关键思想家在2018年最大的故事和安全趋势上
詹姆斯·沃克,凯瑟琳·查普曼和约翰·莱登的其他报道
在一年中,人们看到了数据泄露的丑闻,所谓的高调供应链攻击以及比您可以摇摇欲坠的数据泄露更多的数据,可以说2018年是一个疯狂的事情。
很难相信已经快了崩溃/幽灵错误震撼了Infosec社区。
从那时起,我们几乎每周都会审查我们的数据被滥用或没有得到真正应该做得更好的人的适当保护。
我们还目睹了一些很酷的新黑客和漏洞,以及一些坦率的愚蠢场景 -“不可接受的” Bitfi钱包, 任何人?
Swig与Web Security的一些顶beplay体育能用吗级姓名进行了交谈,讨论了他们2018年以来的关键要点,以及2019年的首要任务。
独立安全工程师兼顾问兼OWASP KUWAIT领导人Mohammed Aldoub
“我认为,这一年对于在AppSec领域工作的人来说非常好,因为我们已经看到了更多的工具,更多的公共可重复使用的漏洞(对于渗透测试社区的一面),我们已经看到了使用AppSec的新技术采用更多的采用。
我们现在可以感觉到Secdevops(或DevSecops如果您喜欢的话)在AppSec的场景中缓慢而肯定会占据基础,人们提出了有趣的方法来简化AppSec扫描和验证的过程,以进入部署和测试的DEVOPS过程。我希望这一趋势继续下去,因为坦率地说,这对AppSEC工程师来说是一项基本的生存技能。除非我们变得不再是部署和业务灵活性的障碍,否则我们无法在迅速变化的DevOps,Connoble Change,无服务器和透明基础架构的环境中生存。
我认为现在有更多非常有趣的漏洞课程正在浮出水面[并且]获得更多的曝光,例如Edge Side包括注射和无服务器驱动的注入以及其他许多。如果AppSec社区不专注于这些新的边界,那么我们将不再重要。
但是,我注意到这些技术的采用有所增加,但害羞。例如,OWASP在2018年发布了无服务的前10名[安全性问题]项目,我注意到许多公司现在都专注于以API为中心的语言,例如Golang进行攻击和防御。
安全工程师面临的主要问题之一是采用速度缓慢。攻击者迅速跳入新技术,并利用顶级行业成绩自动化。任何弱势系统都可以在上网后几分钟内受到攻击。如果没有高级自动化和采用风险技术,我们将无法击败这一点。前几天,我正在与一位经验丰富的Appsec专家一起观看在线课程,展示了Mongodbs以及如何受到攻击,而当他在网上展示这种能力时,攻击者攻击了这个MongoDB实例并赎回了[SIC]awe of the demonstrator, myself and I’m sure anybody who's seen it. Attackers are fast like that, and are flexible like that. What are we gonna do about it?”
克里斯·博伊德(Chris Boyd),恶意软件智能分析师
“在整个2018年,我们看到了从消费者转向业务目标的明显转变,与银行木马和其他数据剥落方法的增加相吻合,尤其是在第三季度大型情感运动的背后。加密逐渐下降,因为骗子意识到投资回报根本就不存在,尤其是如果折衷的地点并不是特别高的交通流量。
同样,业务方面的勒索软件检测有所增加,消费者减少了,甘德克拉布和Magniber是两个主要参与者。尽管勒索软件检测也处于缓慢的向下曲线状态,但旧文件进行了相当多的创新和翻新以执行新的攻击。我们还看到了一些绝对的业余风格文件,例如Spartacus设法与大型枪支一起取得了合理的成功。
我们希望看到2019年开发更多创新的勒索软件形式,并继续努力收集其公司数据的企业。”
Tanya Janca,Microsoft的Cloud Security Advocate
“凭证填充是[2018年]对我的最有趣的新攻击。这是一个显而易见的攻击向量,但奇怪的是,该行业并没有找到一种标准化的方法来防御这种情况。从我的角度来看,每个企业尚未在hashibeenpwned.com上注册所有电子邮件地址是不可理解的。
他们还具有可以使用(不放弃用户秘密)来检查新信用的API,尚未在数据泄露中。令我惊讶的是,大多数企业没有为所有与工作相关的密码提供密码管理器(由企业运营),并教他们如何创建长,随机,唯一的密码。密码卫生的课程可以保护在家中和工作中的员工,令我震惊的是,我们的行业似乎太慢,无法应对威胁。
我认为我们需要仔细研究确保我们修补,我们的框架是最新的,并且我们的第三方组件是最新的。基本的安全卫生总是能吸引我们的,因为软件(APPSEC)的漏洞可能是今年再次遭到违规的第一名(根据2016年和2017年Verizon违规报告,这是第一名。
And if we can’t find time or space to do these things in with the way we currently run our IT shops, then we need to change the way we run them, incorporating modern operations and software development techniques, such as DevOps, Site Reliability Engineering (SRE), and so much more.
我明年的首要任务是对尽可能多的人教育“云原住民”,现代操作(SRE)和软件开发实践(DevOps,DevOps,CI/CD,无服务器,容器等)以及保护它们所需的新安全模型(DevSecops,Zero Trust,JIT,Automation和实现旧安全目标的新方法)。
尽管传统的网络安全防御类型仍然可以在云中应用,但仅当实现仅使用云中传统的功能并完美地实现时,这才起作用。
大多数组织都采用云提供的新功能,架构和可能性,因此必须应用新的安全模型。我认为,这是云面临的最大安全问题。围绕保护云中可用的新架构和功能所需的新安全模型进行教育。”
Pen Test Partners的合伙人兼创始人Ken Munro
“缓慢但可以肯定的是,政府,监管机构和消费者团体正在唤醒物联网安全的威胁。花了太长时间了,但是持续的压力和媒体对智能产品的真实个人数据暴露的报道最终导致了行动。
到目前为止的努力是零星且不一致的,但是英国政府和其他许多国家一样,在物联网安全方面也是如此。值得注意的是加利福尼亚州第327号法案,这可能是模糊的,可以对解释开放,但为可接受的安全水平设定了股份。欧盟的努力给我留下了深刻的印象。这网络安全法对于消费者物联网而言,这太可选了,尽管这是朝着正确的方向发展。
制造商:听!在媒体上获得产品脆弱性的一种肯定方法是忽略试图披露您的脆弱性的安全研究人员。我们正在帮您一个忙 - 不道德的黑客将简单地利用缺陷以谋取个人利益。如果您承认并修复了缺陷,大多数研究人员只是想要“谢谢”和信用。通常,要唤醒组织遭受潜在品牌损失的威胁。有趣的是……
物联网安全尚未改善。太多的新产品堆积在市场上,没有考虑保护客户。有一些供应商的灯塔示例正确。可悲的是,没有很多。
我们在物联网中进行的脆弱性披露率正在增加。从2015年的每个季度也许每季度的一个到上周的九个!在变得更好之前会变得更糟。我希望零售商将开始在其采购流程中包含安全要求。这将有助于防止脆弱的产品进入市场,从而使制造商有动力“做安全”。
就个人而言,我将在2019年之前继续游说整个美国,英国和欧盟的监管。我们最终将到达那里。”
萨里大学的计算机科学家兼教授艾伦·伍德沃德(Alan Woodward)
“加密今年有两个主要发展。首先,NIST竞争是为了找到一种抗量子的公钥加密方案。第一轮候选人被提交并已审查。第二回合将在2019年期间进行范围缩小领域的范围并要求进一步的信息。
其次,我们已经看到某些政府试图立法反对端到端的加密信使的重新出现。政府越明智地放弃了这条路线,并将注意力转移到了允许“设备干扰”的立法上,但有些人坚持着企图胜过数学定律的新法律。
提出了一些替代方案(例如加密弯曲),这只会允许那些有大量资源的人解密。尽管由一些非常可信的人做出了,但并没有太大的辩论,但是一些感兴趣的研究人员继续寻找一种取悦辩论双方的方法。”
戈登·洛(Gordon Lo),(业务管理)董事,香港计算机应急响应团队协调中心,香港生产力委员会
“在2018年,我们看到数据泄露案件的激增,地下市场出售了数据。在香港,在不同行业中看到了数据泄露事件 - 从金融,移动支付,航空公司和电信到旅行社。这些事件的原因可能是两个折叠:(1)系统和过程中的设计缺陷;(2)对风险管理的认识不足,例如优先考虑便利而不是安全性。
随着来自各个区域生效的数据隐私的新法规,有关数据泄露和报告的案件数量可能会进一步增加。在澳大利亚,中国大陆和澳门,肯定是在泰国和新加坡等地方的管道中,数据泄露通知的强制性要求将成为规范。在2018年5月制定一般数据保护法规之后,亚太公司与欧盟开展业务的情况已经如此。”
澳大利亚非政府组织数字权利观察董事会成员汤姆·苏尔斯顿(Tom Sulston)
“澳大利亚的访问和援助法案崩溃将在2019年的大部分时间里继续滚动。议会情报与安全联合委员会将召集讨论12月与该法案未通过的修正案。由于澳大利亚下次联邦大选的时间安排,似乎下一个政府将被指控通过和执行这些修正案。这意味着该法案的形状仍在讨论中。
我们也不知道该法案将用于侵犯互联网用户的隐私或技术行业必须挑战多少账单。我们预计,无论是通过法院还是通过泄漏,这将在整个2019年变得更加明显。
其他未完成的业务包括Facebook/Cambridge Analytica/互联网研究机构围绕选举宣传的噪音。由于系统正在运行的复杂性,我们仍然对正在发生的事情没有清楚的看法,但是随着没有解决方案的更多选举,将会受到国家参与者的影响。在澳大利亚,我们的隐私立法不适用于政党。我们想解决这个问题,因为很明显,数据挖掘公司和社交媒体中的微目标发生了滥用的隐私。
我们有兴趣提高政府对决策算法的使用。随着2018年在澳大利亚的#NotMyDebt崩溃,我们已经直接看到了一个类似AI的系统的失败,该系统识别出针对有针对性的政府骚扰的公民。由于政府致力于使用更多的AI,因此我们必须设定立场,以使这些系统公平,透明且保护公民的隐私。
这也适用于公司。尽管我们在反对AA法案方面一直处于同一方面,但我们并没有忘记监视资本主义正在推动大量大型数字企业。我们将继续对这些行业的监管施加压力,以便他们收集的私人数据的数据不仅可以尊重,而且在要求公民对其使用有意义的同意下的政权下进行处理。”
Gabriela Zanfir-Fortuna,《隐私论坛未来政策顾问》
“多达2018年是第一和最重要的一年GDPR其次,在觉醒美国对隐私法的兴趣之后,2019年将继续在聚光灯下看到这两个,但要切换场所。华盛顿特区与联邦隐私立法的战斗将在“制造或破坏它”的一年中加剧。在加利福尼亚州的领导之后,州举措可能会保持势头继续前进,并推动联邦政府采取行动(华盛顿州州长宣布了一项倡议关于下一年的隐私立法)。
至于GDPR,2019年将是首次罚款的年份。GDPR的第一天提出了针对科技巨头的一些潜在高影响投诉,但欧洲的行政程序很慢。我们可能会看到从妊娠中期开始的重大执法,即将接近GDPR一周年。”
