进行网络安全预测很有意思，但是对于必须要确定威胁并应对威胁的安全专业人员而言，这些预测并不一定有帮助。Akamai安全情报响应团队的高级工程师Chad Seaman说：“对于未来的发展，你无法真正做出准确的预测，因为总是有这样或那样的意外情况发生。”

如果2020年的最大威胁是新的并且无法预测的事物，那么我们如何才能更好地集中精力迎接新的一年？首先，我们要从规模和策略上研究2019年最大的威胁在2020年可能会发生什么变化。

首席安全官审查了有关2019年最常见的重大威胁的研究报告，并请这些研究人员就这些威胁的发展趋势以及企业在2020年如何调整防御措施提出建议。

感染设备的恶意软件

对于企业来说，保护端点仍然是一场战斗。据卡巴斯基的《 2019年IT安全经济学》报告显示，2019年约有一半的企业出现了企业设备遭到了恶意软件感染的情况。在这半数的企业当中，还出现了员工个人设备感染了恶意软件的情况。

对于企业而言，卡巴斯基报告中的企业设备遭恶意软件感染是代价最为昂贵的事件，平均每次事件的成本为273万美元。对于中小型企业来说，这个数字要少得多，大约为11.7万美元。

2020年展望：卡巴斯基安全研究员Dmitry Galov认为，员工拥有的设备在2020年带来的风险会增加。公司更倾向于通过允许员工使用自己的设备来削减成本，实现远程工作以及提高员工满意度。这导致攻击者只要对个人设备发动攻击就可以绕过企业的防御体系。他说：“默认情况下，用户的个人设备受保护的程度往往低于企业设备，因为普通用户很少采取其他措施来保护手机和计算机免受潜在威胁的影响。只要这种趋势持续下去，企业和员工拥有的设备就都会被感染。这种攻击向量仍然具有吸引力，因为攻击者不再需要再以公司账户为目标发动攻击（例如，将钓鱼邮件发送到企业）。”

针对2020年的最佳建议：企业必须审查并更新有关个人设备的策略，然后执行这些策略。Galov说：“严格的企业安全策略、正确的权限管理以及为用户提供安全解决方案已成为保护企业及其数据的必备条件。除了管理技术问题外，安全意识培训也很重要，因为它们可以在员工中培养并建立网络安全意识。”

网络钓鱼

据2019年Verizon的《数据泄露调查报告》显示，过去一年中，近1/3的数据泄露涉及网络钓鱼。对于网络间谍攻击，这个数字跃升至78%。2019年最糟糕的网络钓鱼新闻是，出现了制作精良的现成工具和模板，不法分子的网络钓鱼技术越来越高明。

Akamai的《2019年互联网安全状况报告：引诱上钩》披露了一名网络钓鱼套件开发人员开发的网络钓鱼即服务。该开发人员拥有店面并在社交媒体上打起了广告。价格从99美元起步，并根据所选的邮寄服务上调价格。所有套件均具有安全和规避功能。报告的作者称：“低廉的价格和以顶级品牌为目标很有吸引力，这为犯罪分子展开网络钓鱼降低了门槛。”这些目标企业包括Target、谷歌、微软、苹果、Lyft和沃尔玛等。

2020年展望：网络钓鱼套件开发人员将提供更多精致的产品，从而进一步降低展开网络钓鱼攻击所需的技能。据市场研究机构IDG的《安全优先级研究》显示，44％的企业表示，提高安全意识和员工培训优先级是2020年的重中之重。作为回应，攻击者将通过减少或隐藏网络钓鱼的常见迹象来提高网络钓鱼攻击的质量。攻击者可能会加大对商务电子邮件入侵（BEC）的使用力度，即通过欺诈性的或受感染的内部或第三方账户发送看起来没有问题的邮件进行网络钓鱼。

针对2020年的最佳建议：在反网络钓鱼培训中加入最新内容并使之持续进行下去。为了与BEC对抗，企业需要制定相应的策略，要求所有收到有关资金或付款说明请求的员工都必须通过电话进行确认。

勒索软件攻击

勒索软件攻击不是最常见的网络安全事件，但可能是代价最高的事件之一。卡巴斯基的《 2019年IT安全经济学》报告指出，2019年大约40％的中小型企业和大型企业经历了勒索软件攻击。在大型企业这一级，每起攻击事件的平均成本为146万美元。

Sophos Labs的《2020年威胁报告》指出，端点保护工具在检测勒索软件方面正变得越来越好，但这也迫使勒索软件开发人员对这些工具所的使用技术展开了更为深入的研究。Sophos的下一代技术工程总监Mark Loman表示：“更改恶意软件的外观要比更改其目的或行为容易得多，这就是为什么现代勒索软件依靠迷惑技术才能取得成功。但是到2020年，勒索软件将通过更改或添加特征来迷惑一些反勒索软件的保护措施，从而增加它们成功的机率。”

这种混淆是为了使勒索软件看起来像是来自受信任的来源。Sophos报告引用了几个示例：

· 编制脚本列出目标计算机，并将它们与Microsoft Sysinternals的PsExec实用程序、特权域账户和勒索软件集成在一起。

· 通过Windows组策略对象利用登录/注销脚本

· 滥用Windows管理界面在网络内部大量分发

2020年展望：勒索软件攻击者将会继续调整他们的方法以发挥自己的优势。Loman说：“最明显的发展趋势是，越来越多的勒索软件攻击者是通过自动化的主动攻击来提高成功率，这些攻击将人的创造力与自动化工具结合在了一起，从而可将产生的影响发挥到最大。此外，通过仅加密每个文件中相对较小的部分或将操作系统引导到通常无法使用反勒索软件保护的诊断模式，攻击者可规避大多数防御。”

卡巴斯基的Galov说：“勒索软件攻击在2019年来势汹汹，这种威胁在2020年没有理由会减少。”勒索软件正逐渐将目标锁定为基础设施、组织机构甚至是智慧城市。

勒索软件开发人员将会让他们的代码变得更具隐匿性，以便他们可以在系统中建立立足点，加密更多数据而不会被发现，并伺机扩展到其他网络。Galov说：“2019年，我们甚至看到了对网络附加存储（NAS）的攻击，以往这在很大程度上被认为是安全可靠的。”

针对2020年的最佳建议：抵御勒索软件的最佳方法是拥有所有关键数据的最新且经过测试的备份。请将这些备份与网络隔离开来，以便它们不会被勒索软件加密。员工培训也至关重要。Galov称：“为了保护自己免受勒索软件的侵害，企业需要实施严格的安全策略，并对员工进行网络安全培训。此外，还需要采取其他的保护措施，例如确保对数据的访问安全，确保备份的存储安全以及在服务器上实施应用程序白名单技术。”

Loman则表示：“至关重要的是，强大的安全控制、监视和响应要覆盖所有端点、网络和系统，并及时更新软件。”

第三方供应商风险

卡巴斯基在2019年发布的《 IT安全经济学》报告中指出，在大型企业和中小型企业中涉及第三方供应商（服务和产品）的事件发生率分别为43％和38％，两者之间的比例比较接近。One Identity的一项调查显示，大多数企业（94％）会授予第三方访问其网络的权限，72％的企业授予的是优先访问权限。只有22％的企业相信第三方没有访问未经授权的信息，18％的企业报告称他们出现的数据泄露事件是由于第三方的访问导致的。

卡巴斯基的研究表明，中小企业和大型企业都在强迫第三方供应商签署安全策略协议，其中75％的中小企业和79％的大型企业都在使用它们。当第三方要对违规行为负责时，在第三方的赔偿问题上有着很大的差异。在已制定策略的企业中，有71％的企业表示已获得赔偿，而没有制定策略的企业中只有22％的企业获得了赔偿。

2020年展望：企业将与供应商和合作伙伴建立数字化联系。这既增加了风险，也提高了对该风险的意识。不幸的是，攻击者正变得越来越老练。

Galov说：“最近，我们发现诸如BARIUM或APT41之类的一些新组织为了渗透到全球的安全基础设施当中，对软件和硬件制造商进行了复杂的供应链攻击。其中包括2017年和2019年发现的两种复杂的供应链攻击：CCleaner攻击和ShadowPad攻击，以及其他针对游戏公司的攻击。处理这些威胁是一个复杂的过程，因为攻击者通常会留下后门，以便他们以后可以返回并造成更大的破坏。”

针对2020年的最佳建议：了解谁可以访问你的网络，并确保他们仅拥有所需的必要权限。制定用于交流和执行第三方访问规则的策略。确保为所有第三方供应商都制定了安全策略，阐明了责任、安全期望以及事件发生时的后果。

Galov说：“保护自己免受此类攻击的最佳企业不仅会确保他们自己，而且还会确保他们的合作伙伴都能够遵守高标准的网络安全标准。如果第三方供应商可以通过任何方式访问内部基础架构或数据，那么则应在集成过程之前建立网络安全策略。”

DDoS攻击

据卡巴斯基（Kaspersky）在2019年发布的《 IT安全经济学》报告显示，2019年有42％的大型企业和38％的中小型企业遭受了分布式拒绝服务（DDoS）攻击。这一比例与勒索软件事件相当，但是只有后者引起了媒体的广泛关注。从财务角度来看，DDoS攻击使中小企业平均损失13.8万美元。

攻击者在不断创新以提高其DDoS攻击的效率。例如，Akamai在去年9月份报告了一个新的DDoS向量：Web服务动态发现（WSD），这是一种用于在本地网络上定位服务的多播发现协议。攻击者通过WSD可以大规模定位和破坏配置错误的互联网连接设备，从而扩大DDoS攻击的范围。

2020年展望：由于5G的兴起和物联网设备的数量增加，卡巴斯基的Galov认为2020年DDoS攻击仍将“十分突出”。他说：“关键基础设施的常规边界，如供水，电网、军事设施和金融机构，将进一步扩展到5G互联世界中其他前所未有的领域。所有这些都需要新的安全标准，而连接速度的提升将为阻止DDoS攻击的发生带来新的挑战。”

针对2020年的最佳建议：每个人都需要检查自己的互联网连接设备是否存在配置错误，是否存在未修补的漏洞。Akamai的Seaman说：“这是基本的安全标准。” 

不幸的是，消费类设备正在导致DDoS攻击风险不断增加。Seaman说：“老奶奶去百思买购买一个新的网络摄像头放在她的私人车道上，这样她就可以看到谁在挡路，但是她并不知道该设备的安全状况。我们还发现了更大问题，那就是越南有的小商店安装了VDR安全系统，店主根本就不关心他的网络摄像头是否已被用来对银行发动DDoS攻击。”

应用程序漏洞

市场研究机构Veracode的《软件安全状况》报告称，他们测试的8.5万个应用程序中有83％至少存在一个安全漏洞。许多应用程序存在更多的漏洞，因为他们的研究总共发现了1000万个漏洞，而所有应用程序中有20％至少有一个高危漏洞。就潜在的零日漏洞和可利用的漏洞而言，这为攻击者留下了很多机会。

报告作者对某些数据还是感到乐观的，比如修复率，尤其是针对高危漏洞的修复率正在提高。总体修复率为56％，高于2018年的52％，高危漏洞修复率为75.7％。频繁对软件进行扫描和测试的DevSecOps方法可减少修复缺陷的时间。每年扫描12次或更少次数的应用程序的修复时间平均为68天，而每天进行扫描或更频繁扫描的平均修复时间将提高至19天。

2020年展望：尽管安全和开发团队做出了最大的努力，但是漏洞仍将继续存在于软件当中。Veracode的联合创始人兼首席技术官Chris Wysopal说：“当今大多数软件都是非常不安全的，这情况在2020年还将继续下去，尤其是90％的应用程序使用的是开源库中的代码。我们在2019年看到了AppSec已经释放出了积极的信号。企业关注的已经不仅是发现安全漏洞，而且要解决这些漏洞，并优先考虑那些最容易成为威胁的漏洞……。我们的数据表明，发现和修复漏洞与改进功能一样，已经成为整个过程的一部分。”

针对2020年的最佳建议：正如Veracode研究显示的那样，更加频繁地扫描和测试应用程序是否存在漏洞，同时优先解决最严重的漏洞，是一种有效的防御措施。Wysopal还敦促企业密切注意安全方面的历史欠账。他说：“应用程序安全性内部一个日益增长的威胁是安全欠账的概念，即随着时间的推移，应用程序是在累积还是在消除缺陷。” 安全欠账越多，企业就越容易受到攻击。

Wysopal表示：“就像信用卡债务一样，如果你开始时有大量余额，并且仅支付每个月的新支出，那么你将永远不会消除这些余额。在AppSec中，你必须解决新发现的安全漏洞，同时又要消除旧的安全漏洞。”

云服务/托管基础设施事件

卡巴斯基在2019年发布的《 IT安全经济学》报告中称，2019年有43％的企业业务发生了影响第三方云服务的安全事件。尽管与云相关的事件并没有经常波及中小型企业，但对于规模较小的企业而言，他们的代价非常高，因为后者通常更依赖托管服务。影响中小型企业托管基础设施事件的平均代价为16.2万美元。

网络支付欺诈是2019年新增的一个领域。Magecart犯罪集团尤为突出。该集团利用云服务中错误配置的代码修改了购物车代码。直到客户投诉欺诈性费用之后，使用在线电子商务服务的企业前才意识到这一问题。

企业仍然需要担心以错误的方式配置云服务，从而导致使数据被泄露在互联网上。攻击者会定期扫描互联网以获取这些被泄露的数据。幸运的是，亚马逊和谷歌等云平台服务商已在2019年推出了新的工具和服务，帮助企业正确配置其云系统并查找导致数据不受保护的错误。

2020年展望：恶意代码的持久力和非法攫取的经济利益（估计仅Magecart集团的非法获利就达数百万美元）意味着在线支付欺诈在2020年将会增加。Magecart的成功势必会引来模仿者。企业需要在云安全方面花费更多资金以应对这类云威胁。根据IDG的《安全优先级研究》显示，只有27％的企业在生产中使用云数据保护技术，不过有49％的企业正在研究或试用该技术。

针对2020年的最佳建议：对电子商务脚本进行源代码审查，并实施子资源“完整性”计划，以确保经过修改的脚本在未经许可的情况下不会被加载。确保云服务提供商对他们自己的代码进行过评估以防止欺诈。定期扫描那些可能会导致企业数据被泄露在互联网上的配置错误。

物联网漏洞

安全行业协会（SIA）的《2019年安全大趋势》报告显示，物联网（IoT）及其生成的数据是2019年对安全从业者影响第二大的趋势。物联网的发展充满了狂热并且难以预测。研究公司Statista认为，到2020年，将有66~300亿部互联网连接设备，这个预测值的范围太大无法提供什么帮助。

对于大多数企业而言，物联网带来的威胁已成为2019年的头等大事。据Marsh和微软的《2019年全球风险感知调查》发现，66％的受访者将物联网视为网络风险，23％的受访者认为该风险“极高”。CyberX负责工业网络安全的副总裁Phil Neray说：“这些物联网设备是攻击者的软目标，因为它们通常没有打补丁并且存在配置错误，由于它们不支持端点安全代理而处于‘不受管理’的状态。结果是，它们很容易受到不法分子的侵害，让这些不法分子在企业网络中立足，从而进行破坏性勒索软件攻击，盗取敏感知识产权，并窃取计算资源实施DDoS攻击和挖矿劫持。”

CyberX的《2020年全球IoT / ICS风险报告》披露了之前12个月中导致物联网设备易受攻击的最常见安全漏洞。报告显示有一些方面得到了显着改善。例如远程访问的设备下降了30个百分点，但是54％的被调查站点还是发现了此漏洞。直接的互联网连接也从40％下降到27％。

不乐观的方面是，过时的操作系统在71％的站点中被发现，而去年是53％；66％的站点未能执行自动防病毒更新，再上一年的这一比例是43％。

2020年展望：Neray认为，随着互连设备数量的增加以及“网络犯罪分子的动机和复杂性的增加”，物联网设备在2020年面临的风险将会增加。能源、公用事业、制造业、化工、药品，石油和天然气等工业环境尤为危险。“这些威胁可能导致更加严重的后果，包括代价高昂的工厂停机，以及威胁人类安全和环境的事件。”

Neray确定建筑物管理系统（BMS）将成为攻击者的主要目标。“这些通常是由设施管理团队部署的，而这些设施管理团队在安全方面的专业知识最少，常常在不知不觉中就暴露在互联网之中，并且通常还不受企业安全运营中心（SOC）的监控。”

针对2020年的最佳建议：Neray建议企业遵循多层次的纵深防御策略，例如：

· 更严格的网络分段

· 通过强大的访问控制功能（例如2FA和密码库）严格限制第三方承包商对工业控制网络的远程访问

· 无代理的网络安全监控，以在攻击者破坏或关闭设施之前快速检测和缓解物联网攻击。

最好的防御措施更多地取决于组织管理而不是技术方法。Neray说：“在TRITON攻击沙特阿拉伯一家石化厂的安全系统中，主要的问题之一是没有人认为自己需要最终对工业控制网络的安全负责。这导致安全监控出现严重失误，没有人检查安装在DMZ中的防火墙是否已由外包公司正确配置。我们对首席信息安全官的建议是行动起来，掌握物联网和OT安全性，并以整体方式将物联网和OT安全性与IT安全性相结合，然后集成到SOC工作流和安全性堆栈中。

挖矿劫持

在本文的最后，还是说一些好消息吧。加密货币挖矿攻击预计将在2020年出现下降。尽管卡巴斯基的《2019年IT安全经济学》报告认为，加密货币挖矿攻击并未成为企业或中小型企业受到的最频繁攻击之一，但是事实证明，对于2019年的企业而言，加密货币挖矿攻击成本高昂，对他们的财务影响平均为162万美元。

2020年展望：虽然加密货币挖矿攻击的发生率随加密货币的价值波动，但是攻击者执行挖矿劫持的难易程度意味着这种威胁将持续到2020年。Galov说：“整个2019年，挖矿劫持攻击一直在稳步下降，目前我们还没有发现导致这种趋势发生变化的理由。加密货币挖矿攻击非法获利能力出现了下降，肯定也是与企业防范这类攻击的能力增强有关。”

针对2020年的最佳建议：使用安全解决方案来检测加密货币挖矿威胁，并密切注意加密货币价值的上涨行情，因为这将刺激更多的挖矿劫持攻击。

作者：Michael Nadeau为美国CSO Online网站资深编辑，同时还是杂志、书籍和知识库出版商与编辑，旨在帮助公司充分发挥其ERP系统的优势。

编译：陈琳华

原文网址：https://www.csoonline.com/article/3489045/2020-cybersecurity-trends-9-threats-to-watch.html?nsdr=true

责任编辑：周星如