反向預(yù)言:2020年網(wǎng)絡(luò)安全領(lǐng)域不會(huì)發(fā)生的事情有哪些��?
2020年03月24日
迄今為止��,關(guān)于2020年網(wǎng)絡(luò)安全領(lǐng)域的預(yù)言想必你已經(jīng)看過(guò)很多了�,確實(shí),預(yù)言已經(jīng)多的不值一提了,今天之所以還做這個(gè)主題�,是因?yàn)槲乙f(shuō)的是2020年你并不會(huì)看到的8大網(wǎng)絡(luò)安全趨勢(shì),想不想去了解一下����。
在許多文化中,新年伊始都會(huì)被視為新希望的開(kāi)始����。我們有機(jī)會(huì)重啟、刷新�、重設(shè)、從錯(cuò)誤中學(xué)習(xí)�,并憑借大量的精力和驚人的計(jì)劃來(lái)繼續(xù)前行。但是�����,由于在過(guò)去的2019年有超過(guò)50億個(gè)敏感數(shù)據(jù)記錄被盜�,所以我認(rèn)為預(yù)測(cè)2020年網(wǎng)絡(luò)安全領(lǐng)域不會(huì)發(fā)生的事件可能會(huì)更為準(zhǔn)確些���。為此���,我們?cè)L問(wèn)了Secure Code Warrior聯(lián)合創(chuàng)始人Matias Madou,并提出了以下8大趨勢(shì):
1. SQL注入從所有軟件中根除
對(duì)于這一天的到來(lái),我們已經(jīng)等待了20多年�����,遺憾的是���,我們還要繼續(xù)等下去����,至少這一天不會(huì)發(fā)生在2020年�����。迄今為止�,這種缺陷始終堅(jiān)挺,就像蟑螂一樣無(wú)法徹底根除���。具有諷刺意味的是�,在這種缺陷存在之初就同時(shí)發(fā)現(xiàn)了補(bǔ)救措施�。但是,在軟件開(kāi)發(fā)的每個(gè)階段(尤其是確保一開(kāi)始就正確)對(duì)安全最佳做法的優(yōu)先級(jí)仍然太低��,自發(fā)現(xiàn)SQL注入漏洞以來(lái)�����,代碼產(chǎn)量已經(jīng)發(fā)生了爆炸式增長(zhǎng),目前的安全實(shí)踐很明顯并不夠應(yīng)付這種情況���。
2. 開(kāi)發(fā)人員和應(yīng)用安全人員成為最好的朋友
沒(méi)錯(cuò)�����,開(kāi)發(fā)人員和應(yīng)用安全團(tuán)隊(duì)��。他們是會(huì)友好相處�,還是注定要像洛奇vs阿波羅(美國(guó)拳擊史上的兩大名人)那樣過(guò)著競(jìng)爭(zhēng)的生活?答案是他們能夠相處����,只是現(xiàn)在這種局面可能還不會(huì)出現(xiàn),因?yàn)樗麄兊墓ぷ髦攸c(diǎn)還存在很大差異��。
當(dāng)他們雙方同處在項(xiàng)目環(huán)境中時(shí)��,他們通常是處于對(duì)立面的���,而且,一旦應(yīng)用安全專家開(kāi)始仔細(xì)研究開(kāi)發(fā)人員的代碼時(shí)�����,沖突可能就會(huì)一觸即發(fā)。試想一下���,開(kāi)發(fā)人員費(fèi)盡心思構(gòu)建了一個(gè)頁(yè)面精美且功能齊全的軟件(當(dāng)然���,這是他/她的首要任務(wù)),但是�,一旦應(yīng)用安全專家在其中發(fā)現(xiàn)安全漏洞,該軟件將難以面世�����,甚至?xí)粡氐追駴Q���。實(shí)際上�,應(yīng)用安全專家經(jīng)常會(huì)在開(kāi)發(fā)人員的軟件中發(fā)現(xiàn)這樣或那樣的問(wèn)題�,并迫使他們回去修復(fù)所有的錯(cuò)誤,這通常會(huì)延遲軟件的部署上市進(jìn)程�。
就目前這種狀態(tài)來(lái)看,直到這兩個(gè)團(tuán)隊(duì)懂得朝著一個(gè)共同的目標(biāo)(即開(kāi)發(fā)安全軟件)努力之時(shí)���,這一問(wèn)題才能得到解決����。遺憾的是,這種情況不會(huì)發(fā)生在2020年���。但是����,隨著DevSecOps運(yùn)動(dòng)的到來(lái)���,開(kāi)發(fā)人員已經(jīng)開(kāi)始認(rèn)識(shí)到提高軟件安全性的必要性�,并朝著更高標(biāo)準(zhǔn)(將安全嵌入開(kāi)發(fā)過(guò)程中)邁進(jìn)�����。
3. 安全專業(yè)人員供過(guò)于求
在2020年�����,2025年���,2030年……乃至更遠(yuǎn)的未來(lái),幾乎可以肯定的是�����,在安全專業(yè)知識(shí)方面,全球范圍內(nèi)仍將面臨人手不足的現(xiàn)象�����。根據(jù)ISC公布的數(shù)據(jù)顯示���,目前大約存在293萬(wàn)個(gè)網(wǎng)絡(luò)安全職位空缺�����。
在不久的將來(lái)����,我們解決技能短缺的最佳機(jī)會(huì)是將安全性作為組織優(yōu)先事項(xiàng)��,并提高我們現(xiàn)有員工的技能�,這就意味著要為開(kāi)發(fā)人員提供培訓(xùn)和工具以安全地進(jìn)行編碼,并建立全公司范圍內(nèi)的安全文化�����。當(dāng)前大多數(shù)應(yīng)用安全團(tuán)隊(duì)可能正在與一些眾所周知的老舊安全性漏洞作斗爭(zhēng)���。如果我們能夠保證他們不必花費(fèi)寶貴的時(shí)間和精力來(lái)解決這些常見(jiàn)問(wèn)題��,那么他們將有更多的精力投入到更為棘手的安全問(wèn)題中�,例如API和適應(yīng)開(kāi)發(fā)流程的構(gòu)建工具。
4. 更少的代碼產(chǎn)量
世界正在以驚人的速度進(jìn)行數(shù)字化�����,社會(huì)需求不會(huì)動(dòng)搖��。根據(jù)思科和Cyber security Ventures的研究報(bào)告顯示��,每年編寫的代碼行約為1110億行��,而對(duì)于已經(jīng)擴(kuò)展的AppSec團(tuán)隊(duì)來(lái)說(shuō)�����,這一數(shù)字只會(huì)變得越來(lái)越龐大��,越可怕����。
5. 被盜數(shù)據(jù)記錄減少
更多的代碼也就意味著更多的安全漏洞,而更多的漏洞又為攻擊者提供了更多的機(jī)會(huì)來(lái)尋找竊取數(shù)據(jù)的方法。2019年��,全球至少有53億條數(shù)據(jù)記錄被盜�,對(duì)于攻擊者的防御仍然只是一種拼命的反應(yīng)式爭(zhēng)奪戰(zhàn)����。這個(gè)數(shù)字在2020年可能不會(huì)翻倍,但應(yīng)該也不會(huì)差太遠(yuǎn)�。
根據(jù)Statistica公司的研究發(fā)現(xiàn),在美國(guó)����,泄露和被盜記錄數(shù)量呈上升趨勢(shì),并于2017年達(dá)到了峰值�����。在2018年����,攻擊數(shù)量呈下降趨勢(shì),這可能是由于采取了更為嚴(yán)格的安全措施所致�����,但獲取的記錄數(shù)量仍是有史以來(lái)的最高水平。展望未來(lái)���,網(wǎng)絡(luò)攻擊將變得越來(lái)越復(fù)雜和規(guī)?���;?,所以被盜數(shù)據(jù)記錄短期內(nèi)不會(huì)出現(xiàn)放緩跡象。
6. 開(kāi)發(fā)人員要求更長(zhǎng)���、更頻繁的基于視頻的安全培訓(xùn)
如果說(shuō)有件事是開(kāi)發(fā)人員喜歡的��,那就是在電腦上觀看數(shù)小時(shí)的培訓(xùn)視頻����。事實(shí)上�����,開(kāi)發(fā)人員需要的就是這種有吸引力的內(nèi)容���,Netflix將宣布一個(gè)全新的子類別��,專門用于通用安全培訓(xùn)視頻�����。
不過(guò)不是現(xiàn)在�,不是2020年,時(shí)機(jī)還未到�。對(duì)于開(kāi)發(fā)人員而言,所謂安全培訓(xùn)通常是在工作場(chǎng)所進(jìn)行合規(guī)性介紹��,對(duì)于安全編碼甚至軟件安全的內(nèi)容根本鮮少提及����。毫不奇怪����,開(kāi)發(fā)人員通常不喜歡這種培訓(xùn)。
為了使開(kāi)發(fā)人員認(rèn)真對(duì)待安全性并進(jìn)行有用的培訓(xùn)����,該培訓(xùn)內(nèi)容必須要與他們的工作相關(guān),具有吸引力并存在關(guān)聯(lián)性��。一次性合規(guī)培訓(xùn)-或無(wú)休止的無(wú)聊視頻流-并不是開(kāi)發(fā)人員的內(nèi)心之道���,也不會(huì)減少漏洞���。
如果您希望開(kāi)發(fā)人員能夠心存防范常見(jiàn)漏洞的安全意識(shí)��,并成為防御威脅的中流砥柱����,那么����,請(qǐng)讓他們使用真實(shí)的代碼示例(他們?cè)谌粘H蝿?wù)中會(huì)遇到的那種)進(jìn)行工作。培訓(xùn)內(nèi)容要精煉�����,易于掌握����,并以一種有趣的方式激勵(lì)學(xué)習(xí)。為了使安全文化蓬勃發(fā)展���,它必須是積極的����、可參與的��,并且能夠在整個(gè)組織中發(fā)展出真正的技能和解決方案。
7. 與網(wǎng)絡(luò)安全相關(guān)的事件導(dǎo)致零死亡
我已經(jīng)強(qiáng)調(diào)過(guò)很多次了����,除非人們開(kāi)始出現(xiàn)死于網(wǎng)絡(luò)攻擊事件的案例,否則世界根本不會(huì)真正關(guān)心網(wǎng)絡(luò)安全問(wèn)題����。但是現(xiàn)在問(wèn)題是,這種基于網(wǎng)絡(luò)攻擊的死亡事件已經(jīng)發(fā)生了����,只是并沒(méi)有在很大程度上引起關(guān)注�。
事實(shí)證明,針對(duì)美國(guó)醫(yī)院的網(wǎng)絡(luò)攻擊事件與2019年心臟病發(fā)作死亡人數(shù)增加有關(guān)��。當(dāng)然�,攻擊者并未直接造成患者心臟病發(fā)的致命事件,但他們對(duì)醫(yī)院系統(tǒng)和設(shè)備釋放的勒索軟件攻擊卻減慢了重癥監(jiān)護(hù)的治療時(shí)間����,間接導(dǎo)致了病人的死亡。
中佛羅里達(dá)大學(xué)針對(duì)3,000家醫(yī)院進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)�����,其中311家醫(yī)院經(jīng)歷了數(shù)據(jù)泄露事件。在這些受到安全事件影響的醫(yī)療機(jī)構(gòu)中����,醫(yī)護(hù)人員平均要多花費(fèi)2.7分鐘才能為可疑的心臟病發(fā)作受害者提供心電圖,這可能是由于程序更改��,新實(shí)施的安全措施以及IT支持問(wèn)題所花費(fèi)的時(shí)間比原來(lái)更長(zhǎng)��。識(shí)別和治療心臟病是一場(chǎng)與時(shí)間的競(jìng)賽�,數(shù)據(jù)顯示,這些遭受攻擊的醫(yī)院平均每年每10,000例心臟病發(fā)作案例中就會(huì)多增36例死亡案例����。
8. 擺脫“戴面具的黑客”的古板印象
如果在圖像搜索欄中鍵入“黑客”一詞,你將不可避免地看到數(shù)千個(gè)戴著帽子��、不露面的人物在筆記本電腦上打字的畫面���,或是戴著Guy Fawkes面具的畫面等等���。這種刻板的黑客形象實(shí)在是太過(guò)根深蒂固。但其實(shí)��,網(wǎng)絡(luò)安全領(lǐng)域多的是好人���,這種黑客形象所賦予的負(fù)面含義只會(huì)使每個(gè)人都受到傷害��,正可謂“一棍子打翻一船人”��。
如今�����,2020已走完了1/4的歷程����,你覺(jué)得上述這些情況會(huì)發(fā)生改變嗎?也許說(shuō)不準(zhǔn),但是敢作夢(mèng)還是很美好的�。目前,最重要的是要記住�,安全并不是一個(gè)值得恐懼的事情!
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
