IDG CSO编辑部 陈琳华

CSO网站今年再次对未来12个月可能发生的重大事件或趋势进行了预测，表达了我们对明年信息安全世界的期望和担忧。

预测一向很难，在混乱的网络安全世界中进行预测更是难上加难。当前威胁的类型很多，攻击性和防御性技术也在快速发展。由国家支持的网络攻击在范围和复杂程度方面均呈持续增长的势头。

这种网络“战争迷雾”使得人们很难看清或是正确评估每个趋势。例如，CSO网站2017年在对2018年的预测中就没能预料到“加密货币挖矿”威胁的快速上升。事后看来，这种通过相对容易实施的低风险网络犯罪即可实现非法获利的方法应该是不法分子的理想选择。

尽管如此，CSO網站还是成功地预测了一些趋势。例如，威胁检测流程的自动化程度越来越高，使用受破坏的物联网设备进行攻击的数量显著增长，网络犯罪的不断增长导致社会信任度下降。

CSO网站在2018年再次对未来12个月可能发生的重大事件或趋势进行了预测。 以下为其中排名前八位的趋势。

1. 勒索软件逐渐减少，但破坏力仍然惊人

随着犯罪分子转而以其他方式非法谋利，勒索软件将逐渐减少。CSO高级职员Steve Ragan称：“虽然勒索软件仍然是严重的问题，但是它们将很大程度上转变成为一种更具针对性的攻击。”根据卡巴斯基的统计，在2017年和2018年遭到勒索软件攻击的用户在数量上比2016年至2017年期间下降了近30%。

Ragan指出“尽管随机性下降了，但是它们选择的目标都是一些社会关注度极高的目标”。赛门铁克称，SamSam勒索软件背后的黑客组织目前正重点关注美国境内一些数量相对较少的组织机构，例如市政和医疗保健机构。

勒索软件威胁下降的原因是犯罪分子找到了加密货币劫持和其他更快捷的非法牟利之道。现有的加密货币挖矿工具的数量和质量意味着犯罪分子不需要熟练的技术。卡巴斯基认为，在过去一年中受到过加密货币挖矿攻击的用户数量增加了44.5%这一事实恰恰反映了这一点。CSO的专家David Strom称：“秘密挖矿软件在2019年将持续激增，恶意软件作者将利用它们来侵害用户的业务。只要攻击者能够从传播中迅速攫取不义之财，那么加密货币挖矿攻击就将会持续成为威胁。”

2.隐私监管和公众情绪将推动数据保护政策

CSO在2017年预测，欧盟将会迅速处罚一批违反《通用数据保护条例》（GDPR）的公司以儆效尤，但实际情况是上述预测并没有发生。尽管如此，对于泄露个人信息的行为进行处罚的风险在2019年将对企业的安全运营产生巨大影响。

这类罚单可能很快就会开出。CSO资深撰稿人J.M. Porup认为，“欧盟将会利用GDPR从严从重处理几家公司。从2019年上半年开始，执法将变得格外严格。涉嫌从事监视行为的公司，如谷歌和Facebook未来几年的日子可能会不太好过。目前相关部门已收到了大量投诉，其中一些投诉的对象就是谷歌和Facebook。”

欧盟在2019年对这些投诉的回应方式将进一步诠释GDPR和其他的隐私法规中的规定。如果GDPR没有做出回应，那也就说明了，企业不用认真对待这些监管。

由于人们对企业如何使用和保护个人信息日益关注，这使得越来越多的人认为企业应当承担起更多的责任。CSO撰稿人Roger Grimes称：“层出不穷的安全漏洞和其他不道德的信息披露促使消费者要求更多的默认隐私，并且能够掌控自己的信息。”

Grimes预测美国将于2019年在全国范围内制定类似GDPR的隐私法。目前《加利福尼亚州消费者隐私法案》已通过成为了法律，并将于2020年生效。美国参议员Ron Wyden在2018年11月1日已提交了《消费者数据保护法案》（CDPA）。该法案将对侵犯隐私权的行为进行严厉处罚，包括入狱。鉴于美国联邦政府目前的状态，该法案不太可能获得太多关注。与此同时，在美国大多数处理消费者数据的组织机构将寻求以GDPR和CCPA等法规作为指导。Porup认为“尽管华盛顿并不积极，但是加州和纽约将继续围绕消费者数据隐私展开协商。”

CSO撰稿人Maria Korolov称：“企业将会开始认真考虑隐私优先的数据方案，特别是当这些法律扩展到更多的辖区和特定的垂直行业时，如银行、医疗和支付行业。这些需要企业对收集、使用和共享数据的方式做出一些重大改变。”

3.国家对个人的攻击和监视将会增多

背后有国家支持或赞助的针对记者、不同政见者和政治家的网络攻击将继续增长。有相似意向的政府将对发生在自己境内的此类攻击视而不见。

国家监视本国公民的最恶劣案例可能要数沙特记者卡舒吉案件了。以色列《国土报》报道称，沙特政府在卡舒吉停留加拿大期间使用了以色列的网络武器对其进行了追踪。

以色列政府似乎是其他政府监视本国公民的主要技术出口国。《国土报》报道的另一则新闻称，多个国家正在使用以色列的软件来监视不同政见者和同性恋者。

4.微软将在其所有主流产品中内置高级威胁防护（ATP）

Windows 10高级威胁防护（ATP）服务允许任何拥有E5许可证的人查看底层操作，了解攻击者对系统所做的操作。该服务基于遥测，当计算机连接到ATP服务时即启动。

为了打造重视安全性的品牌形象，微软将继续不遗余力地为所有Windows版本设置ATP标准。CSO的Windows专家Susan Bradley说：“这将成为客户明年选择Windows产品而不是IBM红帽的一个关键卖点。”

5.多因素身份验证将成为所有在线交易的标准

虽然远非完美的解决方案，但是大多数网站和在线服务仍将会放弃单一的密码登录方式，转而使用指定的或可选的身份验证方法。一段时期内，不同形式的多因素身份验证可能会使用户感到困惑和无所适从。

Bradley认为“仅使用密码进行身份验证会让我们面临的网络钓鱼等攻击的风险越来越大。但事实上，所有厂商都在针对身份验证部署不同的系统，这意味着对双因素身份验证的管理将会把用户逼疯。在更为标准化的流程出现之后，情况才会好转。”

至少厂商方面已经在开始制定相关的标准。Strom称：“FIDO2浏览器增強功能和Duo/思科收购将会起到决定性的推动作用。预计明年将会出现更多的创新，这些创新将让双因素身份验证的使用更加便捷，更具吸引力。”

6.鱼叉式网络钓鱼更具针对性

攻击者知道他们拥有你的信息越多，他们就越能成功地对你发起网络钓鱼攻击。有些战术会令人有点毛骨悚然。Grimes称：“鱼叉式网络钓鱼的一个变化趋势是，为了开展网络钓鱼行动，黑客开始入侵电子邮件系统，并潜伏下来进行学习。然后他们会利用掌握的信息和联系人之间通过经常沟通建立起来的关系和信任。”

Grimes认为这种攻击的重灾区是抵押贷款诈骗。黑客会通过购房者信任的抵押贷款代理的电子邮箱向购房者发送电子邮件，诱骗购房者打款。“黑客先侵入抵押贷款放款机构的电脑，记录所有即将到期执行的将发生交易和其截止日期。通常抵押代理会在到期前一天发送电子邮件告知客户向哪里打款。这时网络钓鱼者会使用抵押代理的计算机发送带来虚假账户的电子邮件提醒打款。没有任何戒心的受害人会毫不犹豫的打款，而这些钱基本上无法被追回。这种诈骗最终会导致受害者失去房子（除非他们能够另拿出一笔钱进行还款，而大部分受害者都没有这种能力）。”

7.各国都在制定网络战规则

对于常规战争，大多数国家都已达成了一套基本共识，如不虐待战俘、不使用毒气、不屠杀平民。这些规则划定了界限，一旦有国家违反就会受到全球多数国家的谴责。

网络战争则没有这类规则，一些国家似乎认为自己可以做任何事情而且不受惩罚。“例如，朝鲜黑掉了索尼影业，俄罗斯通过网络攻击了工业关键控制系统并试图影响他国选举，美国和以色列使用恶意软件摧毁了别国核设备等等。数字边界正在受到考验，一些国家选择了反击。预计很快就会有一个关于数字战争的日内瓦公约。”

无论有没有建立起规则，一些国家都将继续在网络战争中突破界限。Korolov称：“网络攻击者将继续在一些国家得到庇护。他们将拥有比以往更多的资源，有的来自于政府，有的是勒索软件和加密货币劫持攻击攫取的不义之财所带来的。他们将使用这些资源来寻找新的攻击向量，提高恶意软件的弹性和适应性。在全球地缘政治发生重大变化之前，情况将持续恶化，而这种重大变化最早也要到下一次美国总统大选之后才会出现。”

8.更多企业将要求CSO/CISO拥有网络安全硕士学位

Porup预测，随着网络安全教育的持续成熟，安全专业人员在职业生涯中将无法单凭证书获得进一步发展。 “大杂烩式的安全认证体系已经无法提供适当的教育和培训了。”

Porup指出，“许多大学都在设置了网络安全硕士学位，包括加州大学伯克利分校和纽约大学等名牌大学。越来越多的企业希望聘用通过硕士教育获得了跨学科技术技能的首席安全官/首席信息安全官。”