2018年網絡安全行業發(fā)展七大趨勢
對(duì)于網絡安全專業人士來說,2017年當然是忙碌的一年。我們見證了美國(guó)國(guó)家安全局的敏感數據洩露事(shì)件、Wannacry勒索病毒攻擊以及Equifax遭到的大規模黑客攻擊。
但是明年又會(huì)發(fā)生什麼(me)呢? GlobalSign的網絡安全專家們發(fā)布了一些關于網絡安全方面(miàn)的2018年的預測。
一、面(miàn)部識别技術可能(néng)在身份驗證中發(fā)揮作用
身份驗證一般是發(fā)布一些證書用于公衆可信的數字簽名,相比之下,雖然面(miàn)部識别技術還(hái)不夠精準,而且缺乏保障,但在2018年仍有可能(néng)將(jiāng)它們用于第一階段的簡單電子簽名認證。
随著(zhe)這(zhè)項技術的發(fā)展,特别是蘋果公司正在使用的配有各種(zhǒng)硬件傳感器和攝像機的此項技術,在未來的兩(liǎng)到四年内,將(jiāng)可能(néng)成(chéng)爲等同于面(miàn)對(duì)面(miàn)身份驗證的技術。
二、到2018年底,所有網頁中有85%會(huì)受到HTTPS保護
今年,在谷歌和Mozilla推動下,HTTPS頁面(miàn)加載和安全站點的數量都(dōu)有強勁增長(cháng)Chrome 56和Chrome62現在將(jiāng)所有帶輸入字段的網站都(dōu)标記爲不安全網站,Chrome一直都(dōu)將(jiāng)收集密碼或信用卡信息的網站标記爲不安全網站。
將(jiāng)來所有的HTTP站點都(dōu)將(jiāng)會(huì)被(bèi)标記爲不安全,這(zhè)隻是一個時(shí)間問題。
由于存在一些可用的免費或低成(chéng)本的域名驗證型(DV)SSL證書,所以網站運營者在财務方面(miàn)的壓力會(huì)極小,因此谷歌和Mozilla都(dōu)鼓勵他們通過(guò)基于站點内容的不斷變化的浏覽者行爲來保證安全。
随著(zhe)谷歌和Mozilla繼續向(xiàng)HTTP頁面(miàn)添加越來越多的警告,并且最終這(zhè)些頁面(miàn)都(dōu)會(huì)得到内有一個醒目紅色感歎号的三角形提醒,我們預計HTTPS的采用率會(huì)繼續顯著提高。
三、TLS 1.0和早期的協議將(jiāng)最終成(chéng)爲曆史
随著(zhe)HTTPS的廣泛采用,是時(shí)候告别那些過(guò)時(shí)的協議了——SSLv3以及早期的協議和TLS 1.0。這(zhè)些協議存在一些嚴重缺陷,所有網站都(dōu)應該禁用。
同時(shí),随著(zhe)TLS 1.2的普及且TLS 1.3即將(jiāng)面(miàn)世,2018年那些較舊的協議會(huì)被(bèi)逐步淘汰。
有鑒于此,我預計大多數網站都(dōu)將(jiāng)支持TLS 1.2,并且到2018年底,幾乎沒(méi)有網站會(huì)再繼續使用TLS 1.0和更舊的協議。
四、會(huì)有更多的僵屍網絡物聯網(IoT)攻擊
2018年,我們將(jiāng)繼續看到一些物聯網設備被(bèi)用于僵屍網絡活動。不安全的設備仍有很多,對(duì)黑客們而言是極易攻擊的目标。
五、攻擊者們將(jiāng)繼續瞄準基本安全措施中的漏洞
我們還(hái)將(jiāng)看到更多的基本安全措施被(bèi)攻擊者忽視和利用的例子。
成(chéng)功的物聯網攻擊不會(huì)很高級,而是有意利用物聯網設備在安全方面(miàn)的基本漏洞去進(jìn)行攻擊的可能(néng)性會(huì)較高,如共享密碼或加密通信方面(miàn)。
六、企業將(jiāng)開(kāi)始更加重視網絡安全,從“風險保護”轉變成(chéng)“預防”
2017年的災難性攻擊表明,網絡風險現在是一個重大威脅。一次成(chéng)功的攻擊不僅會(huì)嚴重損害公司的底線,也會(huì)嚴重損害商業信譽和消費者信任。
由于整個2017年間對(duì)網絡攻擊的了解越來越多,企業將(jiāng)開(kāi)始把安全視爲一項重要的商業風險,而不是一個影響其業務所有方面(miàn)的“IT問題”。
從高層領導開(kāi)始,自上而下會(huì)開(kāi)始更加重視網絡安全,在全公司采取積極措施來保護數字系統。
七、安全漏洞的比率會(huì)繼續上升,對(duì)複雜的保險和理賠産生連鎖反應
2018年各種(zhǒng)各樣(yàng)的攻擊以及采取的預防攻擊的技術和措施也將(jiāng)越來越引人注目,這(zhè)將(jiāng)爲企業帶來更多麻煩。
因此,相關的建議或指導會(huì)變得很受歡迎。以前,當出現漏洞時(shí),最終用戶總是會(huì)承擔一定程度的責任;
未來企業將(jiāng)開(kāi)始采取一些政策,如從公司内部報告發(fā)掘漏洞以及將(jiāng)工作重點更多地集中于“如何發(fā)現”而不是“如何應對(duì)”漏洞。
