年底總是會讓我們團隊有些興奮，因為我們需要回顧這一年，分析我們?nèi)甑墓ぷ髑闆r，并展望未來一年的發(fā)展。在充分利用我們團隊在數(shù)據(jù)和應用程序安全方面的專業(yè)知識和挖掘全球客戶群的洞察力的基礎上，我們決定采用不同的方法，重點關注我們認為2019年將成為焦點的三個最重要趨勢。

2018年，數(shù)據(jù)和應用安全事件出現(xiàn)激增，正如我們預測的那樣，數(shù)據(jù)泄露的規(guī)模和頻率都在增長，云安全在全球范圍內(nèi)占據(jù)了中心位置。就這一點，我們來看看明年的情況。

數(shù)據(jù)泄露事件不會很快消失

數(shù)據(jù)泄露肯定還會出現(xiàn)，這將導致監(jiān)管變嚴。事實上，2018年美國數(shù)據(jù)泄露事件的平均成本超過700萬美元。

無論是GDPR，澳大利亞隱私法，泰國的新隱私法還是土耳其的KVKK;無論你身在何處，法規(guī)將會成為一種標準，這種標準可能是地區(qū)性的，集團內(nèi)的或是某個國家內(nèi)的。

以前，當我們看數(shù)據(jù)泄露事件，總是以美國為指向，但隨著監(jiān)管框架和隨后的合規(guī)措施在全球范圍內(nèi)擴展，情況將發(fā)生改變。

2019年，隨著我們向前發(fā)展，相關規(guī)章將會在全球相繼出臺，而不只是在美國。

如果黑客要竊取私人數(shù)據(jù)或信用卡詳細信息，為什么要在部署了世界級網(wǎng)絡安全措施的環(huán)境中進行呢？如果其他人的保護程度更低，那黑客就會找到有目標數(shù)據(jù)的人群，這樣的情況更多是出現(xiàn)在法規(guī)和合規(guī)操作不到位的地方。

因此，2019年，監(jiān)管機構(gòu)不一定會通過對公司進行大規(guī)模罰款來約束其操作。但是，你會發(fā)現(xiàn)很多公司在合規(guī)方面已開展了大量工作。

在管理風險方面，您要了解云計算

麥肯錫報告指出，到2020年，企業(yè)在云產(chǎn)品上的投入將是一般性IT服務的六倍以上；LogicMonitor的調(diào)查則表明，高達83％的企業(yè)工作負載將在同一時間上載到云端。

各企業(yè)會繼續(xù)利用數(shù)字經(jīng)濟帶來的商業(yè)利益，結(jié)果就是將更多數(shù)據(jù)整合到云中。現(xiàn)在，我們并不是說這種操作缺乏深思熟慮，問題在于他們是否會對數(shù)據(jù)進行分類，并逐漸將業(yè)務放到云端呢？

各團隊需要認識幾個問題：當他們將數(shù)據(jù)轉(zhuǎn)移到云端時，他們對云端內(nèi)容的認識也在發(fā)生改變；誰在使用云？什么時候使用云？以及他們?yōu)槭裁匆褂迷疲?019年不是企業(yè)認為他們需要這樣做的一年。然而，我們將看到越來越多的云友好型解決方案進入市場以解決這些挑戰(zhàn)。

社會工程和人工智能的興起

2019年最關鍵的發(fā)展之一將是網(wǎng)絡安全行業(yè)如何解決安全團隊日益增加的壓力。根據(jù)全球信息安全勞動力研究，到2022年，網(wǎng)絡安全專業(yè)人員的短缺將達到180萬，但與此同時，ESG的一份報告顯示，只有9％的千禧一代對網(wǎng)絡安全職業(yè)感興趣。

我們將看到，人工智能和網(wǎng)絡安全技術領域的機器學習縮小數(shù)量和技能多樣性的差距。

現(xiàn)在的企業(yè)需要雇傭?qū)I(yè)人員來解決網(wǎng)絡安全問題，包括網(wǎng)絡安全，應用安全，數(shù)據(jù)安全，郵件安全，現(xiàn)在還要加上云安全。無論是什么安全，這些技能對于任何企業(yè)的安全姿態(tài)都至關重要。

并沒有很多人了解云安全性，數(shù)據(jù)庫安全性，應用程序安全性，數(shù)據(jù)安全性或文件安全性。我們知道企業(yè)正在嘗試解決這個問題，通常都是走老路，這也是最常見的解決方案。做更多的反惡意軟件，做更多的反病毒軟件，收效有限。不過，他們也開始圍繞人工智能做些事情，并試圖利用技術來解決問題。后者將促成企業(yè)轉(zhuǎn)而使用訂閱服務。

有兩個因素在這種轉(zhuǎn)變中起推動作用：第一，事實上，他們意識到自己不是專家，但可以請專家。不幸的是，他們只是不直接接受雇請，專家們?yōu)槟切┨峁┻@項服務的公司工作。

其次，企業(yè)正逐漸認識到進入云計算的優(yōu)勢，因為這是一個決定性的因素，它屬于運營開支，而不是資本支出。訂閱服務也是如此，無論是在云端還是在本地，都沒關系。在技能短缺和成本的驅(qū)動下，2019年的訂購服務將會出現(xiàn)增長，各組織實際上正在為你解決網(wǎng)絡安全問題。

但是，我們應該補充一點，隨著越來越多的組織轉(zhuǎn)向人工智能和基于機器學習的安全控制決策，攻擊者將試圖利用這一點攻克相應的防御。

特別提到：網(wǎng)絡戰(zhàn)的“滴漏效應”

事實是，國家之間的網(wǎng)絡攻擊確實出現(xiàn)了，這是一種互相遷就的情況。這也是我們生活的世界，是可接受的行為類型，坦率地說，這些在現(xiàn)今社會不一定會導致戰(zhàn)爭，但有人仍然會從中獲益。

具體而言，他們正在攻擊第三方公司，承包商和金融機構(gòu)。這也是網(wǎng)絡安全如此重要的原因，你要意識到有人可能會竊取您的數(shù)據(jù)以獲取金錢收益。也許有人會竊取您的數(shù)據(jù)以獲取政治利益，所以保護這些數(shù)據(jù)是很重要的事情。

雖然國家型黑客攻擊不一定是開戰(zhàn)宣言，但其影響也不可小覷。民族國家黑客行為帶來的滴漏效應特別令人擔憂，因為各類政府最終會栽到資源豐富的網(wǎng)絡犯罪分子手中，這些網(wǎng)絡犯罪分子熱衷于攻擊企業(yè)和個人。

慣犯

在2017年Equifax數(shù)據(jù)泄露之后，API的安全性就躋身OWASP十大排行榜，并且仍有充分的理由蟬聯(lián)。隨著API的廣泛使用和面對檢測攻擊的不斷挑戰(zhàn)，我們將看到攻擊者繼續(xù)將API作為一系列威脅的重要目標，包括暴力攻擊，App模擬，網(wǎng)絡釣魚和代碼注入。

非法挖加密幣的人已經(jīng)知道加密挖掘是獲取利潤的最短途徑，他們會繼續(xù)改進技術破壞別人的機器，希望通過挖加密幣和可以訪問控制加密錢包的機器發(fā)財致富。

省力，輕松賺錢，完全匿名，可能對受害者造成巨大傷害......當談到勒索軟件時，你不喜歡它的哪一點？不過這類型的攻擊不太可能消失。

結(jié)論

如果一定要給2019年一個主題，那就是威脅情報的概念，就是對存在的危險有所了解并做一些事情，總比置之不理要好。

我們經(jīng)常談論風險與可接受風險（或合理風險）之間的差異，許多公司試圖解決自己所能遇到的每一個問題，最終不僅讓團隊感到不堪重負，還出現(xiàn)預算不足。

可接受的風險不是“因為我沒有有效阻止，所以導致數(shù)據(jù)泄露”。可接受的風險是“我知道它發(fā)生了，我接受它發(fā)生了，但它是一個合理概率的事件，因為我的控制不是那么具體，還沒有精細到可以解決所有風險，但我的管控使我可以承受風險。”

所以，最好是從今天開始，從你的規(guī)模和相關性開始做改進，即便這種努力把高風險降到中等程度的風險，或是合理可接受的風險程度。