过去的2019年里,从扰乱选举到有目标的勒索软件、到隐私法规,再到Deepfakes和恶意AI,2020年的141条网络安全预测远远不够,因此本文又公布了42名网络安全高管提供的网络安全预测。
Deep Instinct首席执行官Guy Caspi
2019年,网络安全行业开始结合AI探索安全解决方案。在接下来的几个月中,网络犯罪分子也开始应用AI,将AI和机器学习集成到其恶意软件程序中,以绕开和渗透目标系统。当前的网络安全措施依赖于“检测和响应”,但是随着攻击者开始利用AI绕过现有的解决方案,公司在这些看似无法检测的攻击中将处在下风。由此可见,在日常攻击中对基于AI的恶意软件防护变得越来越重要。
Checkmarx创始人兼CTO Maty Siman
到2020年,我们将看到越来越多的网络犯罪分子利用AI来扩大攻击范围。攻击者利用可学习的遗传算法犯罪,增加成功的可能性,人工智能将叩响恶意软件变种的大门。特别令人担心的是,这些变种通常会通过改变其签名或结构来绕过传统的防病毒解决方案,这意味着恶意有效载荷可以随意地对系统造成严重破坏。
Micro Focus公司CTO Stephen Jou
到2020年,至少有一家公司将宣布基于AI / ML的网络安全检测结果,倡导AI和ML的普及。随着AI / ML的发展,我们将看到这些工具的实际效用,它是一种加强行业网络防御的新方法,而不是人们认为的网络安全的“银弹”。
BlackBerry,CTO,Charles Eagan
在2020年,我们将看到未来人们可以在物联网中的无数个端点共享重要信息,因为利用AI技术不仅可用于主动监视和应对高级威胁,还可以在零信任环境中保护用户的安全。它不再是孤立的威胁预防和端点管理,而是动态(无摩擦)的解决方案,这些解决方案将这些产品结合起来,可以从动态平衡中消除人为错误,同时学习、适应并并赋能终端用户,使他们更具生产性、安全性和协作性。
ESG高级首席分析师兼研究员Jon Oltsik
2020年勒索浪潮袭来,至少有三个美国州将因此而宣布进入紧急状态。勒索软件今年的攻击成本超过100亿美元,将继续困扰缺乏合适的防护技能、控制对策的州和市政机构。如果情况更为严重些,我们预计全国会有20%的组织受到影响。
Veeam产品策略副总裁Danny Allan
在2020年勒索软件将继续占据头条新闻,并造成严重破坏。攻击的复杂性和勒索软件即服务将继续增加,组织会继续努力预防并及时作出响应措施。企业响应结果分为两类,一类从备份中恢复,一类则选择支付赎金。
Sophos首席技术官Joe Levy
在未来几年中,网络安全行业尝试并采用机器学习社区新技术的速度将继续提高,使系统能够在保护信息系统及其用户方面做出半自主甚至全自主的决策。这些新的防御技术至关重要,因为网络犯罪分子很可能会结合自动生成内容和人工操作来开展有目标的攻击,从而逃避当前的防御,执行“人脑(湿件)”攻击。
Everbridge首席技术官Imad Mouline
尽管个人数据隐私权近期成为人们关注的焦点,但在安全领域,用户对自己的数据共享却愈加宽容。物理和网络安全市场涌现越来越多的利用AI的威胁情报和安全解决方案案例,这使得访问数据的方式变得更加智能。在2020年,组织必须优先考虑围绕数据共享的教育培训,并教员工如何使用数据来增强安全性并优化机器学习与人类之间的平衡。
White Ops联合创始人兼总裁Michael Tiffany
人工智能驱动的决策无处不在。我们遵循它的工作方式,但我们并不能完全理解。这产生了一种新型漏洞,因为无法测试培训之外的情形。网络罪犯不关心也不用遵守隐私法规,他们可以利用这个优势开展攻击。2020年,如何检测AI行为最优化的操作将是最难的操作。
Centrify网络安全专员Torsten George博士
攻击者使用AI来分析防御机制和模拟行为模式的频率将会增加,绕过安全控制、利用分析和机器学习来入侵组织。攻击者(其中许多将由国家资助)使用更加复杂的AI算法来分析组织的防御机制,并针对特定的薄弱区域定制攻击。我们还将看到黑客访问组织的数据流,并使用数据来进一步编排更复杂的攻击。
Flexential首席执行官Chris Downie
在2020年,随着AI技术投入增加以及面部识别技术的不断发展,我们将看到越来越多政府当局宣布隐私法规,规定企业可以使用和不能使用的数据。来年,这种技术将应用于市政机构,并探讨与此相关的网络安全漏洞。
Mitek首席技术官Stephen Ritter
Deepfakes对2020年选举将产生重大影响,因为人们的真实身份变得越来越难以验证。这项技术将用于生成虚假视频,污蔑政治候选人说过什么或者做过什么,并且这些视频近乎可以实时制作。视频内容在社交媒体网络上快速传播,进一步加剧风险,公司通常需要一些时间才能从其平台上删除虚假视频内容。散布虚假信息的各类方法越来越多,也越来越复杂,选民需要更加警惕信息源的安全性。
Veritone首席执行官Chad Steelberg
人工智能机器人和Deepfakes将挑战选举中的公平公开,这是任何民主的支柱之一。该技术应用广泛,难以检测且功能强大,预计2020年美国总统大选的各党派都会使用该技术。
ZeroFOX威胁研究人员Ashlee Benge
对于2020年Deepfakes的一个巨大担忧在于其可用于勒索胁迫,特别是在性勒索方面,与AI Deepfakes一样,可以制造任何人的虚假视频。利用虚假性资料进行勒索更容易成功。在2020年,监管机构将意识到有必要对包含Deepfakes虚假图片和视频相关内容在内的报复色情法律的更新。
Auth0首席安全官 Joan Pepin
在上次选举中,外国黑客在利用社交低调干涉方面做得很好。要使美国民众失去信心,不需要真的去入侵电脑传播信息,新闻报道,宣传和特技在动摇公众信心方面不会让你失望。
CyberX工业网络安全副总裁Phil Neray
到2020年,网络战依然是一项外交策略。网络武器越来越多地与传统的动能武器一起用于地缘政治冲突当中。美国85%的关键基础设施为私有部门所有,但是国防部和联邦调查局既没有资源也没有法律来保护这些关键的民用资产,企业将需要大大增强其网络防御能力来抵御网络战。
SAP首席创新官Max Wessel
互联网的碎片化将推动软件的大型商业模式创新。为了避免触及法律,公司会更好地把握存储数据和加密密钥的法律界限。到2020年,公司将开始依托国家法律界限为客户提供更好的数据安全保护。
Ground Labs联合首席执行官兼首席架构师Peter Duthie
如今,数据比黄金更有价值,而意识到这一点的不仅仅是首席执行官和首席营销官,网络罪犯也已然察觉。在新的十年开始之初,组织需要更加重视数据存储位置,划分数据敏感程度以及如何保护。诸如《加州消费者隐私法案》(CCPA)之类的新合规标准协助组织制定良好的数据管理策略以更好地进行数据保护。
Honeywell Building Solutions网络安全全球总监Mirel Sehic
面对日益增长的网络威胁,企业在运营技术系统防护方面也在大踏步前进,因此网络安全全球标准的制定应是行业的重中之重。
Everbridge信息安全高级总监Munya Kanaventi
2020年供应链攻击将会增加,保护和管理供应链对于运营生存至关重要。越来越多的组织将其供应链转移到云上,并建立了规模较小的利基组织,以支持专门技能,这些技能将增加潜在的漏洞和管理挑战。企业必须拥有适当的解决方案,能够全面了解其供应链网络,并使用各种工具迅速识别并应对威胁。
Privitar首席架构师Brad Schoening
在2020年,人们将认识到当前网络安全的方法论不足以保护我们的个人数据。 2019年,数十亿的敏感记录被盗,公众将会惩罚那些不采取实际措施保护用户数据的组织。
TeleSign数据解决方案高级总监Guillaume Bourcy
随着联网设备的增加,2020年5G攻击的数量也将增加。主要威胁在于黑客如何利用联网设备漏洞访问相关帐户。对此,采取重要的措施才能确保客户账户足够安全。
Radial 技术服务高级副总裁,KC Fox
2020年,网购依然火热,促销欺诈逐渐减少,取而代之的是CNP支付欺诈,更为诈骗分子所青睐。预计到2023年,诈骗增长率将达到14% ,零售商损失将达1300亿美元。 2020年,全渠道购物攻击也将增加,商家现在会在越来越多的设备上预防欺诈,犯罪分子比以往任何时候都更容易跨渠道窃取凭据。
Tandigm Health总裁Ingari
由于安全企业之间复杂而脆弱的’业务伙伴’关系,网络安全使得运营效率成为医疗保健IT组织的核心关注点,其中许多企业正努力管理自己的基于传统系统的多语言技术基础架构。
Synopsys的高级解决方案架构师Dennis Kengo Oka
当前出现了两个主要趋势,第一个是CASE(连接,自治,共享,电气)的概念。5G等技术增强人们之间的连接,开源软件(例如,汽车级Linux)也逐渐发展,人们还应该关注汽车之外的东西(即安全)。黑客将利用更新的、更为先进的攻击手段来入侵汽车相关的后端系统、移动应用、基础设施和服务。
Omnitracs首席信息安全官Sharon Reynolds
到2020年,除了勒索软件和企业电子邮件泄露的情况有所增加之外, API勒索也将增加。提供SaaS和IT解决方案的许多企业具备多个开放的API,这会增加安全风险。现在,我们需要分析和确定API网关的基线正常性,以检测异常情况和攻击者的潜在手段。作为安全专家,我们需要继续领导我们的公司提高安全防御能力,并积极采取有效措施,在API受到攻击时,我们能够采取具体防御措施,并进一步增强自身的抗灾能力。
Mimecast威胁情报副总裁Joshua Douglas
在2020年,企业专注于简化终端用户体验,创建即时通讯并自动执行日常任务。在2020年,我们将看到针对生产平台和移动平台的攻击有所增加,然而,容易被人忽视的是这些新工具的安全隐患,并且攻击者已开始利用其优势进行访问和隐藏。因此,在2020年我们可以看到攻击者仍热衷于利用这些平台开展攻击。
Rapid7物联网研究负责人Deral Heiland
2020年,整个城市将继续部署智能技术,打造智能城市,影响范围包括照明、交通控制、移动解决方案、消防和安全运营在内等多个领域。预测会看到更多针对他们的网络攻击(例如勒索软件和恶意软件),这将极大地破坏智能技术以及智能城市的运作方式。同时,对人们的日常生活产生严重影响,甚至可能使城市生活崩溃。
Karamba Security联合创始人兼首席科学家Assaf Harel
来年,智能城市将寻求嵌入式网络安全。网络攻击者可以通过远程执行代码来破坏智能设备,甚至使它们瘫痪,改变这些设备先进便民的运转模式。无法控制这些软件定义系统将导致包括基础架构中断,直接负债和勒索软件等一系列后果,且远不止于此,攻击者可以摧毁公共设施、学校和购物中心,甚至关闭整个电网。
GetWellNetwork首席技术官Robin Cavanaugh
到2020年,医疗保健组织(HCO)将采取以下步骤来缓解日益增长的安全性风险:(1)趋向于采用包括HITRUST在内的安全标准,并要求组织的所有系统都具有更高级的控制和认证;(2)更密切地监视用户行为和活动以进行风险控制;(3)放慢计划中的创新和发展的步伐,在风险状况防御方面稳步前进。
Micro Focus网络战略家Neil Correa
越来越多的消费者要求掌控自己的数据,不仅在数据用途方面,更在企业使用用户数据目的的方面。能够提供这种选择服务的企业将能够辨别出哪些服务、分析和用户数据相关,并且具体化消费者个体的数据集,在2020年这种能力将成为企业之间的显著差异。
ManageEngine副总裁Rajesh Ganesan
所有账号只用一个密码,或者密码用个人信息构成,比如生日,显然这都极具风险。那么,网站现在为我们提供的随机生成的密码呢?是否安全?仅仅因为该网站建议使用经过验证的安全密码(将随机符号和字母组合在一起),但这并不能确保能够免受网络黑客的攻击,在不久的将来,网络黑客可以配置这些算法并启动下一波密码黑客浪潮。
Sumo Logic安全业务部副总裁兼总经理Greg Martin
到2020年,网络安全人才愈加匮乏,同时网络犯罪分子的攻击技术愈加复杂,SIEM和SOC领域引进更新周期。明年,公司将增加安全分析和自动化技术的使用,弥补安全团队人员不足和警报疲劳的缺陷,保护关键任务系统和敏感的客户数据。我们还将看到一波创新浪潮,专注于网络安全方面,将SecOps团队从反应型转变为主动型。
Sift产品营销副总裁Geoff Huang
数据泄露和黑客入侵事件依然常常占据2019年的头条新闻。但是,随着用户数据窃取越来越多,2020年将成为帐户接管的一年。随着网络攻击和数据泄露变得司空见惯,帐户接管的攻击将呈上升趋势。
Eaton电气部门高级副总裁兼首席技术官Michael Regelski
随着整个物联网自动化程度的提高,在维护可信环境方面,支持传统基础架构的需求将带来更多挑战。到2025年,我们可能会有超过750亿个联网设备,从而产生无法满足的电力需求和大量的安全漏洞。从行业和供应商的角度来看,重点将是防止电力中断,确保网络安全的同时保证可正常运行时间。在2020年,这是一个日益严峻的挑战。
Netwrix产品管理副总裁Ilia Sotnikov
随着组织在数据安全方面投入越来越多的预算,因此董事会期待这些投资有双重效用,一是改善信息资产安全,二是通过提高用户生产力或减少法律和合规性运营支出来推动业务发展。他们将需要特定的指标和定期报告来表明这些效用正在实现。
Bitglass联合创始人兼CTO Anurag Kahol
2020年的并购交易数量将会增加,安全性必须成为任何并购战略的关键组成部分。万豪在2018年收购喜达屋,也并购了“数据漏洞”,因此公司要引以为鉴。如果公司缺乏能够对自己的系统以及将要收购的公司的系统无法提供足够可视性的解决方案,我们将在2020年看到类似的数据泄露案件。
DivvyCloud联合创始人兼首席技术官Chris DeRamus
在2020年,企业持续上云,我们将看到大量由于配置错误而导致的数据泄露。由于科技更新换代的压力,开发人员经常以创新的名义绕过安全性,这就容易导致大规模的数据泄露。
Cradlepoint公共部门和公共安全营销总监Estee Woods
5G、AI、LMR + LTE和UAS将成为公共安全领域的最大推动者。 2020年,智慧州将取代智慧城市,万物互联。如果没有蜂窝或者宽带连接,则专用LTE网络将填补该覆盖范围的空白。云、边缘计算以及5G将使AI技术和机器学习成为可能。
Infoworks首席执行官Buno Pati.
GDPR和CCPA(加利福尼亚消费者隐私法案)只是保护消费者数据的冰山一角。在接下来的十年中,随着政府和监管机构制定新的隐私法规,消费者对个人数据的控制有望大大提高。随着时间的推移,这些监管措施可能使得个人数据完全掌握在个人的手中,消费者可以直接将其数据货币化或直接交换商品和服务数据。
OSIsoft首席技术官Richard Beeson
一直以来,IT安全都是重中之重,但是未来对OT安全的关注将不亚于IT安全。 OT安全用于保护机器人生产、炼油设备、核反应堆、变电站等免受攻击者的侵害。 OT和IT安全漏洞之间存在很大差异,OT需要改进其防护方法。
CircleCI首席执行官Jim Rose
在2020年,DevOps的构建、测试和组件部署将成为工作重心。DevOps流程的支柱环节日益受到重视,即构建、测试和部署,应如何优化这软件开发的关键组件。答案在于持续集成和持续交付。 CI / CD是一个过程,是一种思维变化。由此可以快速移动并测试更小的装置,最终构建出更高质量的应用程序。现在开始并经常测试,开发人员需要执行两次以上的自动化测试。
