网络安全成为主流的十年2010年之前(其实应该从2011年算起,不过2010年更方便),网络安全是仍然是一个孤立的领域。除非他们使用的东西不起作用,否则没有人真正关心这个行业。恶意软件或广告软件会使设备崩溃,当设备变得无法使用并且必须由IT人员重新加载时,用户会感到恼火,但一旦问题结束,担心也就随之而来。进入2010年,大多数企业的做法保持不变,但在2018-2019年,网络安全专家以及安全和风险专业人士成为董事会和新闻中的常客。围绕“互联网”的斗争愈演愈烈,阻力消散,这就是整个事情的名称。我们不妨将优雅地接受失败视为投降。让我们来看看这十年中最值得注意的趋势和事件。俗话说:我们非常重视您的隐私和安全。每个人都听过或读过这句话,而且通常是在公司开始解释导致隐私和安全遭到破坏的原因之前。大多数安全和风险专业人士都觉得这句话中缺少一个关键词:“现在”——“现在,我们认真对待您的隐私和安全。”这句话非常流行,以至于Forrester的分析师甚至创建了一个新指标:MTBCA(“CEO道歉的平均时间”)。高采用率的借口:“精明的攻击者绕过安全控制……等等”当尘埃落定后,我们几乎总是会发现攻击者实际上并不是那么“精明”。或者,即使他们很精明,实际上也不需要花费太多精力就可以侵入环境。将唾手可得的果实与Livingofftheland(LotL)技术相结合,为攻击者提供了危害公司的广泛机会。并购幻灭:英特尔和迈克菲英特尔和迈克菲的合并开启了网络安全市场十年的并购活动和资本涌入。大多数并购活动确实产生了积极影响,但在这种情况下并非如此。McAfee在Intel的保护伞下的7年无所作为。英特尔与McAfee的合并似乎发生在几年前,或者看起来是这样,但是真的发生了吗?实际上它发生在2010年年中。写之前我本来想说这是上个十年的事,结果没有,这十年真的拉开了帷幕,这象征着什么?英特尔最初的愿景是利用McAfee将安全嵌入到硬件中,赋予英特尔独特的竞争优势,这是独立硬件和安全厂商无法比拟的。不幸的是,这一愿景没有取得成果,英特尔最终不得不剥离McAfee。Forrester预言了这一点,七年后它成为了现实。荣誉奖:FireEye和Mandiant分水岭:杀伤链和APT报告Mandiant的FireEye发布了多份关于国家黑客卷入网络纠纷的案例报告,使用间谍小说来说明网络安全并改变行业的营销方式。随着这十年接近尾声,一家又一家企业开始使用威胁情报报告作为一种内容营销工具来吸引客户。每个行业都有自己的术语,网络安全行业也不例外。FireEye关于LockheedMartinKillChain(“KillChain”)的报告创建了术语来解释发生了什么、为什么会发生、如何对其进行分类,更重要的是,如何解决未来的各个攻击阶段。它没有解决技术和非技术受众之间的沟通鸿沟,但它确实解决了网络安全行业在构建攻击方面的沟通问题。好的(或最坏的)恶意软件有很多候选者,但这两个作为十年来定义的攻击工具脱颖而出。Stuxnet拥有一切:复杂性、地缘政治和工业控制系统。专门针对Stuxnet的书籍和纪录片并不缺乏,一名美国陆军将军因揭露Stuxnet实际上是一个代号为“奥林匹克运动会”的美国程序而受到纪律处分。出口Stuxnet需要结合技术能力、人力情报和足够的时间通过外交渠道解决问题。WannaCry和NotPetya是顶级勒索软件冠军。这十年的下半年应该由勒索软件主导,使电信、物流、公用事业、市政当局等瘫痪。与这两种勒索软件相比,其他恶意软件相形见绌,尤其是从非网络安全的角度来看。尽管造成了损害,WannaCry和NotPetya还帮助宣传了网络安全对互联业务的重要性。荣誉奖:PoisonIvy、Magecart、Anthem、CommunityHealthSystems和所有银行木马。顶级数据泄露事件不可能提及所有大型或超大型数据泄露事件,而且它们都不能称为“最佳”。那么,让我们回顾一下这十年来发生重大变化的数据泄露事件。必须要说的是Target:Target已沦为营销材料Target百货商店数据泄露的后果虽然肯定很普遍,但在很大程度上影响了该行业的所有各方,因为Target已成为每个供应商平台上的默认模因:在幻灯片3和幻灯片7之间的某个地方,您一定听说过Target。OPM阻碍了美国的情报能力。2014年3月20日,OPM获悉黑客提取了用于回溯安全许可的标准86表的敏感副本。索尼影业将演员塞斯罗根、亚伦索金和朝鲜联系起来。索尼影业的攻击事件最初引起的关注很大程度上是朝鲜对电影♂的网络安全报复,索尼影业被打了个冷颤:多位名人之间的电子邮件往来被曝光在互联网上。这一事件引发了一场关于知识产权所有权以及谁能从提取的数据中受益的大辩论。我们还听说过名人作家和节目主持人有时会写剧本来支付私立学校学费的爆料,以及索尼影业如何考虑聘请律师胁迫明星演戏但最终失败的故事。荣誉提名:RSA、Equifax、Yahoo、Marriott和SWIFT的最具破坏性的漏洞在我们描述漏洞之前,我们必须首先描述它们产生的类别,即“十年来最讨厌我们的趋势”:每个漏洞都有一个徽标和网站.无需书面记录,它们是自我证明的。但从2010年到2019年,先后出现了两个漏洞:一个是破坏了互联网基础设施,一个是造成了勒索软件的爆发:OpenSSL被曝出“Heartbleed”漏洞,至今仍受到影响。我们有一些非常著名的CVE漏洞,但很多人挠头,不知道CVE-2014-0160是什么。但是,如果你说“Heartbleed”,他们会立刻一拍即合。它比MS08-067更有名,当然当之无愧。这个漏洞影响一切:网站、工具和设备(包括安全设备)、应用程序……一切。它会导致什么?一切:私钥、用户名、密码、电子邮件、数据……所有被受影响的OpenSSL版本加密的东西都可能被泄露。如果您想找到一个可以破坏技术中一切的错误,那么Heartbleed就是您的最佳选择。EternalBlue证明了NSA真的很擅长开发漏洞,也证明了网络武器落入坏人之手是非常危险的。尽管自2017年以来有补丁,但EternalBlue仍在继续危害企业。WannaCry、NotPetya和BadRabbit在入侵的早期阶段也使用了EternalBlue,利用MicrosoftSMB协议中的缺陷进行横向移动。荣誉奖:Meltdown、Spectre和VPN工具漏洞顶级网络安全框架虽然框架很难让我们兴奋,但安全和风险专业人士迫切需要一些共同点来塑造和提供安全程序的目的。NIST和MITRE提供了这些东西:NIST网络安全框架已成为安全程序的通信语言恢复的概念被纳入我们的共享词典。Forrester发现NISTCSF已成为通过网络力量的传播讨论网络安全计划的董事会级语言。许多董事会成员在多个董事会任职,在从一位CISO那里听说NISTCSF启动后,他们向其他人询问了这件事,使他们在有关网络计划的讨论中占有重要地位。MITREATT&CK已成为网络安全威胁的沟通语言ATT&CKruin已成为业界广泛接受的标准,正如ATT&CK官网上所说,“ATT&CK是关于网络反制的知识库,是对网络反制在其生命周期中的分类。”KillChain对攻击阶段所做的,就是ATT&CK在深层次上对攻击者的行为和动作所做的。鉴于最终用户和投资者向检测公司投入了大量资金,ATT&CK开发了一种方法来了解各种类别的供应商安全工具的性能。让我们继续。这十年有很多亮点,但也有很多未知数。但对于2010年之前开始其职业生涯的安全和风险专业人士来说,情况确实在好转,高管们提供了更多支持,对网络安全重要性的认识有所提高,人们开始关注技术对社会的影响。安全、风险和隐私挑战不会消失。尽管如此,我们从这十年的挫折以及如何应对这些挫折以取得更有意义的进步中学到了很多东西。虽然路途艰难漫长,但凡事不都是值得去做的吗?
