2020年五大网络安全和网络犯罪预测

我们提炼了30份独立报告，专门讨论2020年的网络安全和网络犯罪预测，并在这篇文章中汇编了前五大最有趣的发现和预测。

合规疲劳将在安全专业人员中蔓延

《加利福尼亚州消费者隐私法》（CCPA）于2019年1月11日定稿，引发了持续的争议和辩论。

出于保护加州人的个人数据、防止不择手段的实体滥用或未经授权使用这些数据的值得称赞的目标，该法律对每一次故意违规行为处以高达7500美元的巨额罚款，对每一次非故意违规行为处以2500美元的巨额罚款。

该法案对处理或处理加州居民个人数据的组织具有强制执行力，无论其地理位置如何。与欧盟GDPR类似，数据主体有权控制其个人数据及其最终使用。

陷阱在于，如果每个美国州都引入自己的州隐私法，那么只有在美国领土上，一个州才能遵守50多条重叠规定，有时甚至是相互矛盾的规定，否则将面临严厉的经济处罚甚至刑事起诉。

由于地区、国家和跨国监管的激增，2020年可能会成为网络安全合规性受到侵蚀并开始迅速衰落的一年。鉴于一方的司法系统缓慢，另一方的网络安全技能不足，预算不足，网络安全专业人士可能会开始断然无视各种各样的多余法规。

第三方数据泄露将主导威胁格局

赛门铁克表示，2019年供应链攻击增加了78%。竞争和成功的企业通常以高水平的熟练程度和专业化来区分，集中所有可用的资源，在特定的市场上实现卓越，超越竞争对手。

因此，他们将大部分次要业务流程外包给熟练的供应商和经验丰富的第三方，从而降低成本，提高质量，加快交付。

遗憾的是，供应商也在动荡且竞争激烈的全球市场中运营，因此很少能为客户提供像样的网络安全和数据保护。

IBM表示，2019年发现漏洞的平均时间高达206天。然而，更糟糕的是，这种攻击很少被发现，这既是因为它们的复杂性，也是因为受害者缺乏技能，最终被安全研究人员或记者突然报道，并震惊了数据所有者。

网络犯罪分子非常清楚这一悬而未决的成果，并将继续有目的地瞄准这一最薄弱的环节，以获取你的数据、商业秘密和知识产权。

外部攻击面将在不受控制的情况下继续扩大

IDG的CSO Online数据显示，2019年，61%的组织经历过物联网安全事件。物联网和互联设备的全球扩散、公共云、PaaS和IaaS的使用极大地促进了业务并实现了快速增长。伴随而来的，往往是不被注意到的，是组织外部攻击面的增加。

简单地说；外部攻击面由攻击者可以从Internet访问并归属于组织的所有数字资产（也称为IT资产）组成。

传统的数字资产，如网络或web服务器，通常都有很好的清单，但RESTful API和web服务、混合云应用程序以及托管在外部平台上的关键业务数据，只是现代攻击面上不断涌现的数字资产的几个例子，这些资产仍然无人值守。

由于你无法保护你不知道的东西，这些数字资产中的很大一部分没有得到适当的维护、监控或任何方式的保护。

流氓移动应用程序、欺诈、网络钓鱼和盗用网站加剧了这种情况，通过正确实施的域安全监控可以检测到这些情况，这些监控现在开始为其在网络安全专业人士中的流行铺平道路。

总之，随着企业升级其IT并留下一系列模糊的数字未知因素，无论是内部的还是外部的，入侵就越容易、越快。

云错误配置将暴露数十亿条记录

《福布斯》称，到2020年，83%的企业工作负载将转移到云端。不幸的是，用于数据存储和处理的云的稳定增长远远超过了负责云基础设施的IT人员所需的安全技能和足够的培训。

Gartner报告称，大约95%的云安全故障是由客户而非公共云基础设施供应商的故障造成的。

不出所料，2019年的重大数据泄漏有很大一部分源于云存储配置不当，暴露了最大科技公司和金融机构的王冠明珠。

2019年7月，世界媒体报道了Capital One的违规行为，这可能是美国金融业最大的数据违规行为，影响了美国约1亿人和加拿大约600万人。

据报道，攻击者利用配置错误的AWS S3存储桶下载无人值守的极其敏感的数据。虽然Capital One仅估计其因该漏洞而遭受的直接损失达到1.5亿美元，但FBI后来披露，多达30家其他组织可能已使用相同的AWS错误配置遭到破坏。

可以预见，到2020年，云安全事件将成为数据泄露的根本原因。

密码重复使用和网络钓鱼攻击将激增

ImmuniWeb表示，仅对《财富》500强名单上的全球最大公司而言，2019年可能会发现2100多万份在黑暗网络中暴露的有效凭证。

网络犯罪分子更喜欢快速、无风险的袭击，而不是耗时的APT攻击、代价高昂的0天攻击或对SAP中复杂漏洞的连锁利用。

即使许多组织最终通过强大的密码策略、MFA和对异常情况的持续监控实现了可消费身份和访问管理（IAM）系统，但很少有外部系统包含在受保护的范围内。

这些灰色地带系统包括SaaS CRM和ERP，以及弹性公共云平台。即使攻击者在黑暗网络上发现或购买的密码无效，它们也为巧妙的社会工程活动、网络钓鱼和智能暴力攻击提供了大量创意。

通常情况下，从技术角度来看，这些攻击乍一看相当原始，表现出惊人的效率，并无情地破坏和削弱了该组织的网络安全恢复能力。

本周的解决方案

为了向读者提供一个强健且经济高效的解决方案，以应对上述五大新兴挑战，我们在2019年介绍了Gartner、Forrester和IDC强调的解决方案。我们认为简单性、可用集成和性价比是最重要的区别。

今天，我们理所当然地选择ImmuniWeb Discovery，原因有三个：它将攻击表面管理和暗网监控整合在一个产品中，对无限数量的受监控数字资产有固定价格，重要的是，该供应商积极开发其社区产品，目前每天运行超过50000次免费安全测试，帮助网络安全专业人员。