程工具(如策略驗(yàn)證代碼和對(duì)嚴(yán)重錯(cuò)誤配置漏洞的自動(dòng)補(bǔ)救)對(duì)云計(jì)算基礎(chǔ)設(shè)施的安全性擁有更多保證。那些投資于為其開發(fā)人員提供確保其云計(jì)算環(huán)境安全所需的工具的能力的企業(yè)將有機(jī)會(huì)抵御高級(jí)云原生攻擊。”

McLean指出，保護(hù)應(yīng)用程序和基礎(chǔ)設(shè)施安全的“固定”方法注定要因現(xiàn)代技術(shù)堆棧而失敗。

McLean說(shuō)：“直到最近，安全性通常還是開發(fā)過(guò)程中的事后考慮。‘向左轉(zhuǎn)移’的心態(tài)是云原生開發(fā)所必須的措施。在技術(shù)棧或DevOps流程中，在安全性方面落后是行不通的，例如，在構(gòu)建階段獲得正確的配置對(duì)保護(hù)基礎(chǔ)設(shè)施至關(guān)重要。”

無(wú)論企業(yè)的安全角色和職責(zé)如何變化，都希望自動(dòng)化成為跨角色和團(tuán)隊(duì)的更強(qiáng)大的安全保障之一。

Osnat說(shuō)：“傳統(tǒng)的IT、安全、質(zhì)量保證和合規(guī)團(tuán)隊(duì)一直在使用的流程和方法通常與DevOps的敏捷性不兼容，并且無(wú)法應(yīng)對(duì)變化的速度。解決方案在于將許多這樣的實(shí)踐自動(dòng)化到DevOps流程和工具鏈中，從而實(shí)現(xiàn)更集成的‘及早發(fā)現(xiàn)，快速修復(fù)’環(huán)境。”

3.憑證填充嘗試次數(shù)增加

瞻博網(wǎng)絡(luò)公司的Pott預(yù)測(cè)，憑證填充的做法(將其視為黑客使用自動(dòng)化擴(kuò)展其操作的版本)將越來(lái)越多地被用來(lái)攻擊大量云計(jì)算服務(wù)提供商的帳戶，作為一種突破大型企業(yè)防御措施的手段，尤其是在公共云的廣泛保護(hù)下的平臺(tái)。

Pott說(shuō)：“隨著人們進(jìn)入2020年，憑證填充攻擊正在增加。這并不奇怪，因?yàn)槊磕瓯恍孤兜淖C書數(shù)量都在增加，而且各種數(shù)據(jù)泄露的規(guī)模都會(huì)定期刷新記錄。”

Pott說(shuō)：“在2020年及以后，安全專業(yè)人員應(yīng)該特別關(guān)注軟件即服務(wù)(SaaS)應(yīng)用程序和基礎(chǔ)設(shè)施即服務(wù)(IaaS)帳戶，尤其是那些主要云計(jì)算提供商的帳戶。但人們?nèi)匀辉谌蚧ヂ?lián)網(wǎng)上重復(fù)使用憑據(jù)。多因素身份驗(yàn)證將是很好的防御方法，但在實(shí)際使用中仍會(huì)有所保留。”

4.終端安全挑戰(zhàn)：還沒有發(fā)現(xiàn)

就像傳統(tǒng)的網(wǎng)絡(luò)邊界變得模糊不清一樣，人們對(duì)“端點(diǎn)”的看法也是如此。端點(diǎn)安全曾經(jīng)用來(lái)保護(hù)用戶的筆記本電腦和手機(jī)。而現(xiàn)在，這可能意味著要保護(hù)冰箱、門鈴或大量其他連接設(shè)備(通常稱為物聯(lián)網(wǎng))的安全。

瞻博網(wǎng)絡(luò)公司全球安全戰(zhàn)略總監(jiān)Laurence Pitt說(shuō)：“為了更高效、更環(huán)保、對(duì)市場(chǎng)變化做出反應(yīng)，企業(yè)面臨著利用物聯(lián)網(wǎng)實(shí)現(xiàn)這一目標(biāo)的壓力。更大的挑戰(zhàn)來(lái)自于這些連接到企業(yè)網(wǎng)絡(luò)的其他物聯(lián)網(wǎng)設(shè)備，在企業(yè)網(wǎng)絡(luò)中，采用物聯(lián)網(wǎng)的速度往往與業(yè)務(wù)和安全斗爭(zhēng)的速度保持一致。其中許多在設(shè)備級(jí)別沒有內(nèi)置安全性，因此需要將安全性視為總體網(wǎng)絡(luò)態(tài)勢(shì)的一部分。”

盡管物聯(lián)網(wǎng)正在蓬勃發(fā)展，但其安全隱患實(shí)際上仍處于起步階段。Pitt說(shuō)：“隨著新的物聯(lián)網(wǎng)的推出，在安全團(tuán)隊(duì)努力更新系統(tǒng)和打補(bǔ)丁的同時(shí)，犯罪分子也有更多機(jī)會(huì)濫用這個(gè)媒介，并獲得訪問權(quán)限。”