2018中國數據安全10大趨勢預測
兩年前,時任RSA總裁Amit Yoran在RSAC的主題演講中認為,在當今的網路安全威脅形勢下,防禦者如同拿著一張舊地圖在海上航行,茫然無助。在當今動態的、不對稱的、複雜的和不確定的網路安全環境下,畫地圖已經徒勞無益,所以我們嘗試著做一個指南針。
2018年年初,湖南展瑞在湖南地區接連發起了「2018個人數據安全調查」、「2018企業數據安全調查」,約得到1200餘人的共同參與,數萬人的話題關注。結合騰訊安全、360企業安全、普華永道等多家行業知名企業、媒體、專家共同對2018年的行業風向進行的把握和預測,在此基礎上形成了《2018年中國數據安全10大趨勢預測》:
- 勒索攻擊成為網路攻擊的一種新常態,攻擊方式不斷花樣翻新
由中國互聯網協會指導的2017年度網路空間安全報告發布會發布的《2017年度網路空間安全報告》指出,全球約6300個平台提供勒索軟體交易,勒索軟體在2016-2017年期間的銷售量增長了約2502%,惡意分子傾向於加密被感染設備的數據,向受害者進行勒索。
近期360互聯網安全中心發布了《2017勒索軟體威脅形勢分析報告》,從報告中「受害者感染勒索軟體途徑」數據可以看出:從整體態勢來看,2018年勒索軟體的質量和數量將不斷攀升、花樣翻新,成為網路攻擊的一種新常態。
此外,勒索軟體造成的經濟損失會越來越大。以國內《網路安全法》、網路安全等級保護制度、歐盟一般數據保護條例為代表的全球各國數據安全保護法規相繼實施後,受害者支付贖金的數量也會越來越多,但由於各種原因,通過支付贖金恢復文件的成功率將大幅下降。
- IPv6、5G等新技術助推物聯網的發展,物聯網安全威脅日趨嚴重
據普華永道《2018年全球信息安全狀況調查》顯示:72%的中國內地與香港受訪企業表示其針對物聯網安全的戰略已經就位,這一數值高於全球水平(67%)。
近十年中,隨著多種顛覆性技術的出現和應用,網路發生了巨大的變革,IPv6已經成為5G、IoT、SDN/NFV、雲計算以及邊緣計算等新興技術的基礎。2017年3月,全球IPv6論壇常任董事、下一代互聯網國家工程中心主任劉東表示,目前所採用的IPv4協議地址總數只有大約43億個,並且已經分配殆盡。
我國在「十三五」規劃中也已經明確指出要「超前布局下一代互聯網,全面向互聯網協議第6版(IPv6)演進升級」,將助推物聯網更快的普及。但物聯網威脅不止是網路安全問題,還將牽涉到人身安全,我們亟需可實施的防護解決方案。
- 針對關鍵基礎設施的網路攻擊升級,攻防兩端的對抗將加劇
2017年舉辦的第二屆「關鍵信息基礎設施等級保護研討會」《全球關鍵信息基礎設施網路安全狀況分析報告》顯示,金融、交通、能源三大關鍵基礎設施領域成為網路攻擊重災區,其中34%的網路攻擊都發生在金融領域。
針對關鍵信息基礎設施領域的攻擊中,敏感信息泄露事件佔比最高,高達27.7%,其次為破壞型攻擊事件。從報告來看,2018年以破壞和竊取情報為目的的,針對關鍵基礎設施的攻擊將逐漸升級。
我國相關主管機構也已經組織了多次針對電力、民航等關鍵基礎設施的攻防演習,從已經實施的《網路安全法》到正在徵求意見的《關鍵信息基礎設施保護條例》都將關鍵基礎設施保護上升到了國家戰略層面,集中力量、加大投入、創新技術、提升能力將成為保障關鍵基礎設施安全的趨勢和方向。
- 人工智慧成為網路安全領域的熱點,保護人工智慧安全和用人工智慧技術保護安全兩手都要抓,兩手都要硬
2017年12月,中國長沙智能製造展舉行。一批投資過50億元的重大智能製造項目在峰會現場簽約。
網路安全智庫平台《安全內參》發布的2017年全球網路安全投融資事件Top100中,與人工智慧相關的投融資事件超過15起,融資額度超過9億美元,分布在威脅檢測、終端安全、雲安全等不同領域。預計2018年人工智慧在安全領域的利用將會繼續受到追捧。
根據調研機構Gartner公司預測,人工智慧將在2020年發布的幾乎每一個新軟體產品中有所體現。
專家們則提醒注意人工智慧應用帶來的安全風險。包括人工智慧應用深度學習框架中的軟體實現漏洞、對抗機器學習的惡意樣本生成、訓練數據的污染等等。這些威脅可能導致人工智慧所驅動的識別系統出現混亂,形成漏判或者誤判,甚至導致系統崩潰或被劫持,並可以使智能設備變成殭屍攻擊工具。
- 以培養和提升網路安全實戰能力為目標的攻防演練、攻防比賽和網路安全學院成為行業熱點
2017年9月26日,歷時22天的湖南省公安機關「護網2017」網路安全攻防演練活動圓滿結束,並進行了彙報演練。
2017年開始,國內攻防演練和攻防比賽的熱度開始明顯升溫,據不完全統計,全年國內各類不同規模的攻防演練超過了100場,各類網路安全攻防比賽的總數近200場,參與比賽人次近60000人。注重實戰型網路安全人才培養,採用校企合作模式的網路空間學院也將在2018年繼續成為熱點。
- 雲、物聯網與數字化推動身份認證技術變革,身份與訪問管理(IAM)是一個比較成熟安全領域,但這不意味著沒有變化
據調查,企業繼續發展雲技術,IT、運營、財務和市場/銷售等功能將遷移至雲端。同一雲服務供應商往往為多個大企業共享,這會增加系統故障的可能性。
2017年的Verizon數據泄露報告顯示,81%的數據泄露都與身份被竊取有關係。可以說,隨著越來越多用戶訪問遠程或者雲端資源,身份已經成為當前最有重要性的攻擊對象。
目前傳統的IAM方案依然根據用戶ID來授予訪問許可權,但隨著社交媒體、大數據、BYOD以及物聯網的普及,用戶在保留ID的同時,會根據其與周圍的交互情況,賦予信息訪問許可權。此外,由於攻擊容易複雜,現在正在普及的雙因素驗證仍略顯不足,增加生物識別等新的驗證機制。
- 網路安全新常態推動政企機構建立重保常態化,應急小時化的安全體系
2017年5月的永恆之藍勒索蠕蟲事件和《網路安全法》6月1日的正式實施,對於網路安全行業是一個分水嶺,廣大的政企機構的攻防態勢和網路安全監管形勢發生了根本變化,我們稱之為網路安全的新常態。
面對這樣的新常態,傳統完全依賴安全設備和技術的嚴防死守無法應對國家背景的高級威脅,防護重點需要過渡到加強檢測和響應。未來敵方利用的不少漏洞可能是未知的,攻擊方式也可能僅出現一次,在這種情況下,不能期望在對方攻進來之前就可以發現和攔截阻斷。因此,建立起重保常態化、應急小時化的新一代安全體系是政企機構應對網路安全新常態的有力補充。
- 安全實施演變成安全能力交付,政企機構從購買產品到購買服務,安全服務化將快速成長
從2017年已經出現的幾起政企服務案例來看,已經有政企客戶在網路安全採購中從購買產品轉到了購買服務,在與安全廠商簽定的網路安全合同中安全服務成為了最主要內容,而安全的軟硬體產品則成為了配合選項。
據普華永道調查數據顯示:2017年中國內地與香港的企業在網路安全方面的平均投入比全球數值高出近四分之一。2018年,政企用戶在網路安全方面的支出將進一步增加,以服務的形式購買安全能力、以雲的方式交付安全能力將成為趨勢。
- 隱私保護從爭議話題開始邁向通過法律和技術方案的務實推進
個人信息數據是企業的核心資產,企業在強調權利的同時,也應切實擔負起保護用戶隱私安全的責任。如果企業行為可能給用戶造成危害,企業有責任和義務保護用戶數據,但也要法律先行。
目前我國沒有統一的個人信息保護法,雖然《網路安全法》作為我國網路領域的基礎性法律將個人信息保護列入其中,既是出於國家網路空間主權和網路安全考慮,也是對當前個人網路信息安全嚴峻現實的直接回應,但遠不能全方位地保護個人信息安全,也存在個人信息保護的法律漏洞。但是通過「徐玉玉案」等一系列案件給社會帶來的不良影響,使人們充分意識到了個人信息泄露和濫用所帶來的嚴重社會危害,同時也催生個人信息保護立法落地。
- 數據成為數字化轉型時代的「石油」,數據安全保衛戰將全面打響
根據調查反饋,中國內地與香港有46%受訪者表示客戶數據泄露是最直接影響,財務損失(38%)和商業郵件入侵(36%)緊隨其後。
對2017年全球發生的近300起重大安全事件分析發現,其中75%的事件與數據泄露、數據竊取和數據勒索有關,而且有趣的是,數據泄露越來越豐富,我們能想像到或者接觸到的數據都泄露了。
根據Verizon數據泄露調查報告,75%的數據泄露是外部人所為,也就是各種網路攻擊造成的,而其他25%是由內部威脅造成的,所以數據安全面臨內憂外患。《網路安全法》2017年6月1日正式實施依賴,已經發生了多起企業、機構和平台由於數據保護不利或者因數據保護相關法規執行不到位被處罰的案例。
可以預見,在業務需求和監管雙重壓力下,2018年,數據安全保衛戰將在網路安全領域全面打響。
2018年,2月,寫在農曆新年即將到來之際
隨著一系列新技術的崛起,人工智慧、物聯網、RPA / IPA、區塊鏈、大數據分析、雲以及增強現實/虛擬現實等正進一步顛覆全球商業格局。中國在物聯網發展和應用上處於世界領先地位,隨之而來的衝擊也會更多。在中國營商的企業需要及時適應當地市場的高速發展變化,保持競爭力。在中國的許多企業,尤其是科技為先的企業,對於網路安全的潛在威脅反應越來越敏捷,因為他們有很強的意識,持續保護其網路安全,期望先發制人,通過預防來降低風險。
企業除了需要應對網路安全挑戰,我們也提醒企業必須及時了解嚴格的新監管層面的法律法規。例如2017年6月起生效的《中國網路安全法》,以及將於2018年5月開始施行的《歐盟通用數據保護條例》(GDPR)。企業需要確保嚴格遵守規則,了解不合規的風險所在。
2018來了,
這是充滿機遇與挑戰的一年,
這也是數據安全領域蓬勃發展的一年。
你準備好了嗎?
註:本文信息內容綜合整理於騰訊安全、360企業安全、普華永道等多家企業調查數據,如有引用侵權,請及時與我們聯繫進行處理。
?如果你喜歡這篇文章,歡迎分享到朋友圈?
評論功能現已開啟,我們接受一切形式的吐槽和讚美?
推薦閱讀:
※透明化體驗身臨其境——工博會系列之一
※摩根大通:懂人工智慧的投顧將脫穎而出!
※智能互聯網代表未來,聯想如何打贏這場攻堅戰?
※《無人值守商店運營指引》正式發布,看看首份監管文件都說了些啥
※透過產業AI的發展歷程,看阿里的「愚公移山」精神