到此为止,关于2020年网络安全领域的预测大家一定已经看到不少了。确实,有太多不值一提的预测了。今天之所以还在做这个话题,是因为我想聊聊今年你看不到的20208大网络安全趋势,你想知道吗。在许多文化中,新年的开始被视为新希望的开始。我们有机会重新启动、刷新、重置、从错误中吸取教训,并以大量的精力和惊人的计划继续前进。然而,在过去的2019年超过50亿条敏感数据记录被盗,我认为预测2020年网络安全世界不会发生什么可能会更准确。为此,我们采访了联合创始人MatiasMadouSecureCodeWarrior,提出以下8大趋势:1.SQL注入从所有软件中根除。还是要等,至少2020年不会有这一天。至今这个缺陷一直存在,像蟑螂一样无法根除。具有讽刺意味的是,补救措施是在缺陷存在的同时被发现的。但安全最佳实践在软件开发的每个阶段(尤其是一开始就做好)的优先级仍然太低,自从发现SQL注入漏洞以来,代码生产呈爆炸式增长,而当前的安全实践显然不足以应对这一问题情况。2.开发人员和应用程序安全人员成为最好的朋友没错,开发人员和应用程序安全团队。他们是会和睦相处,还是注定要像洛奇vs洛奇那样,过着争锋相对的生活呢?工作重心还是有很大的不同。当他们都在项目环境中时,他们通常处于对立面,一旦应用程序安全专家开始仔细研究开发人员的代码,就会引发冲突。试想一下,一个开发者费了九牛二虎之力,打造了一款美观且功能齐全的软件(当然,这是他或她的首要任务),但一旦应用安全专家发现了其中的安全漏洞,该软件将难以修复进入市场,甚至会被直接拒绝。事实上,应用程序安全专家经常会在开发人员的软件中发现一个或另一个错误并迫使他们返回并修复所有错误,这通常会延迟软件的市场部署。在目前的状态下,只有两个团队了解如何朝着开发安全软件的共同目标努力,这个问题才会得到解决。可悲的是,这不会在2020年发生。然而,随着DevSecOps运动的出现,开发人员开始认识到需要提高软件安全性并转向更高的标准(将安全性嵌入到开发过程中)。3.安全专业人才供过于求到2020年、2025年、2030年……以及以后,几乎肯定会出现全球安全专业人才短缺的情况。根据ISC公布的数据,目前约有293万个网络安全职位空缺。我们在不久的将来解决技能短缺的最佳机会是将安全作为组织的优先事项并提高我们现有员工的技能,这意味着为开发人员提供安全编码的培训和工具,并建立全公司的安全文化。今天的大多数应用程序安全团队可能都在与一些众所周知的旧安全漏洞作斗争。如果我们能够保证他们不必花费宝贵的时间和精力去解决这些常见的问题,那么他们就会有更多的精力投入到更难的安全问题上,比如API和构建适应开发过程的工具。4.更少的代码产量世界正在以惊人的速度数字化,社会的需求不会改变。根据Cisco和Cyber??SecurityVentures的研究报告,每年大约编写1110亿行代码,而对于已经扩大的AppSec团队来说,这个数字只会变得更大、更可怕。5.更少的被盗数据记录更多的代码意味着更多的安全漏洞,而更多的漏洞为攻击者寻找窃取数据的方法提供了更多的机会。2019年全球至少有53亿条数据记录被盗,防御攻击者仍然是一场绝望的、被动的争夺战。这个数字到2020年可能不会翻一番,但也不会相差太远。根据Statistica的研究,在美国,泄露和被盗记录的数量正在上升,并在2017年达到顶峰。2018年,攻击数量呈下降趋势,可能是由于更严格的安全措施,但捕获的记录数量仍然是有史以来最高的。展望未来,网络攻击将变得更加复杂和规模化,因此被盗数据记录不会很快出现放缓的迹象。6.开发人员需要更长时间、更频繁的基于视频的安全培训如果开发人员喜欢一件事,那就是在他们的计算机上观看数小时的培训视频。事实上,这正是开发人员需要的那种引人入胜的内容,Netflix宣布推出一个全新的子类别,专门用于一般安全培训视频。但现在不行,2020年不行,时机还没到。对于开发人员来说,所谓的安全培训通常是职场合规的介绍,很少提及安全编码甚至软件安全。毫不奇怪,开发人员通常不喜欢这种培训。为了让开发人员认真对待安全并接受有用的培训,它需要与他们的工作相关、有吸引力并且相关。一次性的合规性培训——或无休止的无聊视频流——并不在开发人员的心中,也不会减少漏洞。如果您希望开发人员对常见漏洞具有安全意识并成为防御威胁的中流砥柱,那么让他们使用真实的代码示例(他们在日常任务中会遇到的那种)。培训内容应简明扼要,易于掌握,并以有趣的方式激发学习兴趣。为了使安全文化蓬勃发展,它必须积极主动,参与并能够在整个组织中开发真正的技能和解决方案。7.网络安全相关事件的零死亡我已经说过很多次了,除非人们开始死于网络攻击,否则世界不会真正关心网络安全。但现在的问题是,这种网络攻击致死事件已经发生,只是没有引起足够的重视。事实证明,针对美国医院的网络攻击与2019年心脏病发作死亡人数增加有关。当然,攻击者并没有直接导致患者心脏病发作致死,但他们对医院系统和设备发动的勒索软件攻击延缓了重症监护治疗时间,间接导致了患者的死亡。中央佛罗里达大学对3,000家医院进行的一项研究发现,其中311家医院经历了数据泄露。在受安全事件影响的这些设施中,医护人员平均多花2.7分钟为疑似心脏病发作的受害者提供心电图,这可能是由于程序变更、新实施的安全措施和IT支持问题带来的成本。时间比前。识别和治疗心脏病发作是一场与时间的赛跑,数据显示,受到袭击的医院每年平均每10,000例心脏病发作增加36人死亡。8.摆脱“戴面具的黑客”的刻板印象如果你在图像搜索栏中输入“黑客”这个词,你将不可避免地看到成千上万个戴着帽子的无脸人物在笔记本电脑上打字的图像,或者盖伊福克斯戴着面具的照片面具等。这种刻板印象的黑客形象太根深蒂固了。但其实网络安全领域的好人不在少数。这个黑客形象所赋予的负面含义只会伤害到每一个人。现在,2020年的旅程已经完成了1/4。您认为上述情况会有所改变吗?也许你不能肯定地说,但敢于做梦还是很美好的。现在,最重要的是要记住安全不是什么可怕的事情!
