DOITAPP
DOIT數據智能產業媒體與服務平臺
立即打開
DOITAPP
DOIT數據智能產業媒體與服務平臺
立即打開

Palo Alto Networks(派拓網絡)發布2020年網絡安全趨勢預測

預測1:今天的4G問題與5G息息相關

概述

根據Gartner數據,全球5G無線網絡基礎設施收入將于2020年達到42億美元,比2019年的22億美元增長89%。雖然距離5G網絡達到一定規模還需要相當長的時間,但我們已經開始看到澳大利亞、新加坡和韓國推出了早期的5G試用服務。例如,新加坡已開始在云游戲、自動駕駛汽車、智能地產以及食品和飲料行業進行試驗。一旦成功部署,5G網絡將擁有釋放自主性的潛力,在很大程度上影響從運輸、供應鏈到制造業的整個經濟領域。

然而,在開始考慮推出5G前,我們要謹記現在的4G網絡仍然容易受到各種威脅,包括垃圾郵件、竊聽軟件、惡意軟件、IP地址欺騙、數據和服務竊取、DDoS攻擊以及眾多其他變體。這對于需要應對安全漏洞的移動網絡運營商來說是一個特殊的挑戰。這些安全漏洞不僅來自于與其他移動網絡運營商(MNO)的互聯,還來自于長期演進(LTE)設備不同的安全標準。

此外,還有數百萬用戶的不安全行為,以及大量第三方應用和服務的安全缺陷。如果今天不解決這些問題,它們無疑會延續到5G時代。

預測:亞太地區絕大多數國家仍將4G網絡作為首選

未來十年,大型5G基礎設施項目將投入建設,但迄今為止僅有少數測試項目取得成功。5G網絡將與4G網絡一同發展,但5G時代尚未完全到來。4G在部分亞太國家市場才剛剛推出,因此距離5G網絡達到一定規模還需要相當長的時間。據GSMA預測:到2025年,亞太地區的4G用戶仍將占全球移動用戶的68%。與5G的毫米波(mmWave)相比,4G的覆蓋范圍更廣,因此許多農村地區仍然可以使用LTE模式。

在現有安全風險無法消除的情況下,移動互聯網服務提供商會在網絡攻擊中首先倒下,而不安全的IoT系統漏洞等,如果在4G時代不能解決的話,其影響將在5G環境下呈指數性擴大。當今需要新型網絡安全方法,包括采用安全防御措施,提高安全自動化水平,建立情境安全成果以及將安全功能與API集成。我們預計4G仍將是黑客的主要目標,并在未來幾年可能成為入侵5G網絡的途徑。

預測2: 人才短缺問題與您的想象有出入

概述

關于全球網絡安全人才缺乏以及關鍵技能差距的說法由來已久。根據(ISC)2 2018年網絡安全勞動力調查的最新研究,亞太區的網絡安全人才缺口為214萬,因此該地區可能受影響最嚴重。

這種短缺是否可能是某些職位的期望值與實際需求之間不匹配的結果?一些職位描述要求的資質非常寬泛,這對于招聘到符合要求的管理人才是不現實的。短缺數據是否準確反映了行業的實際需求?

預測:急需具備好奇心和解決問題的人才

除非大眾的網絡安全觀念從根本上發生改變,否則網絡安全將持續出現供不應求的狀況。要應對這項挑戰有兩種互補的方法:采用自動化以及探索可替代的人才來源。

自動化將成為未來網絡安全的一個關鍵要素,因為不應該要求人類——也不應該期望人類——去做所有的事情。相反,他們需要利用那些無法自動化的技能,并專注于解決問題、溝通和協作等更高層次的任務。這將需要重新審查當今的安全運營中心(SOC)結構,并相應地改變這些新角色所需的專業人員類型,以便準確地識別并填補其中的一些空白。企業和招聘人員不應再追求鳳毛麟角的精英(他們并不存在?。?,而是應該在合適的渠道發掘人才。

2020年,我們認為在職位評估上情商應比智商更為重要,以尋找具備解決問題能力及好奇心的人才,無論是工程師、分析師還是通信專家。需要對技能提升以及跨技能培訓等被忽視的項目進行投資,并將這些有能力的個人培養成我們需要的人才。對于希望準確發現企業內相關網絡安全技能差距的公司來說,NICE框架中的員工類別是一個非常實用的起點。

預測3: 對物聯網的探索無論對誰都將成為雷區。

概述

根據IDC數據,2019年在物聯網領域的支出亞太區將引領全球,約占全球支出的36.9%。但時至今日,安全可能仍是產品開發過程結束后才會想到的事情。一些持續出貨的聯網設備并沒有提供后續的軟件更新和安全補丁,從而導致易于利用的常見漏洞。到2020年,物聯網安全面臨的潛在威脅(例如DDoS攻擊)將越來越多,這一問題將進一步惡化。

我們已經看到,這些攻擊,包括Mirai僵尸網絡通過不安全的聯網設備發起的攻擊,可以破壞流行的全球網絡平臺。除了目前已經利用的18個漏洞外,Mirai惡意軟件最近又新增了8個漏洞,其目標從無線演示系統到機頂盒、SD-WAN甚至是智能家居控制器等一系列設備,對企業和聯網家庭構成了威脅。隨著越來越多的物聯網產品進入市場,網絡威脅被悄悄地隱藏了起來。當有人踩到這些地雷時會發生什么?

預測:您要提防家里的無線門鈴可能會引來不速之客

2020年,我們預計物聯網安全的發展將在兩個關鍵領域展開:個人及工業物聯網。不論是聯網的門鈴攝像頭,還是無線揚聲器系統,我們將看到通過不安全的應用或薄弱的登錄憑證入侵的攻擊模式不斷增長。便利的深度偽造技術的出現使這種威脅變得更加復雜,該技術可能會對語音或生物識別控制的聯網設備構成威脅。模仿最強大的生物識別裝置以訪問和控制聯網系統,它將影響家庭和企業環境。

對于企業而言,我們預計作為許多亞洲經濟體關鍵支柱的制造業也將發生重大變化。制造商希望部署傳感器、可穿戴設備和自動化系統,以通過數據收集和分析簡化生產、物流和員工管理流程。企業需要確保聯網設備能夠利用諸如內置診斷、持續漏洞掃描和高級分析等自動化功能,以保持對物聯網威脅的掌控。

聯網設備需要不斷進行改造和更新,以確保安全。全球各國政府——包括亞太地區的政府——也越來越傾向于發布與物聯網設備安全相關的指導或法規。此外,行業標準組織也在努力制定物聯網設備的相關安全標準,如ISO/IEC 27037標準草案。這兩種趨勢肯定會在一定程度上影響物聯網設備的部署。我們還希望優先考慮對公眾的相關教育以適應聯網設備的快速增長和普及。

預測4: 數據隱私界限越來越模糊。

概述

互聯網協會2018年針對亞太區政策議題的調查發現,超過70%的受訪者希望自己的個人信息在收集和使用方面能夠擁有更多控制權。然而,大多數人為獲取短期利益(例如熱門應用、手機游戲或在線比賽)而提供個人信息時卻毫不猶豫。這一行為說明:某些新興市場對網絡安全的意識不足,而在其它市場,如新加坡等,則對網絡安全過于樂觀。不幸的是,數據隱私問題表明人們不僅對收集的數據缺乏認識,而且對數據的使用也缺乏了解。人們不知道那些不為人知的事情。

為了幫助解決這一日益嚴重的問題并保護公民數據,監管機構圍繞實施更嚴格的本地數據隱私法而展開行動。包括泰國在內的一些國家/地區已經通過了新的法律來管理對數據的保護,要求企業在收集、共享和使用數據時更加注重隱私。為了遵守歐盟的通用數據保護條例(GDPR),部分國家已經開始采取行動,例如日本最近對其數據隱私法進行了更新。對于企業而言,注意法律完善程度和地區差異非常重要。

預測:更多的數據隱私法規,以及數據主權-安全悖論

我們預計本地區將會出現更多的數據隱私法規。過去幾年印尼和印度一直在研究個人數據保護法案,盡管目前還不清楚這些法案最終是否會生效以及何時生效。該區域越來越多的提案也將需要其原籍國的住房數據;這往往是出于隱私和安全方面的考慮。印尼政府2019年第71號法規的最新草案要求,公共機構必須在印尼境內管理、處理和存儲數據(根據非官方翻譯)。我們預計會有更多的監管提案來規范或限制數據的跨境流動,特別是公共部門信息的遷移。因此,企業可能會考慮在本地建立更多的數據中心,以更好地支持本地客戶。

然而,企業必須注意,建立本地化的數據中心并不一定會使數據更加安全。因為網絡威脅沒有國界,個人終端用戶或企業之間的聯系日益緊密,容易受到全球事件的影響。企業仍然有責任采用全面的網絡安全策略,以支持跨網絡、端點和云端的操作和信息存取。為了有效地管理這些信息,企業需要定期評估他們收集的信息,并控制信息的訪問。

我們預計,在像東盟這樣高度互聯的地區,企業需要更加密切地關注其數據流。盡管各國都在努力創建區域性統一個人數據保護方法(例如自愿通過APEC跨境隱私規則),但并沒有實現真正的統一。為了創建最適合本地區的框架,私營部門和公共部門之間需要緊密合作,以便在面對不斷出現的新興威脅時評估如何識別和定義違規行為。

預測5: 云未來初見端倪:不要在動蕩中迷失方向

概述

整個地區對云應用的態度和接受程度并不一樣。盡管遷移到云是合理的,但是在將關鍵信息放入云時也需要謹慎。關于虛擬與物理設備優勢的誤解仍然存在,讓問題變得更加復雜。

綜上所述,我們預計云應用的前景看好。企業開始意識到云方案的獨特之處。亞洲的CIO們非常清楚地了解向云遷移對其數字化轉型戰略的意義,并將視其企業的成熟度而采取行動。我們也開始看到東盟各國政府朝著這一轉變做出了嘗試;新加坡、泰國和馬來西亞的政府機構都宣布了在公有云領域的投資,而印度尼西亞則有望成為亞洲的下一個大型數據中心樞紐。

預測:配置更加混亂

越來越多的企業也開始利用容器(即操作系統虛擬化)來提高效率和一致性并降低成本。但是,暴露和配置錯誤的容器的潛在危險將很快出現,使企業容易受到針對性的偵察。使用正確的網絡策略或防火墻,或兩者并用,可以防止內部資源暴露于公共互聯網。此外,投資云安全工具可以提醒企業注意當前云基礎設施中的風險。

云安全的采用也面臨著一系列挑戰。受派拓網絡(Palo Alto Networks)委托,著名研究機構Ovum在其《亞太地區云安全報告》中指出,80%的大型企業將安全性和隱私視為采用云服務的主要挑戰。

主要發現包括:

  • 78% 的中國受訪企業對云安全抱有過度信心,認為云供應商提供的安全功能足以保護其免受威脅
  • 亞太區的大型企業使用多種安全工具,造成安全態勢的碎片化,尤其是當企業在多云環境中運行時。采用多云方式會導致危險的可視化缺陷,在中國,有77% 受調查的大型企業表示這一情況相當普遍,高于亞太地區平均水平13個百分點。
  • 報告顯示,有三分之二(66%)的企業不能做到每年進行一次網絡安全態勢的審核,并且有26% 的這類審核并不包括對云安全的評估。除了審核,有45%的中國企業無法做到每年對IT安全人員進行安全培訓。鑒于大型企業沒有足夠的時間和資源來專門用于云安全審核和培訓,因此顯然需要自動化。

2020年還會有更多公司采用DevSecOps方法,將安全流程和工具集成到新產品的開發生命周期中。 這將是云和容器成功集成的未來方向。

未經允許不得轉載:DOIT » Palo Alto Networks(派拓網絡)發布2020年網絡安全趨勢預測

免费六肖中特