本文回顧了9個(gè)機(jī)構(gòu)歸納的2018年網(wǎng)絡(luò)安全發(fā)展趨勢(shì)，并預(yù)測(cè)15個(gè)可能發(fā)生的2018年網(wǎng)絡(luò)安全事件類(lèi)型，有鑒于此大家還給出了11點(diǎn)網(wǎng)絡(luò)安全方面的希望和建議，最后提供一份來(lái)自ESG/ISSA 的調(diào)查報(bào)告，報(bào)告顯示數(shù)百家企業(yè)在制定2018年網(wǎng)絡(luò)安全預(yù)算的時(shí)候，作出的5個(gè)共性考慮與選擇，這可以作為您的2018網(wǎng)絡(luò)安全規(guī)劃的參考。

[[214380]]

2018年網(wǎng)絡(luò)安全發(fā)展趨勢(shì)或預(yù)測(cè)

1. 2017網(wǎng)絡(luò)安全發(fā)展回顧與2018網(wǎng)絡(luò)安全發(fā)展趨勢(shì)， 創(chuàng)新、協(xié)作與安全意識(shí)
2. 2018網(wǎng)絡(luò)安全發(fā)展趨勢(shì)如何， 來(lái)看2018網(wǎng)絡(luò)安全6家談
3. 2018網(wǎng)絡(luò)安全發(fā)展趨勢(shì) ，10個(gè)關(guān)鍵詞表述安全事件主要特征
4. 2018網(wǎng)絡(luò)安全發(fā)展趨勢(shì)， 人工智能與攻防PK
5. 2018網(wǎng)絡(luò)安全發(fā)展趨勢(shì)， 高級(jí)威脅防御技術(shù)5個(gè)方面需關(guān)注
6. 2018信息安全發(fā)展趨勢(shì) ，Gartner說(shuō)支出將達(dá)930億美元， 主要是升級(jí)購(gòu)買(mǎi)

行業(yè)安全發(fā)展趨勢(shì)：

• 2018金融信息安全發(fā)展趨勢(shì)， 8點(diǎn)金融信息安全威脅扎心
• 2018工控安全發(fā)展趨勢(shì)， 8個(gè)方向直擊工業(yè)控制系統(tǒng)要害
• 2018物聯(lián)網(wǎng)及其安全發(fā)展趨勢(shì) ，17位專(zhuān)家形成7532陣型

來(lái)自新浪財(cái)經(jīng)的消息稱(chēng)，在企業(yè)的經(jīng)營(yíng)管理中，合規(guī)與風(fēng)險(xiǎn)預(yù)防始終是重中之重，來(lái)自?xún)?nèi)外部的威脅，曾使得很多企業(yè)代價(jià)慘重。垃圾郵件、病毒、間諜軟件以及員工不恰當(dāng)行為，往往令企業(yè)處于商業(yè)機(jī)密被竊取、舞弊指責(zé)、政策監(jiān)管的風(fēng)險(xiǎn)之中。

如何應(yīng)對(duì)網(wǎng)絡(luò)安全的威脅，是企業(yè)經(jīng)營(yíng)管理中的重大課題，同時(shí)亦是健康商業(yè)環(huán)境的應(yīng)有之義……此外，受影響較大的行業(yè)還集中于金融服務(wù)、衛(wèi)生醫(yī)療、能源、運(yùn)輸及其他一些公共服務(wù)行業(yè)。……企業(yè)的安全風(fēng)險(xiǎn)，往往分為內(nèi)外兩方面。相比外部環(huán)境等風(fēng)險(xiǎn)，來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)，往往更直接，危害也更嚴(yán)重。

對(duì)很多中國(guó)企業(yè)來(lái)說(shuō)，由于外部法律環(huán)境和商業(yè)環(huán)境的不完善，以及內(nèi)部治理模式和流程的不完善等因素，商業(yè)秘密的保護(hù)一直是個(gè)比較難的問(wèn)題，商業(yè)秘密的侵權(quán)認(rèn)定也一直是一個(gè)難點(diǎn)。

2018年網(wǎng)絡(luò)安全事件預(yù)測(cè)及我們的良好愿望

據(jù)估計(jì)，2016年 網(wǎng)絡(luò)犯罪活動(dòng)中有3萬(wàn)億美元被盜。有人認(rèn)為，由于網(wǎng)絡(luò)犯罪造成的美元數(shù)額，在未來(lái)幾年內(nèi)很容易增加三倍。

1. 2018年網(wǎng)絡(luò)安全事件預(yù)測(cè)

1. 一個(gè)或多個(gè) 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò) 將再次造成中斷，DDoS或類(lèi)似Mirai的其他類(lèi)型破壞。 最近發(fā)現(xiàn)的兩個(gè)僵尸網(wǎng)絡(luò)的例子是 Reaper僵尸網(wǎng)絡(luò) 和Satori僵尸網(wǎng)絡(luò)， 他們肯定不會(huì)是最后一個(gè)。在一些 易受攻擊面上，包括默認(rèn)密碼、連接的云或整個(gè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)中最薄弱的環(huán)節(jié)，這些威脅形式都會(huì)進(jìn)行利用。
2. 網(wǎng)絡(luò)犯罪將會(huì)作為一種服務(wù)持續(xù)擴(kuò)大規(guī)模。您不再需要成為黑客或開(kāi)發(fā)人員，去運(yùn)行 僵尸網(wǎng)絡(luò) 、分發(fā) 勒索軟件 或入侵電腦， 你只需要幾百美元，就開(kāi)始自己的網(wǎng)絡(luò)犯罪業(yè)務(wù)， 技術(shù)支持服務(wù)可能比主要科技公司的軟件支持還要好。無(wú)需 命令行，只需連入并點(diǎn)擊，就可以營(yíng)業(yè)了。 不僅如此，您購(gòu)買(mǎi)的漏洞，還有性能保證。
3. 更多的 0Day漏洞 代碼泄漏將會(huì)發(fā)生，比如Wikileaks的 Vault7 和 Vault8 ，這將使得攻擊者能夠輕松地入侵受害者，直到修補(bǔ)程序被開(kāi)發(fā)并且實(shí)際安裝上去。
4. 從發(fā)現(xiàn)漏洞到釋放漏洞利用方法PoC，再到利用漏洞進(jìn)行攻擊的停留時(shí)間，將持續(xù)減少。
5. 我們將看到更多合法的軟件被修改，利用合法數(shù)字證書(shū)，最終用于惡意目的。 代碼有效性的持續(xù)驗(yàn)證將變得更加重要。
6. 我們將看到 網(wǎng)絡(luò)機(jī)器學(xué)習(xí)展開(kāi)軍備競(jìng)賽 ，競(jìng)賽在網(wǎng)絡(luò)防御者的機(jī)器學(xué)習(xí)與網(wǎng)絡(luò)攻擊者的機(jī)器學(xué)習(xí)代碼之間展開(kāi)。
7. 我們將在網(wǎng)絡(luò)媒體上看到“假新聞”的網(wǎng)絡(luò)武器化。(安全加小編將在后續(xù)有篇文章來(lái)解釋這個(gè)有趣的事情)
8. 勒索軟件將繼續(xù)發(fā)展，將會(huì)具有新的目的、目標(biāo)和技術(shù)。 例如：被鎖在門(mén)外(物聯(lián)網(wǎng)/智能家居鎖)，或者汽車(chē)外，然后要求贖金。
9. 比特幣和 加密貨幣 的狂熱，將成為網(wǎng)絡(luò)犯罪分子的一大利器，這些犯罪分子將針對(duì)交易平臺(tái)以及個(gè)人利用等較為簡(jiǎn)單的目標(biāo)和脆弱性入手，竊取資金。
10. 我們看到的傳統(tǒng)惡意軟件，比如可執(zhí)行文件，會(huì)變少，而更多的會(huì)出現(xiàn)無(wú)文件惡意軟件，攻擊的意圖轉(zhuǎn)移到命令行，劫持用戶(hù)憑據(jù)，提升權(quán)限，然后利用像Powershell，Win32等合法進(jìn)程/實(shí)用程序，進(jìn)而利用計(jì)算機(jī)。先進(jìn)的終端安全，需要比以往更加能夠識(shí)別什么是惡意的行為。
11. 更多的計(jì)算機(jī)將受到 APT (高級(jí)持續(xù)性威脅)的威脅，這是一種持續(xù)性的攻擊，除非計(jì)算機(jī)上的每一次更改都被記錄下來(lái)，否則無(wú)法清除，這種局面一種方式可以通過(guò)下一代終端防護(hù)解決方案來(lái)逆轉(zhuǎn)， 另一種方法自然是全盤(pán)擦除，然后重建映像。
12. 高級(jí)攻擊者，將利用大多數(shù)殺毒軟件無(wú)法檢測(cè)到的固件/硬件漏洞，進(jìn)行攻擊。
13. 我們將會(huì)看到至少有一起訴訟起訴，將利用從亞馬遜Alexa、Google Home或類(lèi)似的設(shè)備，從中獲取到你到錄音，作為呈堂證供。
14. 公有云和在線(xiàn)倉(cāng)庫(kù)中將會(huì)出現(xiàn)一些重大的數(shù)據(jù)泄露行為，如GitHub公開(kāi)私鑰、密碼、特權(quán)信息和可能的知識(shí)產(chǎn)權(quán)。
15. 歐盟以外的公司，將會(huì)出現(xiàn)違反GDPR的違規(guī)行為，罰款數(shù)百萬(wàn)美元。

2. 2018年網(wǎng)絡(luò)安全愿望清單

1. 希望董事會(huì)和CISO一起工作，溝通和了解業(yè)務(wù)的風(fēng)險(xiǎn)。 共同合作，以合理的周期更新其技術(shù)、可視性、流程和防御能力，希望比前幾年快得多。
2. 希望意識(shí)到大多數(shù)GRC 安全合規(guī) 性是一個(gè)很好的開(kāi)始，是啟動(dòng)風(fēng)險(xiǎn)管理計(jì)劃的基礎(chǔ)。 然而，這不應(yīng)該被視為最終的目標(biāo)，而只是一個(gè)開(kāi)始。如果不相信， 你去問(wèn) 問(wèn)一個(gè)好的紅隊(duì) ，如果我們遵守了合規(guī)性，那么他們就無(wú)法完成網(wǎng)絡(luò) 滲透測(cè)試 任務(wù)。 答案顯然是不太可能的。
3. 希望筆記本電腦和臺(tái)式機(jī)的補(bǔ)丁周期，需要縮短到幾天，甚至幾個(gè)小時(shí)，而不是幾周或幾個(gè)月。
4. 希望所有參與網(wǎng)絡(luò)彈性決策和規(guī)劃的人，都不會(huì)低估他們的對(duì)手。
5. 希望 人工智能 和機(jī)器學(xué)習(xí)將是網(wǎng)絡(luò)防御所必需的，因?yàn)楣粽咭矔?huì)利用它。
6. 希望物聯(lián)網(wǎng)設(shè)備，特別是消費(fèi)設(shè)備，將定期提供安全更新，最少是五年更新一次。 更多的商業(yè)和工業(yè)設(shè)備合同，將有制造商支持安全補(bǔ)丁的明確要求。
7. 希望物聯(lián)網(wǎng)設(shè)備在銷(xiāo)售給消費(fèi)者或行業(yè)之前，將經(jīng)過(guò)某種類(lèi)型的安全認(rèn)證程序。
8. 希望網(wǎng)絡(luò)安全合規(guī)，被視為風(fēng)險(xiǎn)管理計(jì)劃的一部分，以避免罰款和其他法律處罰，但不應(yīng)被視為整個(gè)風(fēng)險(xiǎn)管理計(jì)劃。 遵守這些法律法規(guī)應(yīng)視為網(wǎng)絡(luò)安全審計(jì)職能的一部分。
9. 希望監(jiān)管機(jī)構(gòu)了解他們的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)遵守要求是否繁重，他們可能實(shí)際上將風(fēng)險(xiǎn)管理項(xiàng)目的預(yù)算和資源，從風(fēng)險(xiǎn)管理項(xiàng)目中分離出來(lái)，這些風(fēng)險(xiǎn)管理項(xiàng)目的風(fēng)險(xiǎn)甚至可能超過(guò)他們所實(shí)施的標(biāo)準(zhǔn)。
10. 希望大家不要過(guò)度依賴(lài)IOC指標(biāo)。 網(wǎng)絡(luò)犯罪分子可以改變 惡意軟件 哈希值、域名和IP，這個(gè)速度比分析師驗(yàn)證它們的速度更快。 其中很大一部分，可能是后知后覺(jué)，你拿到的IoC可能只是歷史指標(biāo)而不是可以依賴(lài)的前瞻性指標(biāo)。 只有緩慢防御的對(duì)手才會(huì)依賴(lài)IoC。
11. 需要更多地關(guān)注TTP(工具、技術(shù)和過(guò)程，也有稱(chēng)為戰(zhàn)術(shù)、技術(shù)和過(guò)程)，更少關(guān)注IOC(事件攻擊指標(biāo))。

不要因?yàn)槟愕钠髽I(yè)合規(guī)了，就認(rèn)為你的企業(yè)是安全的。

2018企業(yè)網(wǎng)絡(luò)安全及行業(yè)網(wǎng)絡(luò)安全調(diào)查報(bào)告

最近一份來(lái)自ESG和信息系統(tǒng)安全協(xié)會(huì)ISSA的報(bào)告《網(wǎng)絡(luò)安全專(zhuān)家的生活和時(shí)代》稱(chēng) ， 在過(guò)去數(shù)年中，各組織中的343名信息安全專(zhuān)業(yè)人士，曾被要求確定其組織中采取的 網(wǎng)絡(luò)安全 行動(dòng)。 這份清單可以為企業(yè)及行業(yè)應(yīng)對(duì)2018年的網(wǎng)絡(luò)安全挑戰(zhàn)或者制定網(wǎng)絡(luò)安全規(guī)劃提供參考。

在報(bào)告中，一些回答比例最高的條目如下：

1. 52%的組織采用了部分或全部 NIST網(wǎng)絡(luò)安全框架 (CSF)。 如果您沒(méi)有注意到這一點(diǎn)，您會(huì)驚訝地發(fā)現(xiàn)，NIST CSF已經(jīng)成為許多行業(yè)的標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理工具，并且已經(jīng)發(fā)展為 網(wǎng)絡(luò)保險(xiǎn) 的制定提供了基準(zhǔn)指標(biāo)。 1.1版草案最近出版了， 承諾給網(wǎng)絡(luò)供應(yīng)鏈帶來(lái)更加清晰、通用的語(yǔ)言和可擴(kuò)展性。 最后，CSF很可能會(huì)與主管機(jī)構(gòu)委員會(huì)(COSO)風(fēng)險(xiǎn)管理框架(第二部分)相輔相成，后者更側(cè)重于企業(yè)和企業(yè)風(fēng)險(xiǎn)。 總的來(lái)說(shuō)，在2018年可以看到更多的風(fēng)險(xiǎn)管理方面的推進(jìn)， 包括最近對(duì)高級(jí)防御技術(shù)的描述 。
2. 50%的組織增加了安全和IT人員的 網(wǎng)絡(luò)安全培訓(xùn) 。 好的，這是個(gè)好消息。 壞消息是接受調(diào)查的網(wǎng)絡(luò)安全專(zhuān)業(yè)人員中，有62%認(rèn)為他們從組織那里獲得的培訓(xùn)水平仍然不足。 網(wǎng)絡(luò)安全培訓(xùn)將在2018年增加，但可能不會(huì)如此。
3. 49%的組織提高了非技術(shù)員工的網(wǎng)絡(luò)安全培訓(xùn)水平。 這可能是一個(gè)很好的投資，但是太多的組織會(huì)通過(guò)網(wǎng)絡(luò)安全培訓(xùn)的動(dòng)作，將其視為復(fù)選項(xiàng)。 令人遺憾的是，許多機(jī)構(gòu)仍將繼續(xù)增加培訓(xùn)預(yù)算，但在這一過(guò)程中投資回報(bào)率甚微。 我看到領(lǐng)先的公司，正在通過(guò)以用戶(hù)為中心的 滲透測(cè)試 ，比如白帽子 釣魚(yú)攻擊 活動(dòng)，使用KnowBe4 、PhishMe和Wombat Security的工具，來(lái)加倍努力。 我也看到更好的交流，像解釋為什么用戶(hù)操作被阻止，而不是簡(jiǎn)單地屏蔽他們，并向他們傳遞加密信息。持續(xù) 教育非常重要，所以我希望CISO和人力資源經(jīng)理能夠在這方面作出改進(jìn)，而不是僅僅在2018年增加用戶(hù)培訓(xùn)的量。
4. 48%的組織增加了網(wǎng)絡(luò)安全預(yù)算。 ESG即將發(fā)布2018年IT支出意向研究，其中包括網(wǎng)絡(luò)安全預(yù)算的重點(diǎn)。 擾亂警報(bào)：大多數(shù)組織將在所有行業(yè)中增加2018年的網(wǎng)絡(luò)安全預(yù)算。 然而，即使有這種增長(zhǎng)，安全團(tuán)隊(duì)也會(huì)發(fā)現(xiàn)，在網(wǎng)絡(luò)安全的所有領(lǐng)域進(jìn)行投資，非常具有挑戰(zhàn)性。 在2018年，首席信息安全官將制定一個(gè)投資組合管理的方法來(lái)投資，尋找方法來(lái)使用 機(jī)器學(xué)習(xí) 技術(shù)、安全運(yùn)營(yíng)自動(dòng)化/業(yè)務(wù)流程工具、 安全管理服務(wù) 和 軟件定義安全 選項(xiàng)，以滿(mǎn)足需求，并作為對(duì)成本上升的對(duì)策。
5. 48%準(zhǔn)備遵守一項(xiàng)或幾項(xiàng)新的監(jiān)管要求。 2017年，紐約州推出了金融服務(wù)公司的新規(guī)定，而許多全球公司開(kāi)始了 通用數(shù)據(jù)保護(hù)條例GDPR 準(zhǔn)備。 隨著五月份截止日期臨近，GDPR將繼續(xù)成為2018年投資熱點(diǎn)區(qū)域，但是我懷疑這是否會(huì)結(jié)束。 我希望在2018年對(duì) 物聯(lián)網(wǎng)設(shè)備的安全性 進(jìn)行大量的審查，或許還有一些初步的規(guī)定。哦，一個(gè)大的 數(shù)據(jù)泄露 或服務(wù)中斷肯定會(huì)在一夜之間改變立法的態(tài)度。 作為一名美國(guó)公民，我希望華盛頓重視從 Equifax數(shù)據(jù)泄露 和GDPR等方面吸取的經(jīng)驗(yàn)教訓(xùn)，開(kāi)始在本地開(kāi)展合理的數(shù)據(jù)隱私和 網(wǎng)絡(luò)安全法規(guī)。

ESG / ISSA的數(shù)據(jù)表明，過(guò)去的網(wǎng)絡(luò)安全是序幕。 希望CISO不僅能獲得更多的現(xiàn)金，而且還能通過(guò)各自對(duì)于2018年的規(guī)劃。相反，我希望他們能夠評(píng)估需求，流程和資源，并利用不斷增加的預(yù)算，來(lái)提高基礎(chǔ)網(wǎng)絡(luò)安全。