还有十多天,2018年一整年就要过去了,但我们过得并不平静。年内,几乎每个月都有安全事故发生。比如前阵子闹得沸沸扬扬的万豪酒店集团,或者早前Intel“Meltdown”和“Spectre”的两个新漏洞,Facebook用户数据泄露,苹果iOSiboot泄露源代码等那么2019年的网络安全形势将如何发展呢?想必大家对“微信支付”勒索事件还记忆犹新。要知道2017年WannaCry刚被曝光时,只支持比特币支付赎金。现在,不仅汉化版的赎金条显示了微信是如何支付赎金的。到2019年,勒索病毒的活动将相对减少,但破坏性将继续上升,呈现集中化、针对性更强的发展趋势。据卡巴斯基统计,2017年至2018年遭遇勒索软件攻击的用户数量较2016年至2017年下降了近30%。赛门铁克还表示,具有高超勒索软件攻击能力的网络犯罪集团现在更加关注与勒索软件相关的美国公司。市政和医疗机构。此外,相比勒索软件,不法分子更喜欢使用恶意挖矿脚本和软件直接获取收益,是一种光明正大的攻击方式。很明显,各种软件/硬件暴露的漏洞已经成为恶意外挂的玩家,植入恶意挖矿外挂的成本越来越低。事实上,受挖矿脚本困扰的用户数量在过去一年增长了44.5%,并将在2019年继续扩大,对各项业务的损害将进一步加强。只要加密货币还有价值,不法分子就会盯上这块“蛋糕”。从美国废除网络中立原则,到欧盟出台GDPR(通用数据保护条例),再到澳大利亚新制定的反加密网络法等一系列措施,它不难看出,各国对网络和数据安全的政策正在一步步收紧。从侧面也反映了各国政府对网络安全问题的焦虑。但与此同时,多国政策也加速了网络的巴尔干化。由于数据不互通,缺乏全球联动,网络安全正在孤立。未来,这种情况恐怕还会继续加深,带来像多米诺骨牌一样可怕的连锁反应。在数据安全方面,从2019年开始,犯罪分子将从窃取数据转向操纵数据。换句话说,就是从单纯的数据窃取和网站入侵向攻击数据完整性的转变。与简单的数据盗窃相比,后一种攻击会使人们质疑相关数据的完整性,从而对个人或团体造成长期的声誉损害。个人账户被盗事件的频发已经给我们敲响了警钟,单一的身份验证已经不能很好地保护我们的账户安全。因此,多因素认证将成为未来所有在线交易的标准。虽然多因素身份验证不是完美的解决方案,但大多数网站和在线服务将在2019年放弃仅密码访问机制,同时添加其他必需或可选的身份验证方法。供应商正在部署不同的认证系统,但在统一和标准化的流程被广泛采用之前,情况不会太乐观。此外,账号盗窃也让攻击者拥有更多的个人信息维度,因此他们将能够发起更具针对性的钓鱼攻击,成功率更高。其中,鱼叉式钓鱼的方式正在从侵入邮件系统,进而潜伏研究用户,丰富攻击者的信息,进而利用频繁的交流社交圈人际关系和信任发起攻击。其中,抵押贷款欺诈是鱼叉式钓鱼攻击的重灾区,尤其是对于购房者而言。钱数巨大,追回难。通常,攻击者首先侵入抵押贷款人(或代理人)的计算机以记录所有即将进行或未决的交易及其截止日期。然后,代理通常会发送一封电子邮件,告诉客户将资金发送到哪里,这就是欺诈发生的时间。由此看来,未来对CSO和??CISO的要求会越来越高,网络安全教育行业也会越来越成熟。单一的证书将不再能够支持专业人士在他们的职业生涯中轻松晋升。在这个阶段,大杂烩式的培训市场和体系也将得到整顿,更多具有专业背景的从业者将担任首席信息安全官,例如网络安全硕士。随着联网设备数量的快速增加和人工智能的进一步应用,很难说人工智能不会帮助未来的网络攻击,人工智能的加入将帮助攻击者模仿特定用户的行为,甚至欺骗熟练的保安人员。它的攻击可能包括实施复杂的、定制的网络钓鱼活动,这些活动将成功地欺骗我们。最后,我们想说,今天的数字边界正在接受来自各方面的安全考验,2019年的网络安全形势不容乐观。
