完美世界辰东,重生之毒妃梅果小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

2018年的網(wǎng)絡(luò)安全規(guī)劃

本文回顧了9個機構(gòu)歸納的2018年網(wǎng)絡(luò)安全發(fā)展趨勢，并預(yù)測15個可能發(fā)生的2018年網(wǎng)絡(luò)安全事件類型，有鑒于此大家還給出了11點網(wǎng)絡(luò)安全方面的希望和建議，最后提供一份來自ESG/ISSA 的調(diào)查報告，報告顯示數(shù)百家企業(yè)在制定2018年網(wǎng)絡(luò)安全預(yù)算的時候，作出的5個共性考慮與選擇，這可以作為您的2018網(wǎng)絡(luò)安全規(guī)劃的參考。

2018年網(wǎng)絡(luò)安全發(fā)展趨勢或預(yù)測

2017網(wǎng)絡(luò)安全發(fā)展回顧與2018網(wǎng)絡(luò)安全發(fā)展趨勢，創(chuàng)新、協(xié)作與安全意識
2018網(wǎng)絡(luò)安全發(fā)展趨勢如何，來看2018網(wǎng)絡(luò)安全6家談
2018網(wǎng)絡(luò)安全發(fā)展趨勢，10個關(guān)鍵詞表述安全事件主要特征
2018網(wǎng)絡(luò)安全發(fā)展趨勢，人工智能與攻防PK
2018網(wǎng)絡(luò)安全發(fā)展趨勢，高級威脅防御技術(shù)5個方面需關(guān)注
2018信息安全發(fā)展趨勢，Gartner說支出將達930億美元，主要是升級購買

行業(yè)安全發(fā)展趨勢：

2018金融信息安全發(fā)展趨勢， 8點金融信息安全威脅扎心
2018工控安全發(fā)展趨勢， 8個方向直擊工業(yè)控制系統(tǒng)要害
2018物聯(lián)網(wǎng)及其安全發(fā)展趨勢，17位專家形成7532陣型

來自新浪財經(jīng)的消息稱，在企業(yè)的經(jīng)營管理中，合規(guī)與風險預(yù)防始終是重中之重，來自內(nèi)外部的威脅，曾使得很多企業(yè)代價慘重。垃圾郵件、病毒、間諜軟件以及員工不恰當行為，往往令企業(yè)處于商業(yè)機密被竊取、舞弊指責、政策監(jiān)管的風險之中。

如何應(yīng)對網(wǎng)絡(luò)安全的威脅，是企業(yè)經(jīng)營管理中的重大課題，同時亦是健康商業(yè)環(huán)境的應(yīng)有之義……此外，受影響較大的行業(yè)還集中于金融服務(wù)、衛(wèi)生醫(yī)療、能源、運輸及其他一些公共服務(wù)行業(yè)?！髽I(yè)的安全風險，往往分為內(nèi)外兩方面。相比外部環(huán)境等風險，來自企業(yè)內(nèi)部的風險，往往更直接，危害也更嚴重。

對很多中國企業(yè)來說，由于外部法律環(huán)境和商業(yè)環(huán)境的不完善，以及內(nèi)部治理模式和流程的不完善等因素，商業(yè)秘密的保護一直是個比較難的問題，商業(yè)秘密的侵權(quán)認定也一直是一個難點。

2018年網(wǎng)絡(luò)安全事件預(yù)測及我們的良好愿望

據(jù)估計，2016年網(wǎng)絡(luò)犯罪活動中有3萬億美元被盜。有人認為，由于網(wǎng)絡(luò)犯罪造成的美元數(shù)額，在未來幾年內(nèi)很容易增加三倍。

1. 2018年網(wǎng)絡(luò)安全事件預(yù)測

一個或多個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò) 將再次造成中斷，DDoS或類似Mirai的其他類型破壞。最近發(fā)現(xiàn)的兩個僵尸網(wǎng)絡(luò)的例子是 Reaper僵尸網(wǎng)絡(luò) 和Satori僵尸網(wǎng)絡(luò)，他們肯定不會是最后一個。在一些易受攻擊面上，包括默認密碼、連接的云或整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)中最薄弱的環(huán)節(jié)，這些威脅形式都會進行利用。
網(wǎng)絡(luò)犯罪將會作為一種服務(wù)持續(xù)擴大規(guī)模。您不再需要成為黑客或開發(fā)人員，去運行僵尸網(wǎng)絡(luò) 、分發(fā) 勒索軟件或入侵電腦，你只需要幾百美元，就開始自己的網(wǎng)絡(luò)犯罪業(yè)務(wù)，技術(shù)支持服務(wù)可能比主要科技公司的軟件支持還要好。無需命令行，只需連入并點擊，就可以營業(yè)了。不僅如此，您購買的漏洞，還有性能保證。
更多的 0Day漏洞代碼泄漏將會發(fā)生，比如Wikileaks的 Vault7 和 Vault8 ，這將使得攻擊者能夠輕松地入侵受害者，直到修補程序被開發(fā)并且實際安裝上去。
從發(fā)現(xiàn)漏洞到釋放漏洞利用方法PoC，再到利用漏洞進行攻擊的停留時間，將持續(xù)減少。
我們將看到更多合法的軟件被修改，利用合法數(shù)字證書，最終用于惡意目的。代碼有效性的持續(xù)驗證將變得更加重要。
我們將看到網(wǎng)絡(luò)機器學(xué)習展開軍備競賽，競賽在網(wǎng)絡(luò)防御者的機器學(xué)習與網(wǎng)絡(luò)攻擊者的機器學(xué)習代碼之間展開。
我們將在網(wǎng)絡(luò)媒體上看到“假新聞”的網(wǎng)絡(luò)武器化。(安全加小編將在后續(xù)有篇文章來解釋這個有趣的事情)
勒索軟件將繼續(xù)發(fā)展，將會具有新的目的、目標和技術(shù)。例如：被鎖在門外(物聯(lián)網(wǎng)/智能家居鎖)，或者汽車外，然后要求贖金。
比特幣和加密貨幣的狂熱，將成為網(wǎng)絡(luò)犯罪分子的一大利器，這些犯罪分子將針對交易平臺以及個人利用等較為簡單的目標和脆弱性入手，竊取資金。
我們看到的傳統(tǒng)惡意軟件，比如可執(zhí)行文件，會變少，而更多的會出現(xiàn)無文件惡意軟件，攻擊的意圖轉(zhuǎn)移到命令行，劫持用戶憑據(jù)，提升權(quán)限，然后利用像Powershell，Win32等合法進程/實用程序，進而利用計算機。先進的終端安全，需要比以往更加能夠識別什么是惡意的行為。
更多的計算機將受到 APT (高級持續(xù)性威脅)的威脅，這是一種持續(xù)性的攻擊，除非計算機上的每一次更改都被記錄下來，否則無法清除，這種局面一種方式可以通過下一代終端防護解決方案來逆轉(zhuǎn)，另一種方法自然是全盤擦除，然后重建映像。
高級攻擊者，將利用大多數(shù)殺毒軟件無法檢測到的固件/硬件漏洞，進行攻擊。
我們將會看到至少有一起訴訟起訴，將利用從亞馬遜Alexa、Google Home或類似的設(shè)備，從中獲取到你到錄音，作為呈堂證供。
公有云和在線倉庫中將會出現(xiàn)一些重大的數(shù)據(jù)泄露行為，如GitHub公開私鑰、密碼、特權(quán)信息和可能的知識產(chǎn)權(quán)。
歐盟以外的公司，將會出現(xiàn)違反GDPR的違規(guī)行為，罰款數(shù)百萬美元。

2. 2018年網(wǎng)絡(luò)安全愿望清單

希望董事會和CISO一起工作，溝通和了解業(yè)務(wù)的風險。共同合作，以合理的周期更新其技術(shù)、可視性、流程和防御能力，希望比前幾年快得多。
希望意識到大多數(shù)GRC 安全合規(guī) 性是一個很好的開始，是啟動風險管理計劃的基礎(chǔ)。然而，這不應(yīng)該被視為最終的目標，而只是一個開始。如果不相信，你去問問一個好的紅隊，如果我們遵守了合規(guī)性，那么他們就無法完成網(wǎng)絡(luò) 滲透測試任務(wù)。答案顯然是不太可能的。
希望筆記本電腦和臺式機的補丁周期，需要縮短到幾天，甚至幾個小時，而不是幾周或幾個月。
希望所有參與網(wǎng)絡(luò)彈性決策和規(guī)劃的人，都不會低估他們的對手。
希望人工智能和機器學(xué)習將是網(wǎng)絡(luò)防御所必需的，因為攻擊者也會利用它。
希望物聯(lián)網(wǎng)設(shè)備，特別是消費設(shè)備，將定期提供安全更新，最少是五年更新一次。更多的商業(yè)和工業(yè)設(shè)備合同，將有制造商支持安全補丁的明確要求。
希望物聯(lián)網(wǎng)設(shè)備在銷售給消費者或行業(yè)之前，將經(jīng)過某種類型的安全認證程序。
希望網(wǎng)絡(luò)安全合規(guī)，被視為風險管理計劃的一部分，以避免罰款和其他法律處罰，但不應(yīng)被視為整個風險管理計劃。遵守這些法律法規(guī)應(yīng)視為網(wǎng)絡(luò)安全審計職能的一部分。
希望監(jiān)管機構(gòu)了解他們的網(wǎng)絡(luò)安全標準遵守要求是否繁重，他們可能實際上將風險管理項目的預(yù)算和資源，從風險管理項目中分離出來，這些風險管理項目的風險甚至可能超過他們所實施的標準。
希望大家不要過度依賴IOC指標。網(wǎng)絡(luò)犯罪分子可以改變惡意軟件哈希值、域名和IP，這個速度比分析師驗證它們的速度更快。其中很大一部分，可能是后知后覺，你拿到的IoC可能只是歷史指標而不是可以依賴的前瞻性指標。只有緩慢防御的對手才會依賴IoC。
需要更多地關(guān)注TTP(工具、技術(shù)和過程，也有稱為戰(zhàn)術(shù)、技術(shù)和過程)，更少關(guān)注IOC(事件攻擊指標)。

不要因為你的企業(yè)合規(guī)了，就認為你的企業(yè)是安全的。

2018企業(yè)網(wǎng)絡(luò)安全及行業(yè)網(wǎng)絡(luò)安全調(diào)查報告

最近一份來自ESG和信息系統(tǒng)安全協(xié)會ISSA的報告《網(wǎng)絡(luò)安全專家的生活和時代》稱，在過去數(shù)年中，各組織中的343名信息安全專業(yè)人士，曾被要求確定其組織中采取的網(wǎng)絡(luò)安全行動。這份清單可以為企業(yè)及行業(yè)應(yīng)對2018年的網(wǎng)絡(luò)安全挑戰(zhàn)或者制定網(wǎng)絡(luò)安全規(guī)劃提供參考。

在報告中，一些回答比例最高的條目如下：

52%的組織采用了部分或全部 NIST網(wǎng)絡(luò)安全框架 (CSF)。如果您沒有注意到這一點，您會驚訝地發(fā)現(xiàn)，NIST CSF已經(jīng)成為許多行業(yè)的標準風險管理工具，并且已經(jīng)發(fā)展為網(wǎng)絡(luò)保險的制定提供了基準指標。 1.1版草案最近出版了，承諾給網(wǎng)絡(luò)供應(yīng)鏈帶來更加清晰、通用的語言和可擴展性。最后，CSF很可能會與主管機構(gòu)委員會(COSO)風險管理框架(第二部分)相輔相成，后者更側(cè)重于企業(yè)和企業(yè)風險。總的來說，在2018年可以看到更多的風險管理方面的推進，包括最近對高級防御技術(shù)的描述。
50%的組織增加了安全和IT人員的網(wǎng)絡(luò)安全培訓(xùn) 。好的，這是個好消息。壞消息是接受調(diào)查的網(wǎng)絡(luò)安全專業(yè)人員中，有62%認為他們從組織那里獲得的培訓(xùn)水平仍然不足。網(wǎng)絡(luò)安全培訓(xùn)將在2018年增加，但可能不會如此。
49%的組織提高了非技術(shù)員工的網(wǎng)絡(luò)安全培訓(xùn)水平。這可能是一個很好的投資，但是太多的組織會通過網(wǎng)絡(luò)安全培訓(xùn)的動作，將其視為復(fù)選項。令人遺憾的是，許多機構(gòu)仍將繼續(xù)增加培訓(xùn)預(yù)算，但在這一過程中投資回報率甚微。我看到領(lǐng)先的公司，正在通過以用戶為中心的滲透測試，比如白帽子釣魚攻擊活動，使用KnowBe4 、PhishMe和Wombat Security的工具，來加倍努力。我也看到更好的交流，像解釋為什么用戶操作被阻止，而不是簡單地屏蔽他們，并向他們傳遞加密信息。持續(xù) 教育非常重要，所以我希望CISO和人力資源經(jīng)理能夠在這方面作出改進，而不是僅僅在2018年增加用戶培訓(xùn)的量。
48%的組織增加了網(wǎng)絡(luò)安全預(yù)算。 ESG即將發(fā)布2018年IT支出意向研究，其中包括網(wǎng)絡(luò)安全預(yù)算的重點。擾亂警報：大多數(shù)組織將在所有行業(yè)中增加2018年的網(wǎng)絡(luò)安全預(yù)算。然而，即使有這種增長，安全團隊也會發(fā)現(xiàn)，在網(wǎng)絡(luò)安全的所有領(lǐng)域進行投資，非常具有挑戰(zhàn)性。在2018年，首席信息安全官將制定一個投資組合管理的方法來投資，尋找方法來使用機器學(xué)習技術(shù)、安全運營自動化/業(yè)務(wù)流程工具、安全管理服務(wù) 和軟件定義安全選項，以滿足需求，并作為對成本上升的對策。
48%準備遵守一項或幾項新的監(jiān)管要求。 2017年，紐約州推出了金融服務(wù)公司的新規(guī)定，而許多全球公司開始了通用數(shù)據(jù)保護條例GDPR 準備。隨著五月份截止日期臨近，GDPR將繼續(xù)成為2018年投資熱點區(qū)域，但是我懷疑這是否會結(jié)束。我希望在2018年對物聯(lián)網(wǎng)設(shè)備的安全性進行大量的審查，或許還有一些初步的規(guī)定。哦，一個大的數(shù)據(jù)泄露或服務(wù)中斷肯定會在一夜之間改變立法的態(tài)度。作為一名美國公民，我希望華盛頓重視從 Equifax數(shù)據(jù)泄露和GDPR等方面吸取的經(jīng)驗教訓(xùn)，開始在本地開展合理的數(shù)據(jù)隱私和網(wǎng)絡(luò)安全法規(guī)。

ESG / ISSA的數(shù)據(jù)表明，過去的網(wǎng)絡(luò)安全是序幕。希望CISO不僅能獲得更多的現(xiàn)金，而且還能通過各自對于2018年的規(guī)劃。相反，我希望他們能夠評估需求，流程和資源，并利用不斷增加的預(yù)算，來提高基礎(chǔ)網(wǎng)絡(luò)安全。

新聞名稱：2018年的網(wǎng)絡(luò)安全規(guī)劃
網(wǎng)站URL：http://m.fisionsoft.com.cn/article/dhjphci.html

新聞中心

其他資訊