整个技术产业都是动态的,不停在变化,新技术新方法如浪潮般不断涌现。只要身处IT安全领域,必然会被恶意黑客的技术推动着赶上这些潮流。也就是说,业内总会出现新东西,也总有些技术和工具会落伍。
那么,接下来的一年,安全人员眼中的技术趋势都有哪些呢?又有哪些曾经热门的话题会渐渐淡出人们的视线呢?
勒索软件(热门1):
去年,WannaCry和NotPetya很是在媒体上霸屏了一段时间,很多专家都认为公司企业已经将勒索软件防御提到了公司重要事项前列。助燃勒索软件威胁风潮的一大因素,就是勒索软件即服务的兴起,也就是攻击者可以将定制勒索软件开发工作“外包”给愿意提供新型勒索软件并共享赎金回报的黑客。接下来的一年,我们会看到更多非技术型黑客让勒索软件开发者在勒索活动中掺一脚,然后以共享非法所得的形式作为报酬,这样就无需任何技术或启动资金也能发起恶意攻击了。
勒索软件大爆发的另一个驱动因素是加密货币。对勒索软件而言,以政府发行的货币支付赎金是完全不可取的,这太容易被追踪了。但是,如果要求以加密货币支付赎金,这种货币自带的匿名性就大大提高了捐款而逃的可能性。
区块链(热门2):
加密货币不过是区块链技术的一种应用,还有很多工作要利用该技术来提高交易的安全性。应用到身份领域就是区块链一个相当有趣的现实世界应用案例。身份区块链引人注目的一个基本要素,就是用户与合作伙伴之间的交易无需中央“存储”(或者说银行)来作为中间人。事实上,甚至连合作伙伴是谁都不需要知道——只需要合作伙伴是经验证的区块链参与者即可。信任是商业的基础,而信任恰恰是区块链的特长。
VPN(渐冷1):
与外部合作伙伴建立可信连接变得越来越重要。需远程访问公司网络的供应商越来越多,很多情况下甚至是本公司员工数量的10倍。于是,这么多特权访问会话的管理、监视和保护工作就成为了热点敏感问题。
但是,保护该外部访问的一种传统方式——VPN连接,却开始走向没落。虽然VPN很好用,但这种技术原本只是为同个网络中两个内部终端之间创建连接而开发的,并不是给外部承包商或第三方供应商创建外部通道用的。因为配置复杂性和对访问控制列表(ACL)及良好网络分隔的依赖,VPN驱动的外部到内部访问的最终结果,往往就是“全权或无权”访问。只要能访问公司系统的第三方被黑,攻击者就能以该第三方供应商作为支点,获得公司网络的无限制访问权。
过去几年里,公司企业一直在寻找可以实施细粒度访问控制的解决方案:能在正确的时间点为正确的人员分配恰当的权限,同时对所有远程支持活动进行监视,留有日志记录。
欺骗(热门3):
为对抗网络攻击,很多安全人员想采取积极手段迷惑对手,仅仅识别哪些系统可能被黑已经满足不了企业的当前需求,事件响应团队一直在寻求更为主动地对抗已存在恶意威胁的方法,比如说,公司企业可能会针对特定恶意软件家族为自家系统进行“预防接种”,让恶意软件误以为自身已经在系统中而不执行感染操作。
在公司企业疲于应付各种网络威胁的时候,在安全策略中加入欺骗操作的趋势正在兴起。各种模拟器正在学习如何将攻击者引诱至“虚假”的ATM机、医疗设备等等。在陷阱系统上一无所获后,攻击者就可能转向更好啃的目标了。
云(热门4):
几乎每个行业的公司企业都意识到了所有IT都自己搞定是多么昂贵。于是,他们纷纷将IT负载分流到Azure之类的云环境中。在承受云风险与承担昂贵自有成本之间取舍并不是太难。
“风险”这个词听起来似乎意味着会给安全团队带来更多工作。但实际上,更加减轻了公司安全团队的工作量才是真的。虽然前些年盛传云是不安全的,但过去一年中,公司企业将数据转移到AWS这种安全环境的脚步可不要太快哦。相比之下,云环境才是更安全的。
甚至安全工具也正在向云端迁移。无论是Web网关、数据丢失防护,还是高级威胁防护,全都在向云端迈进。
静态杀毒(渐冷2):
公司企业迎娶云安全技术新欢,曾经的旧爱——基于病毒特征码的静态杀毒软件,也就成了下堂妻。毕竟,遗留杀毒软件向来以被动、臃肿,且对现代攻击无甚效果而闻名。
事实上,随着技术服务的发展,杀毒软件可能面临着史上最大抛弃潮。即便还在用杀软的人,多半也无需再为之付费了。操作系统厂商,尤其是微软,已经接过了安全接力棒。Windows 10 就内置了 Windows Defender,让很多第三方杀毒软件完全多余。这并不是说杀毒软件不像以前那么重要,只是说如今大多数人已经无需为之付款了。
内置安全(热门5):
多年来,安全人员一直在宣传安全需一开始就做进系统和过程中。如今,这一理念终于深入人心了。在开发运维界,内置安全运动声势渐隆。开发安全运维(DevSecOps)实践正驱动公司企业将安全作为嵌入到整个软件生命周期中的基本组成部分,而非仅仅是事发后贴上的一块创可贴。将安全焦点从防火墙或杀毒软件之类辅助措施上移开,可使公司企业在重大事件发生前抢先扑灭威胁和漏洞,从而省下大笔金钱、时间和无尽的烦恼。
系统集成领域也适用从一开始就内置安全的方法。客户和技术提供商方面都提出了更强烈的集成需求。从客户的视角出发,尤其是站在企业客户的角度,他们可能不具备持续整合多个产品的能力。从技术合作伙伴的角度出发,提供可能有限或缺乏的附加功能也是个双赢的策略。
人工智能与自动化(热门6):
现代经济社会中对机器人或算法取代人类职位的恐慌从来不少,但很多专家都认为,人工智能(AI)和深度学习指导下的自动化安全过程,将倍增人类处理海量安全威胁的能力。基于深度学习的行为分析可分析安全情报并将之与外部威胁数据关联,指引人类分析师找出海量威胁数据中真正相关的那些真实威胁。AI不仅可以辅助识别威胁,还能帮助安排修复过程,用预设事件响应工作流来自动化事件响应工作。
所有这些“AI”和“深度学习”场景听起来都太玄幻了,但在实践中,大部分自动化过程做的是相当繁琐而基础的工作。自动化单调的工作可以让分析师不再拘于禁用端口或做些其他调整之类“体力活”,将时间精力投入到真正复杂的调查分析上。登录设备和修改配置这种基本操作完全可以撰写自动化脚本来搞定。
不过,别以为只有网络安全人员才利用自动化。黑产从业者绝对会用自动化技术增加自己的效率的。民族国家可能已经在用该技术挖零日漏洞了。不远的将来,会有更多攻击者使用机器学习挖掘漏洞或者执行更有效的网络钓鱼活动。
情报共享(渐冷3):
技术人员或许想要依靠机器的智慧,但他们对与对手公司的人共享情报仍然存有疑虑。安全社区曾经以为我们终有一天会广泛共享威胁情报,私营产业和司法机构也能更好地沟通。然而,基本上,至今仍欠缺该合作关系的催化剂,威胁情报也一直被当做知识产权看待。
技术升级(热门7):
无论用不用AI,安全人才招聘和保留上依然存在非常现实的人才荒。不过,在如何弥补这一人才缺口上,还是出现了新的转机。过去几十年来,实践性经验一直是安全领域技术发展的主要驱动力,让很多公司企业竞相争夺资深分析师而不是自己培养新的人才。但如今,我们开始将热情而非技术,视作新分析师能够取得长期成功的最重要因素。有激情的人更值得招聘、培养成高技术网络安全分析师。将分析师技术升级为威胁猎手,让他们有能力主动搜寻暴露点和未知漏洞,将他们的时间从低级工作中解放出来,也会增加分析师的工作满足感,让他们为雇主停驻更长时间。
隔离(渐冷4):
随着这些分析师步入工作岗位,他们会被鼓励加强交流,更多合作。越来越多的大型企业倾向于为他们的网络和实体部门构建融合式的安全运营中心。对协作的需求大大驱动了该趋势。安全运营中心作为一个割裂的部门运作的方式正逐渐被企业抛弃。
安全托管(热门8):
但或许,整合安全运营的终极办法,是将整个安全职能都分配给一家托管安全公司。对资源不足的小公司而言,外包安全的做法更具吸引力。
转向托管安全服务的趋势正在形成。尤其是在中端市场上,中小公司没必要雇佣全职安全工程师来监视和保护他们的网络,只需将安全工作外包给以成套产品提供托管安全服务的公司即可。这么做,客户即能享受全天候的安全监视与报警服务,又可免去聘用全职安全工程师的开销。
老实说,很多用户公司都不了解各种服务和技术之间的差异,老实说,他们也不在意这些。他们只想要个保障,以保证有人试图入侵公司时,自己是受到保护的。
Gartner预测,到2019年,安全外包服务开销会有大幅增长。技术和资源的缺乏,再加上威胁复杂度的增加与IT安全人才的短缺,将驱使公司企业寻求由安全提供商、电信运营商和其他供应商外部托管的自动化安全服务。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】