行业新闻与博客
今后网站的安全将何去何从?
这些安全预测基于行业标准计划,由行业内的组织,思想领袖和安全市场中的其他利益相关者代表。
虽然预测未来一年某些安全领域会有所改善是相当安全的,但其他安全领域会变得更加棘手。正是这些持续脆弱的领域我们都应该关注,并寻求有效的解决方案。
网络钓鱼
网络钓鱼攻击正在增加并且可能会恶化,其中一百封电子邮件中包含恶意软件。根据反网络钓鱼工作组(APWG)的数据,仅在 2017年就因网络钓鱼攻击而损失了 8.4 亿美元。
2016年,在 HTTPS 上发现不到 5%的网络钓鱼网站。一年后,近三分之一的网络钓鱼攻击被托管在使用 HTTPS 的网站上,并且在受 HTTPS 保护的域中发现了近 20%的网络钓鱼攻击。网络钓鱼者托管恶意内容的方式有两个原因。首先,还有更多的 HTTPS 网站,这意味着有更多的网站可以被入侵。其次,浏览器安全消息传递不明确,现在在网络钓鱼者注册的域上托管了大量的 HTTPS 网站。黑客也在利用 HTTPS 的名称,因为人们认为网站是合法的。
根据 Verizon 的数据泄露调查报告,30%的网络钓鱼邮件是由用户打开的,其中 12%的用户点击恶意附件或链接。为什么网络钓鱼攻击会增加?简单地说,因为它是有效的。然而,有一些情感因素导致问题恶化。
虽然像反网络钓鱼工作组这样的标准组织已经承认了这个问题,但他们没有提出新的解决方案来解决这个问题。这是一个躲避球的案例,而问题继续增长。
黑客是一个复杂的群体,他们使用机器学习来解决企业用来保护自己的相同技术。根据 Webroot 的研究人员的说法,在 2017年上半年,每个月平均创建了 140 万个独特的钓鱼网站。网络钓鱼是一种失控的火车,没有全面的解决方案。
隐私
隐私具有混合预测,根据您的位置改善或变差。一些地理区域将看到改善,而其他地区将继续挣扎。导致改善的一些因素是欧盟的 GDPR,其罚款高达 2000 万欧元,以及其他国家对这一问题的强烈认识。美国正在考虑类似的法律。
导致隐私条件恶化的一些因素与搜索数据的价值有关。公司愿意接受罚款,因为这些数据的利润远远超过罚款。例如,谷歌在搜索市场占有 90%的份额,拥有超过 5000 万的用户账户。谷歌发现其 Google+ API 存在漏洞,有可能泄露数十万用户的私人信息。然而,该公司选择不向其用户或公众披露此漏洞。当问题本身如此有利可图时,很难解决问题。
还有其他领域我们的隐私每天都经过测试,从 Blockchain(电话号码,家庭住址和电子邮件被永久存储和记录)到人工智能(AI)和面部识别,用于将用户 Facebook 帐户与他们的 Facebook 帐户链接起来的相机位置,并跟踪其位置数据等。这些都是伟大的创新,但从一开始就没有内置隐私考虑,这些进步继续侵蚀我们的私人生活。
许多州正在考虑制定自己的隐私法。不幸的是,这些努力是由具有自己隐私问题的实体领导的,并且它们当然不是具有最佳记录的公正实体。
加密
加密是明年会有所改善的领域。这种预测背后有很多原因。谷歌现在到处都需要 HTTPS,业界致力于开发更好的后量子加密算法。NIST,微软和 IETF 正在推出更好的加密技术,并且有新的监管合规要求即将出台。
加密采用的快速增长产生了积极的影响,大约 80% 的流量和一半的网站现在都加密了。加密的主要驱动力是经济学。事实上,没有加密存在经济上的威慑力。大多数用户不会与有安全漏洞历史的公司开展业务。据 Deloitte 称,三分之一的消费者将在网络安全漏洞后停止与企业合作,即使他们没有遭遇重大损失。如果您的公司遭到破坏,30%的客户将离开,而 60%的客户会考虑离开。
加密技术正变得越来越有效。例如,新的 TLS 1.3 将使互联网更加安全和可信。金融 PKI 现在需要加密,PCI 安全标准委员会已经发布了 PCI 点对点加密解决方案要求和测试程序的第 2 版。这将有助于提高信用卡安全性,因为商家和技术提供商确定加密如何能够补充对 PCI 数据安全标准的遵从性。
身分
身份问题的安全预测预计将在来年变得混杂。支持改进的一个因素是支持区块链,财务 PKI 和法律实体标识符(LEI)的某些浏览器供应商的强烈兴趣。
使用证书识别和确认设备的能力允许公司锁定没有证书的设备。虽然这不会影响用户身份,但它确实会对拥有大量物联网设备的公司产生重大影响,从而确保这些设备的合法性。
身份保护是一项有趣的挑战,也是一个难以解决的问题。问题的部分原因在于,在成为受害者之前,试图说服消费者足够保护自己。物联网设备身份也是如此; 说服使用这些设备的公司以及生产它们的供应商在被黑客入侵之前建立保护措施。
身份保护问题现在被用于品牌识别,使用开放标准的消息识别品牌指标(BIMI),该标准使用基于 DMARC 反欺骗电子邮件标准的协议。这为参与公司,如雅虎,Groupon,Aetna,Agari 和其他公司提供了免费的品牌印象,同时提升了他们的电子邮件信任度。
我们不断提出新的想法并重新发明轮子,而不是解决潜在的问题。但是,只要有经济利益,就有更多动力去推动改进。
设备管理
设备管理仍然复杂且有问题,并且可能在来年恶化。其中一些因素包括物联网僵尸网络和受损设备,如摄像头,路由器,DVR,可穿戴设备和其他受恶意软件感染的嵌入式技术。此外,还有一个针对 Linux 服务器的新变种 Mirai。
安全设备管理面临的挑战很多,这在很大程度上是由于对行业标准的需求以及制造商缺乏关注。幸运的是,存在重大的监管问题和支持,包括加利福尼亚州物联网法,物联网法案,网络盾法案和智能物联网法案。同样,我们看到更多连接设备制造商对基于证书的身份验证,加密和设备完整性表现出兴趣。安全绝对是最重要的,因为最近的 2018 年物联网安全状况调查显示,10 个组织中有 8 个将安全作为物联网的首要关注点。而那些在安全方面做得最好的公司正在为他们的利润带来好处,并避免重大事故和由此造成的损失。
自动化
自动化安全将在明年继续扩大。其中一些原因包括物联网设备的大规模部署,安全自动化的行业努力,CAA 记录检查,自动配置以及用于部署和运行分布式应用程序的容器化。
今天,保护企业免受安全威胁的解决方案必须具有自动化功能。大量安全事件涉及人为错误。Gartner 预测,2019 年的信息安全支出将超过 1240 亿美元,但这些计划可能不足以防止防火墙的错误配置,或者忘记修补服务器上的安全漏洞。手动任务带来风险,并且它们是等待发生的安全漏洞。自动执行安全任务是将风险降至最低的最佳方法。
认证
明年认证过程将变得更加安全。其中一些因素包括多因素身份验证增长 15%,生物识别身份验证变得标准化。身份验证可能改进的另一个原因是安全快速可靠登录(SQRL)。这是一个新系统,可以缓解与密码相关的许多问题。SQRL 是一个免费的开源程序,取代了传统的用户名和密码 Web 身份验证过程。使用公钥加密技术,用户可以生成一个与网站匿名接口的主令牌,无需透露个人信息或密码即可登录。
但是,仍然存在一些挑战,例如密码不足。其中大约一半是弱者,包括 Mimikatz,占恶意软件的 27.2%,以及通过网络传播的恶意软件的 75%。
改善的最大障碍
显然,需要解决许多安全风险以确保可信的连接,通信和商务,克服这些风险的挑战很多。用户冷漠是猖獗的,因为个人根本不会将他们的隐私作为优先事项,直到他们的隐私受到侵犯。企业仍然缺乏依赖手工任务的技术人员,设备,用户和数据呈指数级增长。标准组织没有尽可能密切合作。标准之间存在潜在的冲突。专利保护开始妨碍我们的用户和设备的安全。例如,无线通信行业已准备好用于数字证书安全性。然而,一些行业发展受到声称专利侵权的公司的阻挠,增长带来了更大的风险,并带来了新的挑战。越来越多的物联网设备没有安全保障,每月有数百万个新网站上线,大量数据通过我们的网络和填充存储设施,这将加剧安全难题。
非常感谢您对亚洲注册的支持与信任!
禁止转载
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服