預(yù)測2: 人才短缺問題與您的想象有出入
概述
關(guān)于全球網(wǎng)絡(luò)安全人才缺乏以及關(guān)鍵技能差距的說法由來已久�。根據(jù)(ISC)2 2018年網(wǎng)絡(luò)安全勞動力調(diào)查的最新研究,亞太區(qū)的網(wǎng)絡(luò)安全人才缺口為214萬����,因此該地區(qū)可能受影響最嚴重。
這種短缺是否可能是某些職位的期望值與實際需求之間不匹配的結(jié)果����?一些職位描述要求的資質(zhì)非常寬泛,這對于招聘到符合要求的管理人才是不現(xiàn)實的��。短缺數(shù)據(jù)是否準確反映了行業(yè)的實際需求�����?
預(yù)測:急需具備好奇心和解決問題的人才
除非大眾的網(wǎng)絡(luò)安全觀念從根本上發(fā)生改變,否則網(wǎng)絡(luò)安全將持續(xù)出現(xiàn)供不應(yīng)求的狀況����。要應(yīng)對這項挑戰(zhàn)有兩種互補的方法:采用自動化以及探索可替代的人才來源。
自動化將成為未來網(wǎng)絡(luò)安全的一個關(guān)鍵要素�����,因為不應(yīng)該要求人類——也不應(yīng)該期望人類——去做所有的事情����。相反,他們需要利用那些無法自動化的技能�,并專注于解決問題、溝通和協(xié)作等更高層次的任務(wù)���。這將需要重新審查當今的安全運營中心(SOC)結(jié)構(gòu)��,并相應(yīng)地改變這些新角色所需的專業(yè)人員類型,以便準確地識別并填補其中的一些空白���。企業(yè)和招聘人員不應(yīng)再追求鳳毛麟角的精英(他們并不存在?��。?�,而是應(yīng)該在合適的渠道發(fā)掘人才�。
2020年����,我們認為在職位評估上情商應(yīng)比智商更為重要,以尋找具備解決問題能力及好奇心的人才����,無論是工程師、分析師還是通信專家��。需要對技能提升以及跨技能培訓等被忽視的項目進行投資���,并將這些有能力的個人培養(yǎng)成我們需要的人才��。對于希望準確發(fā)現(xiàn)企業(yè)內(nèi)相關(guān)網(wǎng)絡(luò)安全技能差距的公司來說��,NICE框架中的員工類別是一個非常實用的起點���。
預(yù)測3: 對物聯(lián)網(wǎng)的探索無論對誰都將成為雷區(qū)。
概述
根據(jù)IDC數(shù)據(jù)�����,2019年在物聯(lián)網(wǎng)領(lǐng)域的支出亞太區(qū)將引領(lǐng)全球,約占全球支出的36.9%�����。但時至今日�����,安全可能仍是產(chǎn)品開發(fā)過程結(jié)束后才會想到的事情�。一些持續(xù)出貨的聯(lián)網(wǎng)設(shè)備并沒有提供后續(xù)的軟件更新和安全補丁,從而導致易于利用的常見漏洞��。到2020年�����,物聯(lián)網(wǎng)安全面臨的潛在威脅(例如DDoS攻擊)將越來越多�����,這一問題將進一步惡化���。
我們已經(jīng)看到,這些攻擊,包括Mirai僵尸網(wǎng)絡(luò)通過不安全的聯(lián)網(wǎng)設(shè)備發(fā)起的攻擊���,可以破壞流行的全球網(wǎng)絡(luò)平臺�����。除了目前已經(jīng)利用的18個漏洞外��,Mirai惡意軟件最近又新增了8個漏洞��,其目標從無線演示系統(tǒng)到機頂盒���、SD-WAN甚至是智能家居控制器等一系列設(shè)備,對企業(yè)和聯(lián)網(wǎng)家庭構(gòu)成了威脅�����。隨著越來越多的物聯(lián)網(wǎng)產(chǎn)品進入市場����,網(wǎng)絡(luò)威脅被悄悄地隱藏了起來。當有人踩到這些地雷時會發(fā)生什么�?
預(yù)測:您要提防家里的無線門鈴可能會引來不速之客
2020年,我們預(yù)計物聯(lián)網(wǎng)安全的發(fā)展將在兩個關(guān)鍵領(lǐng)域展開:個人及工業(yè)物聯(lián)網(wǎng)��。不論是聯(lián)網(wǎng)的門鈴攝像頭,還是無線揚聲器系統(tǒng)�����,我們將看到通過不安全的應(yīng)用或薄弱的登錄憑證入侵的攻擊模式不斷增長���。便利的深度偽造技術(shù)的出現(xiàn)使這種威脅變得更加復雜��,該技術(shù)可能會對語音或生物識別控制的聯(lián)網(wǎng)設(shè)備構(gòu)成威脅�。模仿最強大的生物識別裝置以訪問和控制聯(lián)網(wǎng)系統(tǒng)��,它將影響家庭和企業(yè)環(huán)境�。
對于企業(yè)而言,我們預(yù)計作為許多亞洲經(jīng)濟體關(guān)鍵支柱的制造業(yè)也將發(fā)生重大變化�����。制造商希望部署傳感器�、可穿戴設(shè)備和自動化系統(tǒng),以通過數(shù)據(jù)收集和分析簡化生產(chǎn)��、物流和員工管理流程�。企業(yè)需要確保聯(lián)網(wǎng)設(shè)備能夠利用諸如內(nèi)置診斷、持續(xù)漏洞掃描和高級分析等自動化功能���,以保持對物聯(lián)網(wǎng)威脅的掌控�����。
聯(lián)網(wǎng)設(shè)備需要不斷進行改造和更新����,以確保安全��。全球各國政府——包括亞太地區(qū)的政府——也越來越傾向于發(fā)布與物聯(lián)網(wǎng)設(shè)備安全相關(guān)的指導或法規(guī)��。此外���,行業(yè)標準組織也在努力制定物聯(lián)網(wǎng)設(shè)備的相關(guān)安全標準�����,如ISO/IEC 27037標準草案����。這兩種趨勢肯定會在一定程度上影響物聯(lián)網(wǎng)設(shè)備的部署����。我們還希望優(yōu)先考慮對公眾的相關(guān)教育以適應(yīng)聯(lián)網(wǎng)設(shè)備的快速增長和普及���。
預(yù)測4: 數(shù)據(jù)隱私界限越來越模糊。
概述
互聯(lián)網(wǎng)協(xié)會2018年針對亞太區(qū)政策議題的調(diào)查發(fā)現(xiàn)�,超過70%的受訪者希望自己的個人信息在收集和使用方面能夠擁有更多控制權(quán)。然而��,大多數(shù)人為獲取短期利益(例如熱門應(yīng)用���、手機游戲或在線比賽)而提供個人信息時卻毫不猶豫�����。這一行為說明:某些新興市場對網(wǎng)絡(luò)安全的意識不足�����,而在其它市場��,如新加坡等�,則對網(wǎng)絡(luò)安全過于樂觀���。不幸的是���,數(shù)據(jù)隱私問題表明人們不僅對收集的數(shù)據(jù)缺乏認識����,而且對數(shù)據(jù)的使用也缺乏了解�����。人們不知道那些不為人知的事情�����。
為了幫助解決這一日益嚴重的問題并保護公民數(shù)據(jù)���,監(jiān)管機構(gòu)圍繞實施更嚴格的本地數(shù)據(jù)隱私法而展開行動。包括泰國在內(nèi)的一些國家/地區(qū)已經(jīng)通過了新的法律來管理對數(shù)據(jù)的保護���,要求企業(yè)在收集�����、共享和使用數(shù)據(jù)時更加注重隱私��。為了遵守歐盟的通用數(shù)據(jù)保護條例(GDPR)�,部分國家已經(jīng)開始采取行動��,例如日本最近對其數(shù)據(jù)隱私法進行了更新。對于企業(yè)而言���,注意法律完善程度和地區(qū)差異非常重要�����。
預(yù)測:更多的數(shù)據(jù)隱私法規(guī)��,以及數(shù)據(jù)主權(quán)-安全悖論
我們預(yù)計本地區(qū)將會出現(xiàn)更多的數(shù)據(jù)隱私法規(guī)�����。過去幾年印尼和印度一直在研究個人數(shù)據(jù)保護法案�����,盡管目前還不清楚這些法案最終是否會生效以及何時生效�����。該區(qū)域越來越多的提案也將需要其原籍國的住房數(shù)據(jù)�;這往往是出于隱私和安全方面的考慮�����。印尼政府2019年第71號法規(guī)的最新草案要求,公共機構(gòu)必須在印尼境內(nèi)管理����、處理和存儲數(shù)據(jù)(根據(jù)非官方翻譯)。我們預(yù)計會有更多的監(jiān)管提案來規(guī)范或限制數(shù)據(jù)的跨境流動��,特別是公共部門信息的遷移���。因此�,企業(yè)可能會考慮在本地建立更多的數(shù)據(jù)中心���,以更好地支持本地客戶。
然而���,企業(yè)必須注意����,建立本地化的數(shù)據(jù)中心并不一定會使數(shù)據(jù)更加安全���。因為網(wǎng)絡(luò)威脅沒有國界�����,個人終端用戶或企業(yè)之間的聯(lián)系日益緊密����,容易受到全球事件的影響。企業(yè)仍然有責任采用全面的網(wǎng)絡(luò)安全策略�,以支持跨網(wǎng)絡(luò)、端點和云端的操作和信息存取�����。為了有效地管理這些信息,企業(yè)需要定期評估他們收集的信息����,并控制信息的訪問。
我們預(yù)計�,在像東盟這樣高度互聯(lián)的地區(qū),企業(yè)需要更加密切地關(guān)注其數(shù)據(jù)流�����。盡管各國都在努力創(chuàng)建區(qū)域性統(tǒng)一個人數(shù)據(jù)保護方法(例如自愿通過APEC跨境隱私規(guī)則)��,但并沒有實現(xiàn)真正的統(tǒng)一��。為了創(chuàng)建最適合本地區(qū)的框架,私營部門和公共部門之間需要緊密合作��,以便在面對不斷出現(xiàn)的新興威脅時評估如何識別和定義違規(guī)行為�����。
預(yù)測5: 云未來初見端倪:不要在動蕩中迷失方向
概述
整個地區(qū)對云應(yīng)用的態(tài)度和接受程度并不一樣����。盡管遷移到云是合理的,但是在將關(guān)鍵信息放入云時也需要謹慎�����。關(guān)于虛擬與物理設(shè)備優(yōu)勢的誤解仍然存在�����,讓問題變得更加復雜�����。
綜上所述����,我們預(yù)計云應(yīng)用的前景看好。企業(yè)開始意識到云方案的獨特之處�。亞洲的CIO們非常清楚地了解向云遷移對其數(shù)字化轉(zhuǎn)型戰(zhàn)略的意義,并將視其企業(yè)的成熟度而采取行動�����。我們也開始看到東盟各國政府朝著這一轉(zhuǎn)變做出了嘗試��;新加坡����、泰國和馬來西亞的政府機構(gòu)都宣布了在公有云領(lǐng)域的投資,而印度尼西亞則有望成為亞洲的下一個大型數(shù)據(jù)中心樞紐���。
預(yù)測:配置更加混亂
越來越多的企業(yè)也開始利用容器(即操作系統(tǒng)虛擬化)來提高效率和一致性并降低成本��。但是�����,暴露和配置錯誤的容器的潛在危險將很快出現(xiàn)��,使企業(yè)容易受到針對性的偵察���。使用正確的網(wǎng)絡(luò)策略或防火墻�����,或兩者并用�,可以防止內(nèi)部資源暴露于公共互聯(lián)網(wǎng)�。此外,投資云安全工具可以提醒企業(yè)注意當前云基礎(chǔ)設(shè)施中的風險�。
云安全的采用也面臨著一系列挑戰(zhàn)。受派拓網(wǎng)絡(luò)(Palo Alto Networks)委托���,著名研究機構(gòu)Ovum在其《亞太地區(qū)云安全報告》中指出����,80%的大型企業(yè)將安全性和隱私視為采用云服務(wù)的主要挑戰(zhàn)��。
主要發(fā)現(xiàn)包括:
- 78% 的中國受訪企業(yè)對云安全抱有過度信心�����,認為云供應(yīng)商提供的安全功能足以保護其免受威脅
- 亞太區(qū)的大型企業(yè)使用多種安全工具���,造成安全態(tài)勢的碎片化,尤其是當企業(yè)在多云環(huán)境中運行時�����。采用多云方式會導致危險的可視化缺陷,在中國�����,有77% 受調(diào)查的大型企業(yè)表示這一情況相當普遍����,高于亞太地區(qū)平均水平13個百分點。
- 報告顯示�,有三分之二(66%)的企業(yè)不能做到每年進行一次網(wǎng)絡(luò)安全態(tài)勢的審核,并且有26% 的這類審核并不包括對云安全的評估����。除了審核,有45%的中國企業(yè)無法做到每年對IT安全人員進行安全培訓���。鑒于大型企業(yè)沒有足夠的時間和資源來專門用于云安全審核和培訓�,因此顯然需要自動化���。
2020年還會有更多公司采用DevSecOps方法�,將安全流程和工具集成到新產(chǎn)品的開發(fā)生命周期中�。 這將是云和容器成功集成的未來方向�����。
果-1.jpg)
