网络安全的未来。未来一年不会发生的事情
这篇文章的一个版本最初出现在 黑暗阅读.它已被更新到这里,以便在这里进行联合传播。
在我们这个行业,许多安全专家都有预测来年热点问题的习惯(我也不例外),但由于2019年有超过50亿条敏感数据记录被盗,我想,预测2020年,甚至可预见的未来,网络安全领域不会发生什么,会更准确。
我和我的联合创始人马蒂亚斯-马杜坐下来,我们在整理这份清单时有一些笑料。它的目的是为了让你有一个轻松的展望,但它确实让你反思未来的漫长道路,以加强每个组织对恶意网络攻击的防护。
现在,让我们看看我们的水晶球,揭开我们的预测。我们将不会看到。
从所有软件中根除SQL注入
我想地球上的每一个安全专家都在等待这样的一天:他们不再为识别SQL注入错误而出轨,不厌其烦。
可悲的是,我们等待这一天已经有二十多年了,而且我们至少还要继续等待。这是一个漏洞,就像一只蟑螂一样,在迄今为止的每一种根除它的战术中都幸存下来。
至少可以说这是令人沮丧的,因为补救措施已经知道了相当长的时间。然而,在软件开发的每个阶段(尤其是从一开始),安全最佳实践的优先级仍然太低,而且鉴于自发现SQL注入以来代码生产的大量增加,肯定是不够的。
(想了解更多关于可能导致SQL注入的编码模式?在这里接受挑战)。)
开发人员和AppSec成为最好的朋友
啊,开发人员和AppSec团队。他们会相处得很好吗?还是说他们注定要像洛基与阿波罗一样,过着敌对的生活?简短的回答是,是的,他们可以相处,但现在他们的优先事项往往非常不同。
当他们在项目环境中相遇时,他们的立场是相反的,并在最后一关发生冲突:当应用安全专家正在仔细研究开发人员的代码时。开发者已经建立了漂亮的功能特性(这是他们的首要任务),如果发现安全漏洞,就会被撕碎。软件安全专家实际上已经把他们的宝贝说成是丑陋的,并迫使开发人员回去修复任何错误,这往往会推迟部署。
在我们目前的状态下,除非开发人员和AppSec团队致力于一个共同的目标,即创建安全的软件,否则这个问题不会被解决。这不会在2020年作为一个默认的过程发生(对许多公司来说,在那之后的几年里也不会发生),但随着DevSecOps运动的出现,以及其他方面,开发人员认识到需要提高安全方面的技能,并按照更高的标准工作;一个从一开始就包括安全目标的标准。
安全专业人员供过于求
在2020年、2025年、2030年......几乎可以保证,当涉及到安全专业知识时,我们将在全球范围内人手不足。
根据ISC(2)的一份报告,目前约有293万个网络安全职位未被填补。几乎可以肯定的是,这种情况在好转之前会变得更糟,而且没有隐藏的安全军队等待在未来几年内向我们进军。
在不久的将来,我们解决这种技能短缺的最好机会是将安全作为组织的优先事项,并提高现有劳动力的技能,这意味着赋予开发人员安全编码的培训和工具,以及创建一个全公司的安全文化。目前的大多数AppSec团队可能正在与众所周知的旧安全漏洞作斗争(见上文第1点)。如果我们确保他们不必花费宝贵的时间和精力来修复这些常见的问题,他们就会有更多的带宽来关注棘手的安全问题(目前,这些问题很可能包含了API的问题,以及建立能够适应开发管道的工具)。
产生的代码更少
世界正在以惊人的速度数字化,而社会需求也不会动摇。每年大约有1110亿行代码,这个数字只会越来越大,越来越可怕(无论如何,对于已经捉襟见肘的AppSec团队来说)。
代码量的增加不可避免地增加了潜在的安全漏洞,所以任何关于2020年是软件生产和违规行为较少的一年的想法,就像独角兽比赛在国家大剧院举行一样现实。
数据记录被盗的情况减少
正如我所说,更多的代码意味着更多的漏洞,这为攻击者提供了更多的机会,使他们能够找到窃取数据的方法。
2019年全球至少有53亿条记录被盗,对攻击者的防御仍然是一种无奈的、被动的争夺。这个数字在未来12个月内可能不会翻倍,但我认为会接近。
作为一个例子,让我们看看美国报告的被盗数据同比的历史趋势。
从2005-2010年这段时间来看,有一个稳定的上升,各年之间有一些起伏。这很有意思,但需要强调的一个重要因素是,与2008年相比,2009年报告的违规事件数量大幅下降。然而,尽管违规事件减少,被盗记录的数量却明显增加。
数据记录是新的黄金;它们对攻击者有价值。该图表反映了违规行为和被盗记录数量的总体上升趋势,在2017年出现了一个巨大的峰值。2018年攻击的数量呈下降趋势,也许是由于更严厉的安全措施,但获得的记录数量是有史以来最高的。网络攻击将变得越来越复杂,数量越来越大,而且不会很快消失。而在全球范围内,我们不太可能在2020年看到衰退,因为公司迅速生产出比以往更多的软件。他们是我们数据的看门人,需要更聪明地工作以保护我们的隐私。
开发人员要求更长、更频繁的基于视频的安全培训
如果有一件事是开发人员喜欢的,那就是观看数小时的基于计算机的培训(CBT)视频。事实上,对这种吸引人的内容的需求如此之大,Netflix将宣布一个全新的子类别,专门用于通用安全培训视频。
呃,不。现在不行,2020年不行,永远不行。
对于开发人员来说,他们对安全的介绍往往是通过工作场所的合规培训。安全编码很少是他们高等教育的一部分,而在职培训可能是他们第一次接触到软件安全。而且,毫不奇怪的是,他们往往不喜欢这样。
为了让开发人员认真对待安全问题,也为了让培训变得有用,培训必须与他们的工作相关、有吸引力并与他们的工作相关。一次性的合规性培训--或无休止的枯燥视频--并不是通往开发者内心的道路,也不会减少漏洞。
如果你想让开发者群体有机会成为针对常见漏洞的安全意识的防御力量,让他们使用真实的代码例子--他们在日常工作中会遇到的那种。让学习变得简单易行,易于巩固,并以有趣的方式激励他们。为使安全文化蓬勃发展,它必须是积极的、有吸引力的,并在整个组织内发展真正的技能和解决方案。
谁知道呢?通过正确的培训,开发人员可能会认识到他们内心的安全冠军,并将安全编码的好处传播得更远更广。
网络安全相关事件造成的死亡人数为零
好吧,这显然不是一件可笑的事情。我已经说过很多次,在人们开始死于与网络攻击有关的事件之前,世界根本不会关心网络安全问题。
问题是,这种情况已经发生了,而且基本上没有被注意到。
针对美国医院的网络攻击与2019年心脏病发作死亡人数的增加有关。当然,攻击者并没有造成患者的致命心脏事件,但他们对医院系统和设备的勒索软件攻击减缓了危重病人的治疗时间。
中佛罗里达大学的这项研究分析了3000家医院,其中311家经历了数据泄露。在那些受到安全事件影响的医院中,他们给疑似心脏病患者做心电图的时间平均延长了2.7分钟;可能是由于程序变化、新实施的安全措施和IT支持问题占用了比以前更多的时间。识别和治疗心脏病发作是一场与时间的赛跑,这些医院平均每年每10,000次心脏病发作会增加36人的死亡。
这是令人震惊的,而且不幸的是,我认为在情况好转之前,情况会变得更糟。这应该是一个严峻的提醒,我们都需要做更多的工作来提高软件安全,并使其成为每个企业的首要考虑因素。
更少的 "带帽黑客 "的图片库
如果你在图片搜索中输入 "黑客",你将不可避免地发现数以千计的图片,其中有一个戴着头罩、不露面的人物在笔记本电脑上打字,或一个戴着盖伊-福克斯面具的类似人物。
这种对黑客的刻板印象真的很让人厌烦,而且,让每个人看起来都像个坏人。有很多安全方面的好人和女孩,围绕 "黑客 "形象的负面内涵对每个人都是一种伤害。
我看到这种情况很快就会改变吗?也许不会,但做做梦也不错。现在,重要的是要记住,安全不一定是可怕的。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
网络安全的未来。未来一年不会发生的事情
这篇文章的一个版本最初出现在 黑暗阅读.它已被更新到这里,以便在这里进行联合传播。
在我们这个行业,许多安全专家都有预测来年热点问题的习惯(我也不例外),但由于2019年有超过50亿条敏感数据记录被盗,我想,预测2020年,甚至可预见的未来,网络安全领域不会发生什么,会更准确。
我和我的联合创始人马蒂亚斯-马杜坐下来,我们在整理这份清单时有一些笑料。它的目的是为了让你有一个轻松的展望,但它确实让你反思未来的漫长道路,以加强每个组织对恶意网络攻击的防护。
现在,让我们看看我们的水晶球,揭开我们的预测。我们将不会看到。
从所有软件中根除SQL注入
我想地球上的每一个安全专家都在等待这样的一天:他们不再为识别SQL注入错误而出轨,不厌其烦。
可悲的是,我们等待这一天已经有二十多年了,而且我们至少还要继续等待。这是一个漏洞,就像一只蟑螂一样,在迄今为止的每一种根除它的战术中都幸存下来。
至少可以说这是令人沮丧的,因为补救措施已经知道了相当长的时间。然而,在软件开发的每个阶段(尤其是从一开始),安全最佳实践的优先级仍然太低,而且鉴于自发现SQL注入以来代码生产的大量增加,肯定是不够的。
(想了解更多关于可能导致SQL注入的编码模式?在这里接受挑战)。)
开发人员和AppSec成为最好的朋友
啊,开发人员和AppSec团队。他们会相处得很好吗?还是说他们注定要像洛基与阿波罗一样,过着敌对的生活?简短的回答是,是的,他们可以相处,但现在他们的优先事项往往非常不同。
当他们在项目环境中相遇时,他们的立场是相反的,并在最后一关发生冲突:当应用安全专家正在仔细研究开发人员的代码时。开发者已经建立了漂亮的功能特性(这是他们的首要任务),如果发现安全漏洞,就会被撕碎。软件安全专家实际上已经把他们的宝贝说成是丑陋的,并迫使开发人员回去修复任何错误,这往往会推迟部署。
在我们目前的状态下,除非开发人员和AppSec团队致力于一个共同的目标,即创建安全的软件,否则这个问题不会被解决。这不会在2020年作为一个默认的过程发生(对许多公司来说,在那之后的几年里也不会发生),但随着DevSecOps运动的出现,以及其他方面,开发人员认识到需要提高安全方面的技能,并按照更高的标准工作;一个从一开始就包括安全目标的标准。
安全专业人员供过于求
在2020年、2025年、2030年......几乎可以保证,当涉及到安全专业知识时,我们将在全球范围内人手不足。
根据ISC(2)的一份报告,目前约有293万个网络安全职位未被填补。几乎可以肯定的是,这种情况在好转之前会变得更糟,而且没有隐藏的安全军队等待在未来几年内向我们进军。
在不久的将来,我们解决这种技能短缺的最好机会是将安全作为组织的优先事项,并提高现有劳动力的技能,这意味着赋予开发人员安全编码的培训和工具,以及创建一个全公司的安全文化。目前的大多数AppSec团队可能正在与众所周知的旧安全漏洞作斗争(见上文第1点)。如果我们确保他们不必花费宝贵的时间和精力来修复这些常见的问题,他们就会有更多的带宽来关注棘手的安全问题(目前,这些问题很可能包含了API的问题,以及建立能够适应开发管道的工具)。
产生的代码更少
世界正在以惊人的速度数字化,而社会需求也不会动摇。每年大约有1110亿行代码,这个数字只会越来越大,越来越可怕(无论如何,对于已经捉襟见肘的AppSec团队来说)。
代码量的增加不可避免地增加了潜在的安全漏洞,所以任何关于2020年是软件生产和违规行为较少的一年的想法,就像独角兽比赛在国家大剧院举行一样现实。
数据记录被盗的情况减少
正如我所说,更多的代码意味着更多的漏洞,这为攻击者提供了更多的机会,使他们能够找到窃取数据的方法。
2019年全球至少有53亿条记录被盗,对攻击者的防御仍然是一种无奈的、被动的争夺。这个数字在未来12个月内可能不会翻倍,但我认为会接近。
作为一个例子,让我们看看美国报告的被盗数据同比的历史趋势。
从2005-2010年这段时间来看,有一个稳定的上升,各年之间有一些起伏。这很有意思,但需要强调的一个重要因素是,与2008年相比,2009年报告的违规事件数量大幅下降。然而,尽管违规事件减少,被盗记录的数量却明显增加。
数据记录是新的黄金;它们对攻击者有价值。该图表反映了违规行为和被盗记录数量的总体上升趋势,在2017年出现了一个巨大的峰值。2018年攻击的数量呈下降趋势,也许是由于更严厉的安全措施,但获得的记录数量是有史以来最高的。网络攻击将变得越来越复杂,数量越来越大,而且不会很快消失。而在全球范围内,我们不太可能在2020年看到衰退,因为公司迅速生产出比以往更多的软件。他们是我们数据的看门人,需要更聪明地工作以保护我们的隐私。
开发人员要求更长、更频繁的基于视频的安全培训
如果有一件事是开发人员喜欢的,那就是观看数小时的基于计算机的培训(CBT)视频。事实上,对这种吸引人的内容的需求如此之大,Netflix将宣布一个全新的子类别,专门用于通用安全培训视频。
呃,不。现在不行,2020年不行,永远不行。
对于开发人员来说,他们对安全的介绍往往是通过工作场所的合规培训。安全编码很少是他们高等教育的一部分,而在职培训可能是他们第一次接触到软件安全。而且,毫不奇怪的是,他们往往不喜欢这样。
为了让开发人员认真对待安全问题,也为了让培训变得有用,培训必须与他们的工作相关、有吸引力并与他们的工作相关。一次性的合规性培训--或无休止的枯燥视频--并不是通往开发者内心的道路,也不会减少漏洞。
如果你想让开发者群体有机会成为针对常见漏洞的安全意识的防御力量,让他们使用真实的代码例子--他们在日常工作中会遇到的那种。让学习变得简单易行,易于巩固,并以有趣的方式激励他们。为使安全文化蓬勃发展,它必须是积极的、有吸引力的,并在整个组织内发展真正的技能和解决方案。
谁知道呢?通过正确的培训,开发人员可能会认识到他们内心的安全冠军,并将安全编码的好处传播得更远更广。
网络安全相关事件造成的死亡人数为零
好吧,这显然不是一件可笑的事情。我已经说过很多次,在人们开始死于与网络攻击有关的事件之前,世界根本不会关心网络安全问题。
问题是,这种情况已经发生了,而且基本上没有被注意到。
针对美国医院的网络攻击与2019年心脏病发作死亡人数的增加有关。当然,攻击者并没有造成患者的致命心脏事件,但他们对医院系统和设备的勒索软件攻击减缓了危重病人的治疗时间。
中佛罗里达大学的这项研究分析了3000家医院,其中311家经历了数据泄露。在那些受到安全事件影响的医院中,他们给疑似心脏病患者做心电图的时间平均延长了2.7分钟;可能是由于程序变化、新实施的安全措施和IT支持问题占用了比以前更多的时间。识别和治疗心脏病发作是一场与时间的赛跑,这些医院平均每年每10,000次心脏病发作会增加36人的死亡。
这是令人震惊的,而且不幸的是,我认为在情况好转之前,情况会变得更糟。这应该是一个严峻的提醒,我们都需要做更多的工作来提高软件安全,并使其成为每个企业的首要考虑因素。
更少的 "带帽黑客 "的图片库
如果你在图片搜索中输入 "黑客",你将不可避免地发现数以千计的图片,其中有一个戴着头罩、不露面的人物在笔记本电脑上打字,或一个戴着盖伊-福克斯面具的类似人物。
这种对黑客的刻板印象真的很让人厌烦,而且,让每个人看起来都像个坏人。有很多安全方面的好人和女孩,围绕 "黑客 "形象的负面内涵对每个人都是一种伤害。
我看到这种情况很快就会改变吗?也许不会,但做做梦也不错。现在,重要的是要记住,安全不一定是可怕的。
