虽然我们可以相当有把握地预测,某些安全领域在未来一年时间里将会有所改善,但其他一些领域将出现更多的问题。我们应该关心并寻求有效解决办法的正是这些持续存在漏洞的领域。
网络钓鱼
网络钓鱼攻击正在不断增加,而且很可能有恶化的趋势,因为每100封电子邮件中就有一封含有恶意软件。根据反网络钓鱼工作组(APWG)的数据,仅在2017年,就有8.4亿美元的金钱因网络钓鱼漏洞而损失了。
2016年,人们发现不到5%的网络钓鱼网站使用了HTTPS。一年后,近三分之一的网络钓鱼攻击是托管在HTTPS网站上的,近20%的网络钓鱼攻击被发现使用了受到HTTPS保护的域名。网络钓鱼者改变其恶意内容的传播方式有几个原因。首先,HTTPS网站越来越多,这意味着更多的网站可能遭受攻击。其次,浏览器的安全消息传递是模糊不清的,现在有相当数量的HTTPS网站是托管在由网络钓鱼者注册的域名上的。黑客们也在利用HTTPS,因为人们会认为这个网站是合法的。
根据Verizon的数据泄露调查报告,30%的网络钓鱼信息是由用户打开的,其中12%的用户点击了恶意附件或链接。网络钓鱼攻击为什么越来越多?简单地说,因为它是有效的。然而,也有一些情有可原的因素使得问题进一步恶化了。
虽然反网络钓鱼工作组等标准组织已经承认了这一问题,但它们并没有拿出新的解决方案来解决这一问题。大家都在极力逃避这一问题,但问题还在继续恶化。
黑客是一个复杂的群体,他们会利用机器学习来绕过企业用来保护自身的技术。Webroot的研究人员表示,在2017年上半年,平均每月创建了140万个网络钓鱼网站。网络钓鱼是一列失控的列车,暂时还没有全面的解决方案。
隐私性
根据你所处位置的不同,对隐私性的预测好坏参半。一些地理区域将有所改善,而另一些则将继续挣扎不已。导致情况有所改善的部分因素包括欧盟的GDPR——该法规可以处以高达2000万欧元的罚款——以及其他国家对这一问题有了高度的认识。美国正在考虑类似的法律。
导致隐私性状况恶化的一些因素与搜索数据的价值有关。企业愿意将遭受罚款,因为这些数据所带来的利润远远超过了罚款的价值。例如,谷歌在搜索市场拥有90%的份额,用户账户超过5000万个。谷歌在其谷歌+ API中发现了一个漏洞,该漏洞可能会暴露数十万用户的私人信息。不过,该公司选择不对用户或公众披露这一漏洞。当问题本身如此有利可图时,是很难去解决问题的。
在其他一些领域也在考验着日常的隐私性,无论是电话号码、家庭地址、电子邮件永久地存储并记录在其中的区块链,还是带有面部识别的人工智能(AI)——相机会使用该技术来将用户的Facebook账户与其位置链接起来,然后再追踪其位置数据——还是其他一些领域等。这些都是伟大的创新,但是如果从一开始就没有内置隐私性考虑,那么这些进步将不断地销蚀着我们的私人生活。
许多州正在考虑制定自己的隐私法。不幸的是,这些努力都是由关注自身隐私的实体主导的,它们当然不是拥有最好记录的公正实体。
加密
明年,加密领域将有所改善。这一预测背后有许多原因。谷歌现在正在各处要求HTTPS,该行业正致力于开发更好的后量子加密算法。NIST、微软和IETF都推出了更好的加密技术,而且即将出现新的法规遵从要求。
加密技术的迅速普及带来了积极的影响,目前大约80%的流量和一半的网站都已经加密。加密的主要驱动因素是经济性。事实上,没有加密是一种经济上的威慑。大多数用户都不会与有安全漏洞历史的公司做生意。德勤(Deloitte)的数据显示,在遭遇了网络安全漏洞之后,三分之一的消费者都不会再与企业合作,即使他们没有遭受重大损失。如果你的公司遭遇了安全事件,30%的客户会离开,60%的客户会考虑离开。
加密技术正变得越来越有效。例如,新的TLS 1.3将使互联网更加安全和可靠。金融PKI现在需要加密,PCI安全标准委员会已经发布了第二个版本的PCI点对点加密解决方案要求和测试程序。这将有助于提高信用卡的安全性,因为商家和技术供应商需要确定加密可以如何在符合PCI数据安全标准的情况下进行补充。
身份
未来一年,有关身份问题的安全预测预计好坏参半。支持将有所改进的一个因素是,某些支持区块链、Financial PKI和Legal Entity Identifier (LEI)的浏览器供应商有着强烈的兴趣。
对具有证书的设备的识别和确认能力能够让企业锁定没有证书的设备。虽然这不会影响用户身份,但对于拥有大量物联网设备的公司来说,这确实会产生重大影响,从而确保这些设备的合法性。
身份保护是一个有趣的挑战,也是一个难以解决的问题。部分问题在于,如何说服消费者在成为受害者之前,足够关心自身、保护自己。物联网设备标识也是如此;应当说服使用这些设备的公司,以及生产这些设备的厂商,在这些设备遭到攻击之前,建立起保护措施。
身份保护的问题正在被用于品牌识别,品牌识别使用了建立在DMARC反欺骗电子邮件标准上的协议。这让参与其中的公司,如雅虎、Groupon、安泰保险(Aetna)、Agari和其他公司,获得了免费的品牌印象,同时增强了它们对电子邮件的信任。
我们不断提出新的想法,重新发明轮子,却没有解决根本问题。然而,任何时候只要有经济利益,就会有更大的动力去推动改进。
设备管理
设备管理仍然是复杂和有问题的,并可能在未来一年中持续恶化。其中一些因素包括物联网僵尸网络和受到攻击的设备,比如摄像头、路由器、DVR、可穿戴设备和其他被恶意软件感染的嵌入式技术。此外,还有一种目标为Linux服务器的新的变体Mirai。
安全设备管理面临的挑战很多,这在很大程度上是由于对行业标准的需求,以及制造商关注的缺乏。幸运的是,有重大的监管关注和支持建设,包括加州物联网法律、《物联网保护法案》、《网络盾牌法案》和《智能物联网法案》。同样,我们也看到越来越多的联网设备制造商对基于证书的认证、加密和设备完整性表现出了兴趣。安全无疑是重中之重,正如最近的《2018年物联网安全状况调查报告》所显示出来的那样,80%的企业将安全作为了其最关心的物联网问题。而那些在安全方面做得最好的公司正在不断获得好处,避免了重大事故和由此造成的损失。
自动化
明年,安全的自动化规模将继续扩大。这其中的一些原因包括物联网设备的大规模部署、行业不断致力于实现自动化、CAA记录检查、自动配置和用于部署和运行分布式应用程序的容器化。
当下,保护企业免受安全威胁的解决方案必须实现自动化。大量的安全事故都是人为错误造成的。Gartner预计,到2019年,信息安全方面的支出将超过1240亿美元,但这些项目可能不足以防止防火墙的错误配置,或忘记修复服务器上的安全漏洞。手动任务会带来风险,因此它们是即将发生的安全漏洞。自动化安全任务是最小化风险的最佳方法。
身份验证
明年,身份认证过程将变得更加安全。这其中的一些因素包括多因素认证增长了15%,以及生物认证逐渐标准化。身份验证可能得到改进的另一个原因是安全快速可靠的登录(SQRL)。这是一种新系统,可以消除与密码相关的许多问题。SQRL是一个免费的开源程序,它取代了传统的用户名和密码web身份验证过程。通过使用公钥加密技术,用户就可以生成一个主令牌,该令牌能够匿名与网站交互,使用户无需披露个人信息或密码即可登录。
但是,仍然存在一些挑战,比如密码强度不够。在所有的密码中,大约有一半,其强度是很弱的。
改进的最大障碍
为了确保连接、通信和商业交易的可靠性,显然有许多安全风险需要解决,同时克服这些风险的挑战也是很多的。用户的冷漠很普遍,因为个人在隐私被侵犯之前不会将其隐私性放在首位。由于设备、用户和数据呈指数级增长,企业仍需要依靠手动作业的熟练员工。标准组织并没有像他们应该的那样紧密合作。不同标准之间也存在潜在的冲突。专利保护也开始妨碍我们保护用户和设备的安全。例如,无线通信行业已经为数字证书的安全性做好了准备。然而,部分企业因维护自身专利、声称专利侵权而阻碍了行业的一些发展,从而阻止了关键安全技术的有效采用。
增长带来了更大的风险,也带来了新的挑战。越来越多的物联网设备没有得到安全保护,每个月都有数百万个新网站上线,还有大量数据在网络上传输,填满存储设施,这些都会加剧安全难题。