迄今為止，關(guān)于2020年網(wǎng)絡安全領(lǐng)域的預言想必你已經(jīng)看過很多了，確實，預言已經(jīng)多的不值一提了，今天之所以還做這個主題，是因為我要說的是2020年你并不會看到的8大網(wǎng)絡安全趨勢，想不想去了解一下。

在許多文化中，新年伊始都會被視為新希望的開始。我們有機會重啟、刷新、重設(shè)、從錯誤中學習，并憑借大量的精力和驚人的計劃來繼續(xù)前行。但是，由于在過去的2019年有超過50億個敏感數(shù)據(jù)記錄被盜，所以我認為預測2020年網(wǎng)絡安全領(lǐng)域不會發(fā)生的事件可能會更為準確些。為此，我們訪問了Secure Code Warrior聯(lián)合創(chuàng)始人Matias Madou，并提出了以下8大趨勢：

1. SQL注入從所有軟件中根除

對于這一天的到來，我們已經(jīng)等待了20多年，遺憾的是，我們還要繼續(xù)等下去，至少這一天不會發(fā)生在2020年。迄今為止，這種缺陷始終堅挺，就像蟑螂一樣無法徹底根除。具有諷刺意味的是，在這種缺陷存在之初就同時發(fā)現(xiàn)了補救措施。但是，在軟件開發(fā)的每個階段(尤其是確保一開始就正確)對安全最佳做法的優(yōu)先級仍然太低，自發(fā)現(xiàn)SQL注入漏洞以來，代碼產(chǎn)量已經(jīng)發(fā)生了爆炸式增長，目前的安全實踐很明顯并不夠應付這種情況。

2. 開發(fā)人員和應用安全人員成為最好的朋友

沒錯，開發(fā)人員和應用安全團隊。他們是會友好相處，還是注定要像洛奇vs阿波羅(美國拳擊史上的兩大名人)那樣過著競爭的生活?答案是他們能夠相處，只是現(xiàn)在這種局面可能還不會出現(xiàn)，因為他們的工作重點還存在很大差異。

當他們雙方同處在項目環(huán)境中時，他們通常是處于對立面的，而且，一旦應用安全專家開始仔細研究開發(fā)人員的代碼時，沖突可能就會一觸即發(fā)。試想一下，開發(fā)人員費盡心思構(gòu)建了一個頁面精美且功能齊全的軟件(當然，這是他/她的首要任務)，但是，一旦應用安全專家在其中發(fā)現(xiàn)安全漏洞，該軟件將難以面世，甚至會被徹底否決。實際上，應用安全專家經(jīng)常會在開發(fā)人員的軟件中發(fā)現(xiàn)這樣或那樣的問題，并迫使他們回去修復所有的錯誤，這通常會延遲軟件的部署上市進程。

就目前這種狀態(tài)來看，直到這兩個團隊懂得朝著一個共同的目標(即開發(fā)安全軟件)努力之時，這一問題才能得到解決。遺憾的是，這種情況不會發(fā)生在2020年。但是，隨著DevSecOps運動的到來，開發(fā)人員已經(jīng)開始認識到提高軟件安全性的必要性，并朝著更高標準(將安全嵌入開發(fā)過程中)邁進。

3. 安全專業(yè)人員供過于求

在2020年，2025年，2030年……乃至更遠的未來，幾乎可以肯定的是，在安全專業(yè)知識方面，全球范圍內(nèi)仍將面臨人手不足的現(xiàn)象。根據(jù)ISC公布的數(shù)據(jù)顯示，目前大約存在293萬個網(wǎng)絡安全職位空缺。

在不久的將來，我們解決技能短缺的最佳機會是將安全性作為組織優(yōu)先事項，并提高我們現(xiàn)有員工的技能，這就意味著要為開發(fā)人員提供培訓和工具以安全地進行編碼，并建立全公司范圍內(nèi)的安全文化。當前大多數(shù)應用安全團隊可能正在與一些眾所周知的老舊安全性漏洞作斗爭。如果我們能夠保證他們不必花費寶貴的時間和精力來解決這些常見問題，那么他們將有更多的精力投入到更為棘手的安全問題中，例如API和適應開發(fā)流程的構(gòu)建工具。

4. 更少的代碼產(chǎn)量

世界正在以驚人的速度進行數(shù)字化，社會需求不會動搖。根據(jù)思科和Cyber security Ventures的研究報告顯示，每年編寫的代碼行約為1110億行，而對于已經(jīng)擴展的AppSec團隊來說，這一數(shù)字只會變得越來越龐大，越可怕。

5. 被盜數(shù)據(jù)記錄減少

更多的代碼也就意味著更多的安全漏洞，而更多的漏洞又為攻擊者提供了更多的機會來尋找竊取數(shù)據(jù)的方法。2019年，全球至少有53億條數(shù)據(jù)記錄被盜，對于攻擊者的防御仍然只是一種拼命的反應式爭奪戰(zhàn)。這個數(shù)字在2020年可能不會翻倍，但應該也不會差太遠。

根據(jù)Statistica公司的研究發(fā)現(xiàn)，在美國，泄露和被盜記錄數(shù)量呈上升趨勢，并于2017年達到了峰值。在2018年，攻擊數(shù)量呈下降趨勢，這可能是由于采取了更為嚴格的安全措施所致，但獲取的記錄數(shù)量仍是有史以來的最高水平。展望未來，網(wǎng)絡攻擊將變得越來越復雜和規(guī)模化，所以被盜數(shù)據(jù)記錄短期內(nèi)不會出現(xiàn)放緩跡象。

6. 開發(fā)人員要求更長、更頻繁的基于視頻的安全培訓

如果說有件事是開發(fā)人員喜歡的，那就是在電腦上觀看數(shù)小時的培訓視頻。事實上，開發(fā)人員需要的就是這種有吸引力的內(nèi)容，Netflix將宣布一個全新的子類別，專門用于通用安全培訓視頻。

不過不是現(xiàn)在，不是2020年，時機還未到。對于開發(fā)人員而言，所謂安全培訓通常是在工作場所進行合規(guī)性介紹，對于安全編碼甚至軟件安全的內(nèi)容根本鮮少提及。毫不奇怪，開發(fā)人員通常不喜歡這種培訓。

為了使開發(fā)人員認真對待安全性并進行有用的培訓，該培訓內(nèi)容必須要與他們的工作相關(guān)，具有吸引力并存在關(guān)聯(lián)性。一次性合規(guī)培訓-或無休止的無聊視頻流-并不是開發(fā)人員的內(nèi)心之道，也不會減少漏洞。

如果您希望開發(fā)人員能夠心存防范常見漏洞的安全意識，并成為防御威脅的中流砥柱，那么，請讓他們使用真實的代碼示例(他們在日常任務中會遇到的那種)進行工作。培訓內(nèi)容要精煉，易于掌握，并以一種有趣的方式激勵學習。為了使安全文化蓬勃發(fā)展，它必須是積極的、可參與的，并且能夠在整個組織中發(fā)展出真正的技能和解決方案。

7. 與網(wǎng)絡安全相關(guān)的事件導致零死亡

我已經(jīng)強調(diào)過很多次了，除非人們開始出現(xiàn)死于網(wǎng)絡攻擊事件的案例，否則世界根本不會真正關(guān)心網(wǎng)絡安全問題。但是現(xiàn)在問題是，這種基于網(wǎng)絡攻擊的死亡事件已經(jīng)發(fā)生了，只是并沒有在很大程度上引起關(guān)注。

事實證明，針對美國醫(yī)院的網(wǎng)絡攻擊事件與2019年心臟病發(fā)作死亡人數(shù)增加有關(guān)。當然，攻擊者并未直接造成患者心臟病發(fā)的致命事件，但他們對醫(yī)院系統(tǒng)和設(shè)備釋放的勒索軟件攻擊卻減慢了重癥監(jiān)護的治療時間，間接導致了病人的死亡。

中佛羅里達大學針對3,000家醫(yī)院進行的一項研究發(fā)現(xiàn)，其中311家醫(yī)院經(jīng)歷了數(shù)據(jù)泄露事件。在這些受到安全事件影響的醫(yī)療機構(gòu)中，醫(yī)護人員平均要多花費2.7分鐘才能為可疑的心臟病發(fā)作受害者提供心電圖，這可能是由于程序更改，新實施的安全措施以及IT支持問題所花費的時間比原來更長。識別和治療心臟病是一場與時間的競賽，數(shù)據(jù)顯示，這些遭受攻擊的醫(yī)院平均每年每10,000例心臟病發(fā)作案例中就會多增36例死亡案例。

8. 擺脫“戴面具的黑客”的古板印象

如果在圖像搜索欄中鍵入“黑客”一詞，你將不可避免地看到數(shù)千個戴著帽子、不露面的人物在筆記本電腦上打字的畫面，或是戴著Guy Fawkes面具的畫面等等。這種刻板的黑客形象實在是太過根深蒂固。但其實，網(wǎng)絡安全領(lǐng)域多的是好人，這種黑客形象所賦予的負面含義只會使每個人都受到傷害，正可謂“一棍子打翻一船人”。

如今，2020已走完了1/4的歷程，你覺得上述這些情況會發(fā)生改變嗎?也許說不準，但是敢作夢還是很美好的。目前，最重要的是要記住，安全并不是一個值得恐懼的事情!