我们提取了30份专门针对2020年网络安全和网络犯罪预测的独立报告,并为这篇文章汇总了前5个最有趣的发现和预测。安全人员的疲劳蔓延作为持续争议和辩论的根源,《加利福尼亚消费者隐私法案》(CCPA)于2019年1月1日最终确定。在保护个人数据免遭不法实体滥用或未经授权使用这一值得称赞的目标的推动下,罚款最高可达每次故意违规罚款7,500美元,每次非故意违规罚款2,500美元。该法案对于处理或处理居民个人数据的组织是强制性的,无论居民的地理位置如何。与欧盟GDPR类似,数据主体被赋予一系列权利来控制其个人数据及其最终用途。快速发展的区域、国家和跨国法规加剧了这一趋势,2020年可能是网络安全合规性受到侵蚀并开始迅速崩溃的一年。一方面考虑到司法系统的缓慢,另一方面考虑到网络安全技能和预算不足,网络安全专业人员可能会开始忽视所有繁琐的法规。第三方数据泄露是威胁的主导赛门铁克表示,供应链攻击在2019年上升了78%。具有竞争力和成功的企业通常以高度专业化和敬业精神着称,他们会集中所有可用资源在特定市场取得卓越成就,从而胜过他们的竞争对手。因此,他们将大部分辅助业务流程外包给熟练的供应商和经验丰富的第三方,从而降低成本、提高质量并加快交付速度。可悲的是,供应商也在动荡、竞争激烈的全球市场中运营,因此很少为其客户提供体面的网络安全和数据保护。IBM表示,2019年发现漏洞的平均时间为206天。更糟糕的是,由于攻击的复杂性和受害者技能的缺乏,此类攻击很少被检测到,最终安全研究人员或记者突然报告它们,这让数据所有者感到非常震惊。网络罪犯很清楚这一容易实现的目标,并将继续有目的地瞄准这一最薄弱的环节,以获取对您的数据、商业机密和知识产权的访问权。扩大外部攻击面根据IDG的CSOOnline,61%的组织在2019年经历了物联网安全事件。物联网和连接设备的全球扩散,公共云、PaaS和IaaS的使用极大地促进了业务发展并实现了快速增长。一个组织的外部攻击面的增加随之而来,但通常不被注意。简单的说;外部攻击面由攻击者可以从Internet访问并属于您的组织的所有数字资产(也称为IT资产)组成。网络或Web服务器等传统数字资产通常有大量库存,但RESTfulAPI和Web服务、混合云应用程序以及托管在外部平台上的关键业务数据只是新兴数字资产的几个例子,它们容易受到攻击attack脸上无人看管。由于您无法保护您不知道的内容,因此这些数字资产中的绝大多数都没有以任何方式得到妥善维护、监控或保护。流氓移动应用程序、欺诈网站、网络钓鱼站点和抢注站点加剧了这种情况,这些站点可以通过正确实施的域安全监控来检测,并且现在开始为网络安全专业人员的广泛采用铺平道路。总而言之,随着组织升级其IT并留下许多模糊的数字未知数(内部和外部),入侵它的过程将变得更容易和更快。云错误配置暴露了数十亿信息福布斯表示,到2020年,83%的企业工作负载将转移到云端。不幸的是,云在数据存储和处理方面的稳步增长大大超过了负责云的IT人员的安全技能和充分培训基础设施。Gartner报告称,大约95%的云安全故障是由客户而非公共云基础设施提供商造成的。不足为奇的是,2019年的重大数据泄露事件中有很大一部分来自错误配置的云存储,暴露了最大科技公司和金融机构的皇冠上的明珠。2019年7月,世界媒体报道了CapitalOne数据泄露事件,这可能是美国金融业最大的数据泄露事件,影响了美国约1亿人和加拿大约600万人。据报道,攻击者利用配置错误的AWSS3存储桶在无人看管的情况下下载极其敏感的数据。虽然仅CapitalOne一家公司就估计该漏洞造成的直接损失为1.5亿美元,但FBI后来透露,使用相同的AWS错误配置可能会损害多达30个其他组织。可以预见,2020年,云安全事件将始终是数据泄露根源的重中之重。网络钓鱼攻击将激增ImmuniWeb表示,仅对于世界上最大的《财富》500强公司而言,2019年就有可能在暗网上泄露超过2100万个有效凭据。网络犯罪分子更喜欢快速且无风险的突袭,而不是时间-消耗APT攻击、代价高昂的零日攻击或SAP中复杂漏洞的连锁攻击。即使许多组织最终设法通过强密码策略、MFA和对异常的持续监控来实施可使用的身份和访问管理(IAM)系统,受保护的范围也很少包括外部系统。此类灰色区域系统的范围从SaaSCRM和ERP到弹性公共云平台。即使攻击者在暗网上找到或购买的密码无效,它们也可以为巧妙的社会工程活动提供很多想法,帮助防止网络钓鱼和暴力攻击。通常从技术角度来看,这些攻击乍一看往往很原始,但它们表现出惊人的效率,无情地破坏和削弱组织的网络安全防御。
