雷鋒網注:以下趨勢預測由網絡安全公司 Palo Alto Networks 發佈。
預測1:亞太地區絕大多數國家仍將 4G 網絡作為首選
今天的 4G 問題與 5G 息息相關。
根據 Gartner 數據,全球 5G 無線網絡基礎設施收入將於 2020 年達到 42 億美元,比 2019 年的 22 億美元增長 89%。雖然距離 5G 網絡達到一定規模還需要相當長的時間,但澳大利亞、新加坡和韓國推出了早期的 5G 試用服務。
例如,新加坡已開始在雲遊戲、自動駕駛汽車、智能地產以及食品和飲料行業進行試驗。一旦成功部署,5G 網絡將擁有釋放自主性的潛力,在很大程度上影響從運輸、供應鏈到製造業的整個經濟領域。
然而,在開始考慮推出 5G 前,我們要謹記現在的 4G 網絡仍然容易受到各種威脅,包括垃圾郵件、竊聽軟件、惡意軟件、IP 地址欺騙、數據和服務竊取、DDoS 攻擊以及眾多其他變體。這對於需要應對安全漏洞的移動網絡運營商來說是一個特殊的挑戰。這些安全漏洞不僅來自於與其他移動網絡運營商(MNO)的互聯,還來自於長期演進(LTE)設備不同的安全標準。
此外,還有數百萬用戶的不安全行為,以及大量第三方應用和服務的安全缺陷。如果今天不解決這些問題,它們無疑會延續到 5G 時代。
未來十年,大型 5G 基礎設施項目將投入建設,但迄今為止僅有少數測試項目取得成功。5G 網絡將與 4G網絡一同發展,但 5G 時代尚未完全到來。4G 在部分亞太國家市場才剛剛推出,因此距離 5G 網絡達到一定規模還需要相當長的時間。據 GSMA 預測:到 2025 年,亞太地區的 4G 用戶仍將佔全球移動用戶的 68%。與 5G 的毫米波(mmWave)相比,4G 的覆蓋範圍更廣,因此許多農村地區仍然可以使用 LTE模式。
在現有安全風險無法消除的情況下,移動互聯網服務提供商會在網絡攻擊中首先倒下,而不安全的 IoT 系統漏洞等,如果在 4G 時代不能解決的話,其影響將在 5G 環境下呈指數性擴大。當今需要新型網絡安全方法,包括採用安全防禦措施,提高安全自動化水平,建立情境安全成果以及將安全功能與 API 集成,預計 4G 仍將是黑客的主要目標,並在未來幾年可能成為入侵 5G 網絡的途徑。
預測2:急需具備好奇心和解決問題的人才
關於全球網絡安全人才缺乏以及關鍵技能差距的說法由來已久。根據 ISC 2018年網絡安全勞動力調查的最新研究,亞太區的網絡安全人才缺口為 214 萬,因此該地區可能受影響最嚴重。
這種短缺是否可能是某些職位的期望值與實際需求之間不匹配的結果?一些職位描述要求的資質非常寬泛,這對於招聘到符合要求的管理人才是不現實的。短缺數據是否準確反映了行業的實際需求?
除非大眾的網絡安全觀念從根本上發生改變,否則網絡安全將持續出現供不應求的狀況。要應對這項挑戰有兩種互補的方法:採用自動化以及探索可替代的人才來源。
自動化將成為未來網絡安全的一個關鍵要素,因為不應該要求人類——也不應該期望人類——去做所有的事情。相反,他們需要利用那些無法自動化的技能,並專注於解決問題、溝通和協作等更高層次的任務。這將需要重新審查當今的安全運營中心(SOC)結構,並相應地改變這些新角色所需的專業人員類型,以便準確地識別並填補其中的一些空白。企業和招聘人員不應再追求鳳毛麟角的精英(他們並不存在!),而是應該在合適的渠道發掘人才。
2020 年,我們認為在職位評估上情商應比智商更為重要,以尋找具備解決問題能力及好奇心的人才,無論是工程師、分析師還是通信專家。需要對技能提升以及跨技能培訓等被忽視的項目進行投資,並將這些有能力的個人培養成我們需要的人才。對於希望準確發現企業內相關網絡安全技能差距的公司來說,NICE框架中的員工類別是一個非常實用的起點。
預測3:物聯網是雷區,提防家裡的無線門鈴可能會引來不速之客
根據 IDC 數據,2019 年在物聯網領域的支出亞太區將引領全球,約佔全球支出的 36.9 %。但時至今日,安全可能仍是產品開發過程結束後才會想到的事情。一些持續出貨的聯網設備並沒有提供後續的軟件更新和安全補丁,從而導致易於利用的常見漏洞。到 2020 年,物聯網安全面臨的潛在威脅(例如 DDoS攻擊)將越來越多,這一問題將進一步惡化。
這些攻擊,包括 Mirai 殭屍網絡通過不安全的聯網設備發起的攻擊,可以破壞流行的全球網絡平臺。除了目前已經利用的 18 個漏洞外,Mirai惡意軟件最近又新增了 8 個漏洞,其目標從無線演示系統到機頂盒、SD-WAN 甚至是智能家居控制器等一系列設備,對企業和聯網家庭構成了威脅。隨著越來越多的物聯網產品進入市場,網絡威脅被悄悄地隱藏了起來。當有人踩到這些地雷時會發生什麼?
2020 年,物聯網安全的發展將在兩個關鍵領域展開:個人及工業物聯網。不論是聯網的門鈴攝像頭,還是無線揚聲器系統,我們將看到通過不安全的應用或薄弱的登錄憑證入侵的攻擊模式不斷增長。便利的深度偽造技術的出現使這種威脅變得更加複雜,該技術可能會對語音或生物識別控制的聯網設備構成威脅。模仿最強大的生物識別裝置以訪問和控制聯網系統,它將影響家庭和企業環境。
許多亞洲經濟體關鍵支柱的製造業也將發生重大變化。製造商希望部署傳感器、可穿戴設備和自動化系統,以通過數據收集和分析簡化生產、物流和員工管理流程。企業需要確保聯網設備能夠利用諸如內置診斷、持續漏洞掃描和高級分析等自動化功能,以保持對物聯網威脅的掌控。
聯網設備需要不斷進行改造和更新,以確保安全。全球各國政府——包括亞太地區的政府——也越來越傾向於發佈與物聯網設備安全相關的指導或法規。此外,行業標準組織也在努力制定物聯網設備的相關安全標準,如ISO/IEC 27037標準草案。這兩種趨勢肯定會在一定程度上影響物聯網設備的部署。我們還希望優先考慮對公眾的相關教育以適應聯網設備的快速增長和普及。
預測4:更多的數據隱私法規,以及數據主權-安全悖論
互聯網協會 2018 年針對亞太區政策議題的調查發現,超過 70 %的受訪者希望自己的個人信息在收集和使用方面能夠擁有更多控制權。然而,大多數人為獲取短期利益(例如熱門應用、手機遊戲或在線比賽)而提供個人信息時卻毫不猶豫。
這一行為說明:某些新興市場對網絡安全的意識不足,而在其它市場,如新加坡等,則對網絡安全過於樂觀。不幸的是,數據隱私問題表明人們不僅對收集的數據缺乏認識,而且對數據的使用也缺乏瞭解。人們不知道那些不為人知的事情。
為了幫助解決這一日益嚴重的問題並保護公民數據,監管機構圍繞實施更嚴格的本地數據隱私法而展開行動。包括泰國在內的一些國家/地區已經通過了新的法律來管理對數據的保護,要求企業在收集、共享和使用數據時更加註重隱私。為了遵守歐盟的通用數據保護條例(GDPR),部分國家已經開始採取行動,例如日本最近對其數據隱私法進行了更新。對於企業而言,注意法律完善程度和地區差異非常重要。
本地區將會出現更多的數據隱私法規。過去幾年印尼和印度一直在研究個人數據保護法案,儘管目前還不清楚這些法案最終是否會生效以及何時生效。該區域越來越多的提案也將需要其原籍國的住房數據;這往往是出於隱私和安全方面的考慮。
印尼政府 2019 年第 71 號法規的最新草案要求,公共機構必須在印尼境內管理、處理和存儲數據(根據非官方翻譯)。我們預計會有更多的監管提案來規範或限制數據的跨境流動,特別是公共部門信息的遷移。因此,企業可能會考慮在本地建立更多的數據中心,以更好地支持本地客戶。
然而,企業必須注意,建立本地化的數據中心並不一定會使數據更加安全。因為網絡威脅沒有國界,個人終端用戶或企業之間的聯繫日益緊密,容易受到全球事件的影響。企業仍然有責任採用全面的網絡安全策略,以支持跨網絡、端點和雲端的操作和信息存取。為了有效地管理這些信息,企業需要定期評估他們收集的信息,並控制信息的訪問。
在像東盟這樣高度互聯的地區,企業需要更加密切地關注其數據流。儘管各國都在努力創建區域性統一個人數據保護方法(例如自願通過 APEC 跨境隱私規則),但並沒有實現真正的統一。為了創建最適合本地區的框架,私營部門和公共部門之間需要緊密合作,以便在面對不斷出現的新興威脅時評估如何識別和定義違規行為。
預測5:雲的配置更加混亂
整個地區對雲應用的態度和接受程度並不一樣。儘管遷移到雲是合理的,但是在將關鍵信息放入雲時也需要謹慎。關於虛擬與物理設備優勢的誤解仍然存在,讓問題變得更加複雜。
雲應用的前景看好。企業開始意識到雲方案的獨特之處。亞洲的 CIO 們非常清楚地瞭解向雲遷移對其數字化轉型戰略的意義,並將視其企業的成熟度而採取行動。我們也開始看到東盟各國政府朝著這一轉變做出了嘗試;新加坡、泰國和馬來西亞的政府機構都宣佈了在公有云領域的投資,
而印度尼西亞則有望成為亞洲的下一個大型數據中心樞紐。越來越多的企業也開始利用容器(即操作系統虛擬化)來提高效率和一致性並降低成本。但是,暴露和配置錯誤的容器的潛在危險將很快出現,使企業容易受到針對性的偵察。使用正確的網絡策略或防火牆,或兩者並用,可以防止內部資源暴露於公共互聯網。此外,投資雲安全工具可以提醒企業注意當前雲基礎設施中的風險。
雲安全的採用也面臨著一系列挑戰。受派拓網絡(Palo Alto Networks)委託,著名研究機構 Ovum 在其《亞太地區雲安全報告》中指出,80%的大型企業將安全性和隱私視為採用雲服務的主要挑戰。
主要發現包括:
78 %的中國受訪企業對雲安全抱有過度信心,認為雲供應商提供的安全功能足以保護其免受威脅
亞太區的大型企業使用多種安全工具,造成安全態勢的碎片化,尤其是當企業在多雲環境中運行時。採用多雲方式會導致危險的可視化缺陷,在中國,有 77 % 受調查的大型企業表示這一情況相當普遍,高於亞太地區平均水平 13 個百分點。
報告顯示,有三分之二(66%)的企業不能做到每年進行一次網絡安全態勢的審核,並且有 26 %的這類審核並不包括對雲安全的評估。除了審核,有 45 %的中國企業無法做到每年對IT安全人員進行安全培訓。鑑於大型企業沒有足夠的時間和資源來專門用於雲安全審核和培訓,因此顯然需要自動化。
2020 年還會有更多公司採用 DevSecOps 方法,將安全流程和工具集成到新產品的開發生命週期中,這將是雲和容器成功集成的未來方向。
【 圖片來源:阿里雲圖庫所有者:阿里雲圖庫 】
問答
1.雷鋒網:在這五個預測中,中國企業用戶面臨的最迫切的問題和挑戰是什麼?
Palo Alto Networks 亞太區域首席安全官 Kevin O’Leary:我們認為都很重要,如果只是挑出來最重要的,我認為是物聯網。
有幾個原因:第一,信息通過物聯網設備被提取出來。這很多數據以我們並不所熟悉的方式提取出來的話,會造成數據隱私的問題。第二,這些物聯網設備上的安全問題是否能被正確處置。飛利浦是一個家電公司,它做過一項研究,很多智能攝像頭能被快速利用作為殭屍網絡。
第三,物聯網現在成為整個公共、工業環境下所必須要使用的設備,我認為整個物聯網對我們產生的影響很大。
很多物聯網設備在出廠時缺少安全配置,所以我們必須在整個網絡的適當位置進行相應的安全控制。但是我現在可能會擔心,很多配置沒有被正確配置和使用。
2. 雷鋒網:5G 時代來臨,會有哪些新問題?
Palo Alto Networks 亞太區域首席安全官 Kevin O’Leary: 4G 和 5G 是有一定關聯的。在 5G 時代,因為科技的發展速度快,收到的數據比以前更多,雖然 5G 的最終用戶並不一定能感受得到。
由於 5G 時代的推動,更多地應用會用在智能汽車這樣的領域當中。因為有更低的延時和更高的數據量,這是一個新的挑戰。在 5G 時代,我們會運用大量毫米波的基站,這樣的基站會帶來一些安全上的風險和挑戰。要是基站距離在 500 米以上,基站的部署跟 4G 時代將有很大的不同。4G 基站的距離在 2000 米以上,5G時代的基站布起來應該是一個網格結構,基站之間要求的距離會非常短。
5G 時代也會催生大量非常廉價、易用的終端,來推動整個物聯網的發展。成本的低廉會造成安全上的考慮相應減少,甚至是沒有,這樣會帶來更多安全風險。
在 4G 時代,很多安全焦點在於信號本身的安全。我們也有一個擔心,這樣安全的思路可能在 5G 時代仍然會被使用。
在 5G 流行起來的時候,我們沒有太多關注傳輸數據上的安全,就好比你用一個管道進行灌溉,可能只關心了管子本身是否安全,但是沒有關心這個管子裡的水是否乾淨和健康。
5G 和 4G 時代安全防護的重點區別在於數據量和本身對於數據的防護,對 4G 時代保護得好的安全方案可能在 5G 時代並不適用。
閱讀更多 雷鋒網 的文章
