狗万体育,狗万移动端,狗万官网官方网站

在博客中搜索

应用程序安全性数据安全性行业前景

未来一年:2019年值得关注的网络安全趋势

特里·雷

跟踪网络安全趋势的可靠记录

一年中的这个时候对我们来说总是令人兴奋的,因为我们可以退后一步,分析我们全年的表现,并展望来年会带来什么。 充分利用我们团队在数据应用程序安全方面的专业知识以及从全球客户群中挖掘的洞察力,我们决定这次采取不同的方法,重点关注三个关键的,最重要的趋势,这些趋势是我们在2019年占据中心地位的。

2018年带来了数据和应用程序安全事件的激增,并且正如我们所预测的那样,数据泄露的规模和频率都在增加,云安全性已成为全球关注的焦点。 考虑到这一点,让我们看一下明年的情况。

(根据Gartner的说法,Web应用程序防火墙(WAF)正在迅速发展到下一阶段的应用程序安全性WAAP。请阅读其白皮书,以了解WAAP的优点以及您的企业为何需要它。)

数据泄露不会很快消失,这将加强监管和后续合规计划

看,会有违规行为,其结果将是更多的法规,因此,更多的合规性是必然的。 average cost of a data breach in the US 2018 exceeded $7 million. 实际上, 2018年美国 数据泄露 平均成本 超过700万美元。

无论是GDPR ,澳大利亚隐私法,泰国新的隐私法还是土耳其的KVKK; 无论您身在何处,法规都将成为区域性,团体性或单个国家/地区的标准。

传统上,当我们查看数据泄露时,美国会照亮整个地图,但是随着监管框架和后续合规措施在全球范围内的扩展,我们将看到一个变化。

预测2

从2005年到2018年,美国每年的数据泄露和公开记录数量(百万)[Statista]

您将在2019年看到,当然,随着我们的前进,肯定会出现覆盖整个地球的红色玫瑰色光芒。 在2019年,您将听到更多“不仅是美国。 这无处不在。”

让我们打开包装一秒钟。 如果您要窃取私人数据或信用卡详细信息,为什么要在拥有世界一流甚至平庸的网络安全措施的环境中这样做呢? 如果其他所有人的保护程度稍差,那么您将在这里找到针对数据的人员,但是在法规和合规性为主要重点的地区,我们会听到更多有关数据的信息。

为此,我们不一定会将2019年视为监管者开始对公司处以巨额罚款以进行合规的一年。 也许到今年年底,或者如果您看到彻底的过失。 但是,您会发现,公司在合规性方面投入了大量精力。

在管理风险方面将您的头放在云中……这不是一个坏主意

that, by 2020, organizations will be spending more than six times on cloud-specific products than they do on general IT services; 麦肯锡报告 称,到2020年,企业在云特定产品上的支出将比在通用IT服务上的支出多六倍。 survey by LogicMonitor , up to 83% of all enterprise workloads will be in the cloud around that same time. 根据 LogicMonitor的 一项 调查,大约 83%的企业工作负载将在同一时间存储在云中。

预测3

LogicMonitor的云计算的未来研究[福布斯]

组织继续利用数字经济的商业利益,因此最终将更多数据分块到云中。 现在,我们并不是说这是在没有深思熟虑的情况下完成的,但是他们是否在对数据进行分类并逐渐将其业务开放到云中?

团队需要认识到,在将数据迁移到云中时,他们需要转移对云中内容的认识。 谁在使用它,何时使用它以及为什么使用它。 2019年不会是企业确定需要这样做的一年。 但是,我们将看到,越来越多的云友好型解决方案投放市场以解决这些挑战。

社会工程以及AI和机器学习在解决人员配备问题方面的兴起

2019年最关键的发展之一将是网络安全行业如何逐步应对安全团队执行工作所面临的越来越大的压力。 Global Information Security Workforce Study , the shortage of cybersecurity professionals will hit 1.8 million by 2022, but at the same time, a report by ESG shows just nine percent of millennials are interested in a career in cybersecurity. 根据《 全球信息安全劳动力研究》 ,到2022年,网络安全专业人员的短缺将达到180万,但与此同时, ESG 报告 显示,只有9%的千禧一代对网络安全职业感兴趣。

我们将要看到的是,网络安全技术中的AI和机器学习将如何缩小技能数量和多样性方面的差距。

当今的组织必须通过雇用许多专业能力来解决网络安全问题。 网络安全,应用程序安全,数据安全,电子邮件安全以及现在的云安全。 无论是什么,强调安全性,这些技能对于任何组织的安全态势都至关重要。

事情就是这样,没有多少人声称知道云安全性,数据库安全性,应用程序安全性,数据安全性或文件安全性。 只是没有很多。 我们知道这一点,并且我们知道企业正在尝试解决该问题,这通常是通过做他们一直做的相同的旧事情,这是最常见的解决方案。 做更多的反恶意软件,做更多的防病毒软件,做更多无法使用的事情。 但是,在某些情况下,他们正在围绕AI做事,并试图通过利用技术来解决问题。 后者将导致组织转向订阅服务的转变。

导致这种行为的方面有两个方面:第一个事实是,是的,他们意识到他们不是专家,而是那里有专家。 不幸的是,他们只是不为他们工作,而是为提供此项服务的公司工作。

其次,公司意识到使用云技术有优势,因为这是一个主要的决定性因素,它是运营支出,而不是资本支出。 无论是在云中还是本地,订阅服务都是一样的,没关系。 在技能短缺和成本的驱动下,2019年订阅服务将呈上升趋势,组织实际上正在为您解决网络安全问题。

但是,我们应该在这里补充一点,随着越来越多的组织将其基于AI和基于机器学习的决策用于其安全控制,攻击者将尝试利用这一优势来克服相同的防御措施。

Imperva SecurityTrends网络研讨会

特别提及:网络战的“滴水效应”

事实是,国家之间的网络攻击确实发生了,这是一种让步。 坦率地说,这就是我们生活的世界,这是可以接受的行为类型,这些天并不一定会引发战争。 但是仍然有人会受益。

具体来说,他们正在攻击第三方业务,承包商和金融机构。 这就是网络安全如此重要的原因,需要意识到有人可能会窃取您的数据以谋取金钱。 可能是有人也在窃取您的数据以谋取政治利益,并且保护数据同样重要,无论谁拿走它。

现在,尽管国家黑客攻击不一定是战争的直接宣告,但它并没有就此结束。 民族国家黑客的trick滴效应尤其令人担忧,因为各国政府使用的复杂方法最终都落入了足智多谋的网络犯罪分子的手中,这些犯罪分子通常对攻击企业和个人感兴趣。

重犯

没有一夜之间发生的事情,没有任何网络安全命中清单会是完整的,尽管它们不一定都在膨胀,但它们始终是安全团队的一面荆棘。

  • 在2017年Equifax漏洞之后, API安全性使其跻身OWASP Top 10榜单,并且有充分的理由保持这一地位 随着API的广泛使用和检测对它们的攻击所面临的挑战,我们将看到攻击者继续将API视为针对各种不同威胁的理想目标。 包括暴力攻击,应用程序模拟,网络钓鱼和代码注入。
  • 恶意参与者已经意识到,加密货币挖矿是获取利润的最短途径,并且继续磨练其技术来破坏机器,以期希望挖出加密货币或可以访问和控制加密货币钱包的机器。
  • 轻松的工作,轻松的钱,完全的匿名性以及对受害者的潜在巨大损害……对于勒索软件,有什么不喜欢的? 我们不太可能很快看到这些类型的攻击。

如果我们希望将一个最重要的主题带入2019年,那就是通用威胁情报的概念,即最好是对危险有所了解并有所作为,而不是一无所获。

我们经常谈论风险与可接受风险或合理风险之间的区别,许多公司都犯了错误的尝试:试图解决问题……试图解决他们所能解决的每个问题,最终使团队感到不堪重负且预算不足。

可以接受的风险不是,“我丢失数据是因为我没有阻止它。 我知道了。 而且这不是大量的数据,因为至少我有一些控制措施可以防止某人获取一百万条记录,因为没有人需要读取一百万条记录。 没有人会读一百万条记录。 那么,为什么我首先让它发生呢?”

可以接受的风险是“我知道它发生了,我接受了它发生了,但是它是一个合理数量的事件,它是一个合理数量的记录,因为我所使用的控件不是那么具体,也不是那么精细,以至于它们解决了整个风险问题,但是他们带我进入了可接受风险的世界。”

最好从今天开始,并从可能的规模和相关性入手,即使这只会使您从高风险变为中风险,或从合理风险变为可接受风险。