信息來源：企業(yè)網(wǎng)D1net

我們提取了30份致力于2020年網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪預(yù)測(cè)的獨(dú)立報(bào)告，并匯總了本帖子中最有趣的5個(gè)最令人感興趣的發(fā)現(xiàn)和預(yù)測(cè)。

疲勞在安全人員中蔓延

作為持續(xù)爭(zhēng)議和辯論的根源，《加利福尼亞消費(fèi)者隱私法案》(CCPA)于2019年1月1日最終定稿。

旨在保護(hù)個(gè)人數(shù)據(jù)，防止不道德實(shí)體濫用或未經(jīng)允許的使用的可頌揚(yáng)目標(biāo)的驅(qū)動(dòng)下，每項(xiàng)故意違法行為最高可處以7500美元的罰款，每起非故意違規(guī)行為可處以2500美元的罰款。

該法對(duì)處理或處理居民個(gè)人數(shù)據(jù)的組織具有強(qiáng)制性，無(wú)論該居民的地理位置如何。類似于歐盟GDPR，數(shù)據(jù)主體被賦予了一系列權(quán)利來控制其個(gè)人數(shù)據(jù)及其最終使用。

鑒于一方面司法系統(tǒng)運(yùn)行緩慢，另一方面網(wǎng)絡(luò)安全技能不足且預(yù)算不足，網(wǎng)絡(luò)安全專業(yè)人員可能會(huì)開始無(wú)視所有繁瑣的法規(guī)。

第三方數(shù)據(jù)泄露主導(dǎo)威脅

因此，他們將大多數(shù)輔助業(yè)務(wù)流程外包給了熟練的供應(yīng)商和經(jīng)驗(yàn)豐富的第三方，從而降低了成本，提高了質(zhì)量并加快了交付速度。

可悲的是，供應(yīng)商也在動(dòng)蕩，競(jìng)爭(zhēng)激烈的全球市場(chǎng)中運(yùn)作，因此很少能為他們的客戶提供像樣的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)。

IBM表示，2019年識(shí)別違規(guī)事件的平均時(shí)間高達(dá)206天。甚至更糟的是，由于攻擊的復(fù)雜性和受害人缺乏技能，因此很少能檢測(cè)到此類攻擊，最終安全研究人員或新聞工作者突然報(bào)道了這些攻擊，并對(duì)數(shù)據(jù)所有者大為震驚。

網(wǎng)絡(luò)犯罪分子非常了解這種低垂的成果，并將繼續(xù)有目的地鎖定這一最薄弱的環(huán)節(jié)，以獲取您的數(shù)據(jù)，商業(yè)秘密和知識(shí)產(chǎn)權(quán)。

外部攻擊面擴(kuò)大

根據(jù)IDG的CSO Online，2019年有61%的組織經(jīng)歷了IoT安全事件。物聯(lián)網(wǎng)和連接設(shè)備的全球擴(kuò)散，公共云，PaaS和IaaS的使用極大地促進(jìn)了業(yè)務(wù)發(fā)展并實(shí)現(xiàn)了快速增長(zhǎng)。組織的外部攻擊面的增加是伴隨而來的，通常是未被注意到的。

簡(jiǎn)單地說;外部攻擊面由攻擊者可以從Internet訪問并屬于您組織的所有數(shù)字資產(chǎn)(也稱為IT資產(chǎn))組成。

傳統(tǒng)的數(shù)字資產(chǎn)(例如網(wǎng)絡(luò)或Web服務(wù)器)通常都有很多庫(kù)存，但是RESTful API和Web服務(wù)，混合云應(yīng)用程序以及托管在外部平臺(tái)上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)-只是新興的數(shù)字資產(chǎn)的幾個(gè)例子，攻擊面保持無(wú)人看管。

由于您無(wú)法保護(hù)自己所不知道的東西，因此這些數(shù)字資產(chǎn)中的絕大部分都沒有以任何方式正確維護(hù)，監(jiān)視或保護(hù)。

流氓移動(dòng)應(yīng)用程序，欺詐性網(wǎng)站，釣魚網(wǎng)站和搶注網(wǎng)站加劇了這種情況，而通過適當(dāng)實(shí)施的域安全監(jiān)控可以檢測(cè)到這種情況，現(xiàn)在開始為在網(wǎng)絡(luò)安全專業(yè)人員中普及鋪平道路。

總而言之，隨著組織升級(jí)其IT并留下許多模糊的數(shù)字未知因素(無(wú)論是內(nèi)部還是外部)，侵入它的過程將變得更加輕松快捷。

云配置錯(cuò)誤暴露數(shù)十億信息

福布斯說，到2020年，將有83%的企業(yè)工作負(fù)載轉(zhuǎn)移到云中。不幸的是，用于數(shù)據(jù)存儲(chǔ)和處理的云的穩(wěn)定增長(zhǎng)大大超出了負(fù)責(zé)云基礎(chǔ)架構(gòu)的IT人員的安全技能和足夠的培訓(xùn)。

Gartner報(bào)告說，大約95%的云安全故障是由客戶而不是公共云基礎(chǔ)架構(gòu)的供應(yīng)商造成的。

毫不奇怪，2019年重大數(shù)據(jù)泄漏的很大一部分來自錯(cuò)誤配置的云存儲(chǔ)，這暴露了最大的科技公司和金融機(jī)構(gòu)的頭號(hào)珠寶。

2019年7月，世界媒體報(bào)道稱違反了Capital One，這可能是美國(guó)金融部門最大的數(shù)據(jù)泄露事件，這件事影響了美國(guó)大約1億個(gè)人和加拿大600萬(wàn)個(gè)人。

據(jù)報(bào)道，攻擊者利用配置錯(cuò)誤的AWS S3存儲(chǔ)桶下載了無(wú)人看管的極其敏感的數(shù)據(jù)。

盡管Capital One僅估計(jì)了因違規(guī)而造成的直接損失就達(dá)到了1.5億美元，但聯(lián)邦調(diào)查局后來披露，使用相同的AWS錯(cuò)誤配置可能會(huì)危害多達(dá)30個(gè)其他組織。

可以預(yù)見的是，在2020年，云安全事件將始終是數(shù)據(jù)泄露根源的重中之重。

網(wǎng)絡(luò)釣魚攻擊將激增

ImmuniWeb表示， 僅對(duì)于《財(cái)富》 500強(qiáng)中的全球最大公司而言，就有可能在2019年暗網(wǎng)中暴露超過2100萬(wàn)個(gè)有效憑據(jù)。

網(wǎng)絡(luò)犯罪分子更喜歡快速無(wú)風(fēng)險(xiǎn)的突襲，而不是費(fèi)時(shí)的APT攻擊，昂貴的零日攻擊或?qū)AP中復(fù)雜漏洞的連鎖利用。

即使許多組織最終設(shè)法實(shí)現(xiàn)了具有強(qiáng)大的密碼策略，MFA并持續(xù)監(jiān)視異常情況的易耗品身份和訪問管理(IAM)系統(tǒng)，受保護(hù)的范圍也很少包含外部系統(tǒng)。

此類灰區(qū)系統(tǒng)范圍從SaaS CRM和ERP到彈性的公共云平臺(tái)。即使攻擊者在Dark Web上找到或購(gòu)買的密碼無(wú)效，它們也為巧妙的社會(huì)工程活動(dòng)提供了很多思路，有助于網(wǎng)絡(luò)釣魚和暴力破解攻擊的預(yù)防。