保護(hù)重要數(shù)據(jù)和應(yīng)用程序免受網(wǎng)絡(luò)威脅是各種組織在2019年的首要任務(wù)。而2020年，其重要性將進(jìn)一步提高。

[[318930]]

在云遷移、數(shù)據(jù)分析、人工智能和物聯(lián)網(wǎng)(IoT)等技術(shù)發(fā)展的推動(dòng)下，很多組織將尋找改善工作流程、降低成本和提高員工生產(chǎn)力的方法。

在這種不斷變化的環(huán)境中，無法確保組織的混合網(wǎng)絡(luò)始終保持安全，但這并不意味著完全放棄。在2020年，至關(guān)重要的是要確保在威脅造成損害之前盡一切努力阻止威脅。以下是提高2020年安全實(shí)踐標(biāo)準(zhǔn)的一些預(yù)測：

1.錯(cuò)誤配置的云計(jì)算資源仍然是一個(gè)問題

組織在2019年面臨的一些比較大的IT安全挑戰(zhàn)源于對云計(jì)算資源的管理不善。例如，Amazon S3存儲(chǔ)桶多次錯(cuò)誤配置，或者在完成工作之后很長時(shí)間仍處于打開狀態(tài)，看來這一趨勢在2020年仍然是一個(gè)問題。

展望未來，組織可以選擇標(biāo)準(zhǔn)化的存儲(chǔ)方法獲得幫助，而不必采用更為獨(dú)特或定制的方法。通過選擇標(biāo)準(zhǔn)工具，組織選擇的云計(jì)算提供商將能夠幫助其了解可能發(fā)生的故障以及如何修復(fù)。盡管不能完全消除問題，但隨著新的一年的進(jìn)展，它確實(shí)采取了正確的步驟來減少錯(cuò)誤配置云計(jì)算資源的可能性。

2.第三方安全的風(fēng)險(xiǎn)將會(huì)增加

組織在努力確保內(nèi)部系統(tǒng)安全的同時(shí)，技術(shù)供應(yīng)鏈中來自第三方的風(fēng)險(xiǎn)將繼續(xù)增加。組織可能已修補(bǔ)的漏洞可能會(huì)被第三方供應(yīng)商中打開，從而打開了組織的網(wǎng)絡(luò)后門。這也是一個(gè)數(shù)據(jù)安全問題。例如，一家組織可能會(huì)將一部分人力資源職能外包給第三方公司。組織需要非常了解與第三方共享什么類型的數(shù)據(jù)以及如何使用這些數(shù)據(jù)，必須采取額外的預(yù)防措施來保護(hù)敏感數(shù)據(jù)。

組織需要關(guān)注要保護(hù)的數(shù)據(jù)類型?？梢栽L問員工數(shù)據(jù)進(jìn)行處理的第三方與可以訪問市場營銷數(shù)據(jù)庫以進(jìn)行對外銷售活動(dòng)的第三方之間存在著很大差異。員工記錄可能包含個(gè)人詳細(xì)信息，例如需要阻止黑客入侵的稅務(wù)檔案編號(hào)。使用數(shù)據(jù)分類策略可幫助組織確定數(shù)據(jù)優(yōu)先級(jí)和必須使用的保護(hù)。組織在2020年需要花費(fèi)時(shí)間了解第三方供應(yīng)商的安全性以及在組織中存在的數(shù)據(jù)。這將使企業(yè)對潛在風(fēng)險(xiǎn)有更全面的了解，包括如何以及在何處共享數(shù)據(jù)。

3.持續(xù)發(fā)展的物聯(lián)網(wǎng)將會(huì)增加風(fēng)險(xiǎn)，更復(fù)雜的攻擊隨之增長

隨著物聯(lián)網(wǎng)的持續(xù)增長并成為IT領(lǐng)域的重要組成部分，物聯(lián)網(wǎng)設(shè)備發(fā)生重大漏洞的風(fēng)險(xiǎn)急劇增加。這在很大程度上是由于物聯(lián)網(wǎng)制造商并未將物聯(lián)網(wǎng)安全放在首位。統(tǒng)計(jì)數(shù)據(jù)表明，物聯(lián)網(wǎng)設(shè)備本身嚴(yán)重缺乏安全性，這一事實(shí)不會(huì)很快改變。

2019年上半年的網(wǎng)絡(luò)攻擊相對來說并不復(fù)雜，但網(wǎng)絡(luò)攻擊者將繼續(xù)改進(jìn)其技術(shù)，使攻擊更具破壞性。物聯(lián)網(wǎng)設(shè)備用于關(guān)鍵應(yīng)用中，出現(xiàn)漏洞只會(huì)對組織產(chǎn)生不利影響，但人們的健康可能會(huì)受到危害，例如在連接胰島素泵或關(guān)鍵基礎(chǔ)設(shè)施的情況下。

根據(jù)摩爾定律，處理器芯片每18個(gè)月的運(yùn)算能力就會(huì)增加一倍，但不幸的是，物聯(lián)網(wǎng)安全并未以類似的速度發(fā)展。在2020年，組織將需要了解與網(wǎng)絡(luò)連接的內(nèi)容以及網(wǎng)絡(luò)的保護(hù)方式，修補(bǔ)物聯(lián)網(wǎng)設(shè)備漏洞需要成為組織IT優(yōu)先事項(xiàng)的重要組成部分。

4.安全問題將會(huì)影響組織的發(fā)展

盡管媒體的注意力集中在引人注目的網(wǎng)絡(luò)漏洞上，但沒有檢測出來的漏洞引起了更大的關(guān)注。遭受破壞的小型組織如果遭受嚴(yán)重的數(shù)據(jù)或IP損失，將會(huì)無法恢復(fù)。

由于沒有大型組織的巨額預(yù)算，小型組織對于尋求經(jīng)濟(jì)利益或損害聲譽(yù)的黑客來說是一個(gè)容易攻擊的目標(biāo)。在過去的幾年中，人們看到了常見密碼的統(tǒng)計(jì)模型。還發(fā)現(xiàn)不良行為者會(huì)使用這些已知的密碼和已知的帳戶嘗試進(jìn)行低速和慢速登錄攻擊。安全性較低的組織可以使用這些密碼來保護(hù)數(shù)據(jù)和應(yīng)用程序。

考慮到這一點(diǎn)，更多成熟的組織將把更多的數(shù)據(jù)和應(yīng)用程序遷移到云平臺(tái)中。如果這是組織計(jì)劃，需要就哪些數(shù)據(jù)應(yīng)移至云平臺(tái)以及如何在其中進(jìn)行安全保護(hù)做出明智的決策。

5.安全人員短缺將找到新的創(chuàng)造性方法來減輕負(fù)擔(dān)

鑒于一些組織無法找到和保留所需的安全專家，并且其預(yù)算仍受限制的事實(shí)，2020年將出現(xiàn)更多具有創(chuàng)造性的方法。網(wǎng)絡(luò)和安全團(tuán)隊(duì)之間更加依賴團(tuán)隊(duì)方法將帶來更多成功的結(jié)果，幫助團(tuán)隊(duì)分析網(wǎng)絡(luò)數(shù)據(jù)以檢測威脅和性能問題的單一觀點(diǎn)將加快運(yùn)營速度，并降低平均修復(fù)時(shí)間(MTTR)。

云計(jì)算安全聯(lián)盟的云計(jì)算控制矩陣為組織考慮將其數(shù)據(jù)移至云平臺(tái)提供了明確的指導(dǎo)原則。諸如美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)網(wǎng)絡(luò)安全框架之類的框架可以指導(dǎo)有關(guān)安全性的活動(dòng)。在2020年期間，評(píng)估這些替代方案，并確定適合組織的方案。

6.密碼將仍然是比較薄弱的環(huán)節(jié)

多年來，密碼在數(shù)據(jù)安全方面提供了相對一致的保護(hù)。在2020年，考慮全面部署多因素身份驗(yàn)證。

研究機(jī)構(gòu)正在推廣高級(jí)保護(hù)措施，例如采用谷歌公司的USB-C Titan Key固件，該固件密封在安全元件硬件芯片中，這種芯片使密鑰更能抵御物理攻擊。這樣的方法可以顯著加強(qiáng)對關(guān)鍵數(shù)據(jù)存儲(chǔ)的保護(hù)。

7. DoH的意識(shí)和使用將越來越廣泛

2020年將增加DNS-over-HTTPS(DoH)的采用。這一趨勢涉及兩大技術(shù)趨勢。首先是在全球互聯(lián)網(wǎng)和組織網(wǎng)絡(luò)內(nèi)部加密的使用越來越多。第二種是在發(fā)生在新技術(shù)上所謂的“隱私清洗”。

迄今為止，瀏覽器供應(yīng)商已將DoH定位為用戶的隱私增強(qiáng)功能。此更改的實(shí)際效果是將域名系統(tǒng)(服務(wù))協(xié)議(DNS)移出操作系統(tǒng)，并移入瀏覽器應(yīng)用程序的控制權(quán)。最終結(jié)果是減少或模糊了用戶在如何處理其數(shù)據(jù)方面的選擇，同時(shí)只提供了適度的安全性和隱私利益。

在2020年期間，需要仔細(xì)評(píng)估DoH，并確定如果部署將為企業(yè)帶來什么價(jià)值。

組織對加強(qiáng)安全性越來越精明，但是隨著技術(shù)發(fā)展，黑客也越來越聰明。重要的是要對組織目前的狀況進(jìn)行盤點(diǎn)，并評(píng)估在2020年可以采取哪些不同的措施來保護(hù)組織的業(yè)務(wù)。

總之，這七個(gè)趨勢將有助于組織在2020年內(nèi)塑造自己的網(wǎng)絡(luò)安全方法?，F(xiàn)在是專注于組織所面臨的未來以便更好地應(yīng)對新挑戰(zhàn)的時(shí)候了。