关键思想家在2018年最大的故事和安全趋势上
詹姆斯·沃克,凯瑟琳·查普曼和约翰·莱登的其他报道
说到安全领域,可以肯定地说2018年是旋风。
上周,我们询问了Infosec社区的关键人物,以了解他们从2018年中学到的知识,以及他们将在来年带来什么。
您可以阅读他们在SWIG安全评论的第一部分。
在下面,从七个安全专家那里听到了他们确定为过去12个月中最重要的威胁,以及他们对2019年的主要预测是什么。
Luta Security的首席执行官,Microsoft的Bug Bounty Program的创建者Katie Moussouris
“错误赏金比以往任何时候都更受欢迎,但是我们看到虚拟火车残骸完全错过了头条新闻,因为它尚不流行,可以指出裸露的皇帝。
开始并在一天中突然停止的赏金应该告诉我们,这不是治愈的 - 它是通过积极进取的营销来烹制的。
当心过去和补丁管理噩梦的鬼魂的鬼魂,因为未来预测了一位技术债务人今年的赏金不佳。顽皮或尼斯,没有安全的捷径。”
Troy Hunt,网beplay体育能用吗络安全专家,haveibeenpwned.com的创始人
“今年感觉像是一个真正的混合袋漏洞;我们有大量较小的较小的事件,但在今年年底,如喜达屋和Quora。
全球法规的增加(欧洲的GDPR,NDB在澳大利亚等)很可能负责推动更多的披露,因此我们看到的事件数量很可能是由于透明度提高而导致的。”
Hackerone首席执行官MårtenMickos
“虫子赏金社区是自然的力量。现在,超过30万,它在两种方面变得更强大。当新的或年轻的黑客加入时,他们需要两到三年的时间才能建立技能和方法才能提高生产力。社区变得越来越强大的另一种方式是,已经成为专家的人开始参与。我们看到五旬节,安全专业人员和学术研究人员在业余时间成为猎人。
错误赏金和脆弱性协调正在成为公司和政府机构中的最佳实践。从黑客的角度来看,我们将在2019年看到“范围”的快速增长。新客户将开设新计划,而老客户将扩大其现有计划的范围。比以往任何时候都更多的客户将组织自己的现场黑客活动,以在短时间内获得集中的结果。
保持好奇,顽强和耐心。根据定义,虫子赏金猎人很好奇。公司需要对自己的弱点感到好奇。双方都需要顽强,因为最好的错误并不容易找到,并且可能不容易修复。最后,漏洞赏金的巨大结果不是在一夜之间,而是随着时间的流逝而出现。当发现一个关键错误然后修复时,当然会感到振奋。但是,大赏金收入和网络风险的可靠减少在更长的时间内发生。”
McAfee和Europol网络安全顾问Raj Samani,首席科学家
“在2018年,我们看到了许多起诉书,最近对两个伊朗国民的起诉SAMSAM勒索软件攻击。如果我们还考虑在数字广告欺诈中遭受的损失之后,如果我们还考虑对帕克·金·霍克(Park Jin-Hyok)的起诉书和纽约东部地区的11月起诉,它建议一项策略,以识别并将这些罪行背后的人绳之以法。
毫无疑问,2018年的重点是恶意运动,似乎指向民族国家的行动 - 海洋萨尔特,神枪手,[和] Shamoon的重新出现,例如在过去的几周中。尽管民族国家的活动并不是什么新鲜事,但我们必须接受我们正在看到(或确实确定)针对全球组织的更多运动。我们也可以轻松地结合起来加密劫持在2018年以及感知到的减少勒索软件家庭作为当年的其他关键趋势。
我们新的McAfee Labs威胁预测详细介绍了我们来年期望的七个问题,但对我来说,特别引起我注意的是社交媒体/网络的作用。在最近的《神枪手》运动中,我们对此有了简短的了解。
选举受到影响,假新闻盛行,我们的社交媒体追随者都是外国政府控制的机器人。至少有时就是世界的感觉。要说近年来,社交媒体公司困扰着这将是一种轻描淡写。在此期间,随着自动化帐户被删除,对手策略的发展,并且出现了比以往任何时候都更合法的僵尸网络帐户,随之而来的是猫和老鼠的游戏。在2019年,我们预测通过社交媒体的错误信息和勒索运动的增加,将重点放在品牌上,而不是来自民族国家参与者,而是来自犯罪集团。”
John Graham-Cumming,Cloudflare的CTO
“ 2019年可能是无服务器从令人困惑的流行语转移到广泛采用的一年。开发人员希望能够尽可能轻松地编写,运行和缩放代码,无服务器承诺从容器,VM或云服务器创建开发人员涅磐。
Serverless的名称令人困惑,当然有服务器,但我们希望2019年是应用程序体系结构开始充分利用无服务器的易用性,价格和缩放的一年。”
EMEA网络安全倡导主任Mary-Jo de Leeuw(ISC)2
“ 2018年最多产的问题之一是使用长矛钓鱼的活动激增,勒索软件和民族国家的攻击。在过去的一年中,这三个经常在新闻中看到,并定期破坏业务和消费者活动。
在来年,我希望长矛捕捞变得更加普遍,对个人和品牌发起了更具针对性和复杂的攻击。这种袭击的受害者及其犯罪的受害者将会激增。
更多的民族国家的攻击随着战争和破坏社会的努力变得越来越数字化,2019年也将有望在2019年进行。
通过使用物联网技术和常规计算机黑客攻击,这也将与更多未经授权的个人监视。最终,其中许多威胁继续构成风险,因为个人仍然没有及时更新计算机和设备操作系统或为关键应用程序安装更新。
除此之外,非计算制造商的IoT设备的越来越多的问题不投资于这些设备有意义的持续软件支持。
这共同创造了一个环境,诸如勒索软件之类的网络安全威胁可以并且将在未来的一年中构成非常真实的危险,而无需意识,警惕,培训和最佳实践。
网络安全劳动力差距将在2019年引起真正的问题。除了明显缺乏熟练的专业人员来填补职位空缺外,组织可能会发现自己要支付更大的薪水和福利,以吸引竞争者和其他行业的人才。他们试图解决自己的技能短缺。
这也可能促使我们如何尝试覆盖该行业的新方法。这意味着对外包,更多共享的网络安全资源的更多创新使用以及从业者提供更多的机会,向一组公司提供服务,而不仅仅是一家公司。
如果组织将不得不使用外部技能来帮助解决其短缺,那么它只需要在空间中获得公认的认证和资格。
最终,网络安全行业将在未来一年的新技术影响下发生巨大变化。有或没有网络安全劳动力差距,该行业将承受增加其熟练专业人员队伍的压力。”
Serianu的信息安全顾问Brencil Kaimba
"2018 has been an eventful year. We have seen a lot of cyber vigilance, particularly within financial institutions, and regulators have released a number of guidelines such as the Central Bank Nigeria, SASRA (Sacco Regulator) guidance on Cybersecurity, Ghana’s comprehensive and punitive regulatory requirements, and the ICT ministry’s data protection bill, which is still under review in Kenya. On the flip side, we have also seen an increase in attacks targeting Saccos and other SMEs within Africa.恶意软件,特别是加密的恶意软件和勒索软件正在上升。在2017年,我们强调说,网络安全支出处于历史最低水平。我们已经看到了这一领域的略有改善,这主要是由于组织对组织在脆弱性评估等活动上的支出的增加,渗透测试,培训和其他关键网络安全控制。
如果我们在2018年看到的是要实现的,那么很明显,非洲威胁是非洲组织所独有的。我们的恶意软件样本,诸如移动货币妥协的攻击媒介,SIM Swap等是非洲大陆非常独特的。要注意的另一个重要的事情是,大多数攻击都从一个组织转到另一个组织。因此,信息共享是关键。
“如果您认识敌人并认识自己,就不必担心一百次战斗的结果” - Sun Tzu的这些话总结了我们2019年的优先事项。这一切的核心,网络可见性和曝光分析是最重要的单一重要的组织在2019年需要关注的事情。这种理解将使组织能够回答以下难以捉摸的问题:我们如何暴露?我们在网络安全上花费了吗?我们的降低风险成本是多少?
我们一直在寻找伙伴关系和为网络安全生态系统做出贡献的方法。提供有关数据保护法案和其他法律的见解是我们积极参与肯尼亚和其他非洲国家的关键领域之一。”
有关的SWIG安全评论第一部分
