企業(yè)需要努力增強其安全狀況，這是安全實現(xiàn)現(xiàn)代化趨勢的一部分，因為安全專家和IT領導者已經(jīng)認識到這樣一個事實，即傳統(tǒng)的網(wǎng)絡邊界防御和其他長期策略本身并不能在當今的IT環(huán)境中完全消除安全威脅。

企業(yè)需要保持良好的工作狀態(tài)，這是因為新的一年將在網(wǎng)絡安全領域面臨許多新的挑戰(zhàn)。

2020年的安全趨勢：新興威脅

網(wǎng)絡安全服務商 Kenna Security公司首席安全工程師Jerry Gamblin說：“2020年將成為考驗企業(yè)在過去五年中部署的網(wǎng)絡安全防御新策略的一年。由于今年將要舉行美國總統(tǒng)大選，新的勒索軟件攻擊，以及激進國家進行的攻擊和破壞，預計今年將是很多企業(yè)不斷做出反應的一年。很多企業(yè)需要在快速變化的威脅形勢中努力保持領先地位?！?

但是，對于許多企業(yè)而言，最直接的威脅可能不是頭版新聞中提到的。

Gamblin說，“在系統(tǒng)修補和維護方面落后的企業(yè)將繼續(xù)成為惡意行為的目標。”

毫無疑問，這些問題依然存在。例如，如果企業(yè)在諸如密碼和其他證書等方面的安全習慣一直很差，那么會怎么樣?當企業(yè)采用云計算技術(shù)和現(xiàn)代IT的其他特征時，這仍然是一個問題。

因此，從操作實踐和組織文化的角度出發(fā)，重新審視基礎知識并確保安全始終是一個好主意。除此之外，Gamblin和其他安全專家還預測了2020年企業(yè)威脅領域的幾個關鍵趨勢，這是企業(yè)在2020年應注意的四個問題：

1.云原生技術(shù)需要云原生安全策略

簡單的安全模式一次又一次地發(fā)揮作用：隨著平臺或生態(tài)系統(tǒng)的普及，越來越多的威脅也隨之而來。

瞻博網(wǎng)絡公司技術(shù)安全主管Trevor Pott表示：“用戶群越大，網(wǎng)絡攻擊者的目標就越豐富?！?

隨著云計算環(huán)境(尤其是多云策略和混合云基礎設施)繼續(xù)成為一種運營規(guī)范，不良行為者越來越關注這些環(huán)境，以期希望找到可利用的安全漏洞。他們還利用了相關的工具和技術(shù)(例如容器和編排器)作為可能的攻擊媒介。

Fugue公司首席技術(shù)官Josh Stella將此視為今年企業(yè)云安全的主要趨勢之一，他說，“高級云原生攻擊的出現(xiàn)——這些攻擊利用了錯誤配置的云計算資源，以獲得對環(huán)境的訪問、橫向移動和提取數(shù)據(jù)，而無需通過傳統(tǒng)的安全分析工具進行檢測?！?

不過，這里有個好消息：隨著云原生技術(shù)以及使用這些工具的IT專業(yè)人員不斷成熟，它們的安全特性以及最佳實踐的普遍認知和實施也日益成熟。Kubernetes就是一個很好的例子：社區(qū)已經(jīng)對開源平臺的安全性做出了明顯的承諾，而且似乎已經(jīng)得到了回報。

StackRox公司產(chǎn)品營銷副總裁Michelle McLean指出，“在2019年底，CNCF完成了對Kubernetes的首次全面審核，這表明Kubernetes是用于容器編排的基礎安全且功能齊全的平臺。對云原生堆棧安全性的信心日益增強，其好處將在2020年及以后延續(xù)。隨著人們了解有關保護Kubernetes和容器的最佳做法的更多信息，我們將看到越來越強大的環(huán)境，從而提高了企業(yè)利用云原生技術(shù)的運營價值的能力?！?

Red Hat公司首席安全架構(gòu)師Mike Bursell指出，人們對機密計算的興趣與日俱增：簡而言之，這將加密靜態(tài)數(shù)據(jù)并將加密傳輸中的數(shù)據(jù)。Bursell說，“很多企業(yè)意識到，有些工作負載過于敏感，無法部署到它們不擁有或無法完全信任的主機上，監(jiān)管機構(gòu)也對此表示贊同。我們可以期望看到該領域的新項目和技術(shù)越來越受到人們的關注和歡迎。”成立于2019年10月的機密計算聯(lián)盟已擁有20多個成員，并向其捐贈了三個開源項目，其中包括Enarx(這是一個使用WebAssembly在多個硬件平臺上提供可信賴的運行時的項目)。

2.繼續(xù)對安全責任進行重新思考

這也意味著重新審視和修訂傳統(tǒng)的安全孤島和角色。例如，近年來關于DevSecOps和安全性“左移”的一般原則有很多討論，這意味安全性遷移引起人們的重視，而不是在代碼進入生產(chǎn)環(huán)境之前將其視為最后或接近最后的一步。

不管怎么說，這里的想法都不能將安全視為利基需求?！鞍踩敲總€人的責任”聽起來像是一種陳詞濫調(diào)，但其中至少有一部分事實。

McLean說：“人為錯誤是大多數(shù)安全事件的核心。容器和Kubernetes有很多功能。有時，DevOps與安全團隊之間的協(xié)調(diào)有限，使該基礎設施的安全保護更具挑戰(zhàn)性?！?

考慮到這種討論本質(zhì)上涉及人們的日常工作職責(即添加新職責，以及將職責與他人剝離的觀念)，這將在某些組織中引起持續(xù)的辯論和分歧。

Aqua Security公司戰(zhàn)略副總裁Rani Onsat說，“DevOps團隊將發(fā)現(xiàn)自己承擔越來越多的責任，包括更多的安全性和質(zhì)量自動化，隨著企業(yè)采用規(guī)模不斷擴大的DevOps實踐，對業(yè)務和關鍵任務應用程序的影響不容忽視。”

Fugue公司Stella看到了與云原生攻擊同時出現(xiàn)的趨勢：讓開發(fā)人員對其代碼的安全性承擔更多責任。

Stella說：“開發(fā)人員將通過軟件工程工具(如策略驗證代碼和對嚴重錯誤配置漏洞的自動補救)對云計算基礎設施的安全性擁有更多保證。那些投資于為其開發(fā)人員提供確保其云計算環(huán)境安全所需的工具的能力的企業(yè)將有機會抵御高級云原生攻擊?！?

McLean指出，保護應用程序和基礎設施安全的“固定”方法注定要因現(xiàn)代技術(shù)堆棧而失敗。

McLean說：“直到最近，安全性通常還是開發(fā)過程中的事后考慮?！蜃筠D(zhuǎn)移’的心態(tài)是云原生開發(fā)所必須的措施。在技術(shù)?；駾evOps流程中，在安全性方面落后是行不通的，例如，在構(gòu)建階段獲得正確的配置對保護基礎設施至關重要?！?

無論企業(yè)的安全角色和職責如何變化，都希望自動化成為跨角色和團隊的更強大的安全保障之一。

Osnat說：“傳統(tǒng)的IT、安全、質(zhì)量保證和合規(guī)團隊一直在使用的流程和方法通常與DevOps的敏捷性不兼容，并且無法應對變化的速度。解決方案在于將許多這樣的實踐自動化到DevOps流程和工具鏈中，從而實現(xiàn)更集成的‘及早發(fā)現(xiàn)，快速修復’環(huán)境。”

3.憑證填充嘗試次數(shù)增加

瞻博網(wǎng)絡公司的Pott預測，憑證填充的做法(將其視為黑客使用自動化擴展其操作的版本)將越來越多地被用來攻擊大量云計算服務提供商的帳戶，作為一種突破大型企業(yè)防御措施的手段，尤其是在公共云的廣泛保護下的平臺。

Pott說：“隨著人們進入2020年，憑證填充攻擊正在增加。這并不奇怪，因為每年被泄露的證書數(shù)量都在增加，而且各種數(shù)據(jù)泄露的規(guī)模都會定期刷新記錄。”

Pott說：“在2020年及以后，安全專業(yè)人員應該特別關注軟件即服務(SaaS)應用程序和基礎設施即服務(IaaS)帳戶，尤其是那些主要云計算提供商的帳戶。但人們?nèi)匀辉谌蚧ヂ?lián)網(wǎng)上重復使用憑據(jù)。多因素身份驗證將是最好的防御方法，但在實際使用中仍會有所保留。”

4.終端安全挑戰(zhàn)：還沒有發(fā)現(xiàn)

就像傳統(tǒng)的網(wǎng)絡邊界變得模糊不清一樣，人們對“端點”的看法也是如此。端點安全曾經(jīng)用來保護用戶的筆記本電腦和手機。而現(xiàn)在，這可能意味著要保護冰箱、門鈴或大量其他連接設備(通常稱為物聯(lián)網(wǎng))的安全。

瞻博網(wǎng)絡公司全球安全戰(zhàn)略總監(jiān)Laurence Pitt說：“為了更高效、更環(huán)保、對市場變化做出反應，企業(yè)面臨著利用物聯(lián)網(wǎng)實現(xiàn)這一目標的壓力。更大的挑戰(zhàn)來自于這些連接到企業(yè)網(wǎng)絡的其他物聯(lián)網(wǎng)設備，在企業(yè)網(wǎng)絡中，采用物聯(lián)網(wǎng)的速度往往與業(yè)務和安全斗爭的速度保持一致。其中許多在設備級別沒有內(nèi)置安全性，因此需要將安全性視為總體網(wǎng)絡態(tài)勢的一部分。”

盡管物聯(lián)網(wǎng)正在蓬勃發(fā)展，但其安全隱患實際上仍處于起步階段。Pitt說：“隨著新的物聯(lián)網(wǎng)的推出，在安全團隊努力更新系統(tǒng)和打補丁的同時，犯罪分子也有更多機會濫用這個媒介，并獲得訪問權(quán)限?！?