Palo Alto Networks(派拓网络)发布2020年网络安全趋势预测

预测1:今天的4G问题与5G息息相关

概述

根据Gartner数据,全球5G无线网络基础设施收入将于2020年达到42亿美元,比2019年的22亿美元增长89%。虽然距离5G网络达到一定规模还需要相当长的时间,但我们已经开始看到澳大利亚、新加坡和韩国推出了早期的5G试用服务。例如,新加坡已开始在云游戏、自动驾驶汽车、智能地产以及食品和饮料行业进行试验。一旦成功部署,5G网络将拥有释放自主性的潜力,在很大程度上影响从运输、供应链到制造业的整个经济领域。

然而,在开始考虑推出5G前,我们要谨记现在的4G网络仍然容易受到各种威胁,包括垃圾邮件、窃听软件、恶意软件、IP地址欺骗、数据和服务窃取、DDoS攻击以及众多其他变体。这对于需要应对安全漏洞的移动网络运营商来说是一个特殊的挑战。这些安全漏洞不仅来自于与其他移动网络运营商(MNO)的互联,还来自于长期演进(LTE)设备不同的安全标准。

此外,还有数百万用户的不安全行为,以及大量第三方应用和服务的安全缺陷。如果今天不解决这些问题,它们无疑会延续到5G时代。

预测:亚太地区绝大多数国家仍将4G网络作为首选

未来十年,大型5G基础设施项目将投入建设,但迄今为止仅有少数测试项目取得成功。5G网络将与4G网络一同发展,但5G时代尚未完全到来。4G在部分亚太国家市场才刚刚推出,因此距离5G网络达到一定规模还需要相当长的时间。据GSMA预测:到2025年,亚太地区的4G用户仍将占全球移动用户的68%。与5G的毫米波(mmWave)相比,4G的覆盖范围更广,因此许多农村地区仍然可以使用LTE模式。

在现有安全风险无法消除的情况下,移动互联网服务提供商会在网络攻击中首先倒下,而不安全的IoT系统漏洞等,如果在4G时代不能解决的话,其影响将在5G环境下呈指数性扩大。当今需要新型网络安全方法,包括采用安全防御措施,提高安全自动化水平,建立情境安全成果以及将安全功能与API集成。我们预计4G仍将是黑客的主要目标,并在未来几年可能成为入侵5G网络的途径。

预测2: 人才短缺问题与您的想象有出入

概述

关于全球网络安全人才缺乏以及关键技能差距的说法由来已久。根据(ISC)² 2018年网络安全劳动力调查的最新研究,亚太区的网络安全人才缺口为214万,因此该地区可能受影响最严重。

这种短缺是否可能是某些职位的期望值与实际需求之间不匹配的结果?一些职位描述要求的资质非常宽泛,这对于招聘到符合要求的管理人才是不现实的。短缺数据是否准确反映了行业的实际需求?

预测:急需具备好奇心和解决问题的人才

除非大众的网络安全观念从根本上发生改变,否则网络安全将持续出现供不应求的状况。要应对这项挑战有两种互补的方法:采用自动化以及探索可替代的人才来源。

自动化将成为未来网络安全的一个关键要素,因为不应该要求人类——也不应该期望人类——去做所有的事情。相反,他们需要利用那些无法自动化的技能,并专注于解决问题、沟通和协作等更高层次的任务。这将需要重新审查当今的安全运营中心(SOC)结构,并相应地改变这些新角色所需的专业人员类型,以便准确地识别并填补其中的一些空白。企业和招聘人员不应再追求凤毛麟角的精英(他们并不存在!),而是应该在合适的渠道发掘人才。

2020年,我们认为在职位评估上情商应比智商更为重要,以寻找具备解决问题能力及好奇心的人才,无论是工程师、分析师还是通信专家。需要对技能提升以及跨技能培训等被忽视的项目进行投资,并将这些有能力的个人培养成我们需要的人才。对于希望准确发现企业内相关网络安全技能差距的公司来说,NICE框架中的员工类别是一个非常实用的起点。

预测3: 对物联网的探索无论对谁都将成为雷区。

概述

根据IDC数据,2019年在物联网领域的支出亚太区将引领全球,约占全球支出的36.9%。但时至今日,安全可能仍是产品开发过程结束后才会想到的事情。一些持续出货的联网设备并没有提供后续的软件更新和安全补丁,从而导致易于利用的常见漏洞。到2020年,物联网安全面临的潜在威胁(例如DDoS攻击)将越来越多,这一问题将进一步恶化。

我们已经看到,这些攻击,包括Mirai僵尸网络通过不安全的联网设备发起的攻击,可以破坏流行的全球网络平台。除了目前已经利用的18个漏洞外,Mirai恶意软件最近又新增了8个漏洞,其目标从无线演示系统到机顶盒、SD-WAN甚至是智能家居控制器等一系列设备,对企业和联网家庭构成了威胁。随着越来越多的物联网产品进入市场,网络威胁被悄悄地隐藏了起来。当有人踩到这些地雷时会发生什么?

预测:您要提防家里的无线门铃可能会引来不速之客

2020年,我们预计物联网安全的发展将在两个关键领域展开:个人及工业物联网。不论是联网的门铃摄像头,还是无线扬声器系统,我们将看到通过不安全的应用或薄弱的登录凭证入侵的攻击模式不断增长。便利的深度伪造技术的出现使这种威胁变得更加复杂,该技术可能会对语音或生物识别控制的联网设备构成威胁。模仿最强大的生物识别装置以访问和控制联网系统,它将影响家庭和企业环境。

对于企业而言,我们预计作为许多亚洲经济体关键支柱的制造业也将发生重大变化。制造商希望部署传感器、可穿戴设备和自动化系统,以通过数据收集和分析简化生产、物流和员工管理流程。企业需要确保联网设备能够利用诸如内置诊断、持续漏洞扫描和高级分析等自动化功能,以保持对物联网威胁的掌控。

联网设备需要不断进行改造和更新,以确保安全。全球各国政府——包括亚太地区的政府——也越来越倾向于发布与物联网设备安全相关的指导或法规。此外,行业标准组织也在努力制定物联网设备的相关安全标准,如ISO/IEC 27037标准草案。这两种趋势肯定会在一定程度上影响物联网设备的部署。我们还希望优先考虑对公众的相关教育以适应联网设备的快速增长和普及。

预测4: 数据隐私界限越来越模糊。

概述

互联网协会2018年针对亚太区政策议题的调查发现,超过70%的受访者希望自己的个人信息在收集和使用方面能够拥有更多控制权。然而,大多数人为获取短期利益(例如热门应用、手机游戏或在线比赛)而提供个人信息时却毫不犹豫。这一行为说明:某些新兴市场对网络安全的意识不足,而在其它市场,如新加坡等,则对网络安全过于乐观。不幸的是,数据隐私问题表明人们不仅对收集的数据缺乏认识,而且对数据的使用也缺乏了解。人们不知道那些不为人知的事情。

为了帮助解决这一日益严重的问题并保护公民数据,监管机构围绕实施更严格的本地数据隐私法而展开行动。包括泰国在内的一些国家/地区已经通过了新的法律来管理对数据的保护,要求企业在收集、共享和使用数据时更加注重隐私。为了遵守欧盟的通用数据保护条例(GDPR),部分国家已经开始采取行动,例如日本最近对其数据隐私法进行了更新。对于企业而言,注意法律完善程度和地区差异非常重要。

预测:更多的数据隐私法规,以及数据主权-安全悖论

我们预计本地区将会出现更多的数据隐私法规。过去几年印尼和印度一直在研究个人数据保护法案,尽管目前还不清楚这些法案最终是否会生效以及何时生效。该区域越来越多的提案也将需要其原籍国的住房数据;这往往是出于隐私和安全方面的考虑。印尼政府2019年第71号法规的最新草案要求,公共机构必须在印尼境内管理、处理和存储数据(根据非官方翻译)。我们预计会有更多的监管提案来规范或限制数据的跨境流动,特别是公共部门信息的迁移。因此,企业可能会考虑在本地建立更多的数据中心,以更好地支持本地客户。

然而,企业必须注意,建立本地化的数据中心并不一定会使数据更加安全。因为网络威胁没有国界,个人终端用户或企业之间的联系日益紧密,容易受到全球事件的影响。企业仍然有责任采用全面的网络安全策略,以支持跨网络、端点和云端的操作和信息存取。为了有效地管理这些信息,企业需要定期评估他们收集的信息,并控制信息的访问。

我们预计,在像东盟这样高度互联的地区,企业需要更加密切地关注其数据流。尽管各国都在努力创建区域性统一个人数据保护方法(例如自愿通过APEC跨境隐私规则),但并没有实现真正的统一。为了创建最适合本地区的框架,私营部门和公共部门之间需要紧密合作,以便在面对不断出现的新兴威胁时评估如何识别和定义违规行为。

预测5: 云未来初见端倪:不要在动荡中迷失方向

概述

整个地区对云应用的态度和接受程度并不一样。尽管迁移到云是合理的,但是在将关键信息放入云时也需要谨慎。关于虚拟与物理设备优势的误解仍然存在,让问题变得更加复杂。

综上所述,我们预计云应用的前景看好。企业开始意识到云方案的独特之处。亚洲的CIO们非常清楚地了解向云迁移对其数字化转型战略的意义,并将视其企业的成熟度而采取行动。我们也开始看到东盟各国政府朝着这一转变做出了尝试;新加坡、泰国和马来西亚的政府机构都宣布了在公有云领域的投资,而印度尼西亚则有望成为亚洲的下一个大型数据中心枢纽。

预测:配置更加混乱

越来越多的企业也开始利用容器(即操作系统虚拟化)来提高效率和一致性并降低成本。但是,暴露和配置错误的容器的潜在危险将很快出现,使企业容易受到针对性的侦察。使用正确的网络策略或防火墙,或两者并用,可以防止内部资源暴露于公共互联网。此外,投资云安全工具可以提醒企业注意当前云基础设施中的风险。

云安全的采用也面临着一系列挑战。受派拓网络(Palo Alto Networks)委托,著名研究机构Ovum在其《亚太地区云安全报告》中指出,80%的大型企业将安全性和隐私视为采用云服务的主要挑战。

主要发现包括:

  • 78% 的中国受访企业对云安全抱有过度信心,认为云供应商提供的安全功能足以保护其免受威胁
  • 亚太区的大型企业使用多种安全工具,造成安全态势的碎片化,尤其是当企业在多云环境中运行时。采用多云方式会导致危险的可视化缺陷,在中国,有77% 受调查的大型企业表示这一情况相当普遍,高于亚太地区平均水平13个百分点。
  • 报告显示,有三分之二(66%)的企业不能做到每年进行一次网络安全态势的审核,并且有26% 的这类审核并不包括对云安全的评估。除了审核,有45%的中国企业无法做到每年对IT安全人员进行安全培训。鉴于大型企业没有足够的时间和资源来专门用于云安全审核和培训,因此显然需要自动化。

2020年还会有更多公司采用DevSecOps方法,将安全流程和工具集成到新产品的开发生命周期中。 这将是云和容器成功集成的未来方向。