預(yù)測(cè)2: 人才短缺問題與您的想象有出入
概述
關(guān)于全球網(wǎng)絡(luò)安全人才缺乏以及關(guān)鍵技能差距的說法由來(lái)已久�。根據(jù)(ISC)2 2018年網(wǎng)絡(luò)安全勞動(dòng)力調(diào)查的最新研究,亞太區(qū)的網(wǎng)絡(luò)安全人才缺口為214萬(wàn)�,因此該地區(qū)可能受影響最嚴(yán)重。
這種短缺是否可能是某些職位的期望值與實(shí)際需求之間不匹配的結(jié)果�����?一些職位描述要求的資質(zhì)非常寬泛�,這對(duì)于招聘到符合要求的管理人才是不現(xiàn)實(shí)的。短缺數(shù)據(jù)是否準(zhǔn)確反映了行業(yè)的實(shí)際需求���?
預(yù)測(cè):急需具備好奇心和解決問題的人才
除非大眾的網(wǎng)絡(luò)安全觀念從根本上發(fā)生改變�����,否則網(wǎng)絡(luò)安全將持續(xù)出現(xiàn)供不應(yīng)求的狀況����。要應(yīng)對(duì)這項(xiàng)挑戰(zhàn)有兩種互補(bǔ)的方法:采用自動(dòng)化以及探索可替代的人才來(lái)源��。
自動(dòng)化將成為未來(lái)網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵要素��,因?yàn)椴粦?yīng)該要求人類——也不應(yīng)該期望人類——去做所有的事情���。相反��,他們需要利用那些無(wú)法自動(dòng)化的技能����,并專注于解決問題、溝通和協(xié)作等更高層次的任務(wù)����。這將需要重新審查當(dāng)今的安全運(yùn)營(yíng)中心(SOC)結(jié)構(gòu)����,并相應(yīng)地改變這些新角色所需的專業(yè)人員類型,以便準(zhǔn)確地識(shí)別并填補(bǔ)其中的一些空白�����。企業(yè)和招聘人員不應(yīng)再追求鳳毛麟角的精英(他們并不存在?���。菓?yīng)該在合適的渠道發(fā)掘人才�。
2020年,我們認(rèn)為在職位評(píng)估上情商應(yīng)比智商更為重要�,以尋找具備解決問題能力及好奇心的人才����,無(wú)論是工程師����、分析師還是通信專家。需要對(duì)技能提升以及跨技能培訓(xùn)等被忽視的項(xiàng)目進(jìn)行投資��,并將這些有能力的個(gè)人培養(yǎng)成我們需要的人才���。對(duì)于希望準(zhǔn)確發(fā)現(xiàn)企業(yè)內(nèi)相關(guān)網(wǎng)絡(luò)安全技能差距的公司來(lái)說�,NICE框架中的員工類別是一個(gè)非常實(shí)用的起點(diǎn)��。
預(yù)測(cè)3: 對(duì)物聯(lián)網(wǎng)的探索無(wú)論對(duì)誰(shuí)都將成為雷區(qū)�����。
概述
根據(jù)IDC數(shù)據(jù)�,2019年在物聯(lián)網(wǎng)領(lǐng)域的支出亞太區(qū)將引領(lǐng)全球,約占全球支出的36.9%��。但時(shí)至今日���,安全可能仍是產(chǎn)品開發(fā)過程結(jié)束后才會(huì)想到的事情��。一些持續(xù)出貨的聯(lián)網(wǎng)設(shè)備并沒有提供后續(xù)的軟件更新和安全補(bǔ)丁�,從而導(dǎo)致易于利用的常見漏洞。到2020年����,物聯(lián)網(wǎng)安全面臨的潛在威脅(例如DDoS攻擊)將越來(lái)越多,這一問題將進(jìn)一步惡化���。
我們已經(jīng)看到����,這些攻擊�,包括Mirai僵尸網(wǎng)絡(luò)通過不安全的聯(lián)網(wǎng)設(shè)備發(fā)起的攻擊���,可以破壞流行的全球網(wǎng)絡(luò)平臺(tái)��。除了目前已經(jīng)利用的18個(gè)漏洞外���,Mirai惡意軟件最近又新增了8個(gè)漏洞,其目標(biāo)從無(wú)線演示系統(tǒng)到機(jī)頂盒�����、SD-WAN甚至是智能家居控制器等一系列設(shè)備,對(duì)企業(yè)和聯(lián)網(wǎng)家庭構(gòu)成了威脅�。隨著越來(lái)越多的物聯(lián)網(wǎng)產(chǎn)品進(jìn)入市場(chǎng),網(wǎng)絡(luò)威脅被悄悄地隱藏了起來(lái)����。當(dāng)有人踩到這些地雷時(shí)會(huì)發(fā)生什么?
預(yù)測(cè):您要提防家里的無(wú)線門鈴可能會(huì)引來(lái)不速之客
2020年�����,我們預(yù)計(jì)物聯(lián)網(wǎng)安全的發(fā)展將在兩個(gè)關(guān)鍵領(lǐng)域展開:個(gè)人及工業(yè)物聯(lián)網(wǎng)����。不論是聯(lián)網(wǎng)的門鈴攝像頭,還是無(wú)線揚(yáng)聲器系統(tǒng)����,我們將看到通過不安全的應(yīng)用或薄弱的登錄憑證入侵的攻擊模式不斷增長(zhǎng)。便利的深度偽造技術(shù)的出現(xiàn)使這種威脅變得更加復(fù)雜�����,該技術(shù)可能會(huì)對(duì)語(yǔ)音或生物識(shí)別控制的聯(lián)網(wǎng)設(shè)備構(gòu)成威脅�。模仿最強(qiáng)大的生物識(shí)別裝置以訪問和控制聯(lián)網(wǎng)系統(tǒng),它將影響家庭和企業(yè)環(huán)境���。
對(duì)于企業(yè)而言�,我們預(yù)計(jì)作為許多亞洲經(jīng)濟(jì)體關(guān)鍵支柱的制造業(yè)也將發(fā)生重大變化。制造商希望部署傳感器��、可穿戴設(shè)備和自動(dòng)化系統(tǒng)�,以通過數(shù)據(jù)收集和分析簡(jiǎn)化生產(chǎn)、物流和員工管理流程����。企業(yè)需要確保聯(lián)網(wǎng)設(shè)備能夠利用諸如內(nèi)置診斷、持續(xù)漏洞掃描和高級(jí)分析等自動(dòng)化功能�����,以保持對(duì)物聯(lián)網(wǎng)威脅的掌控�。
聯(lián)網(wǎng)設(shè)備需要不斷進(jìn)行改造和更新,以確保安全����。全球各國(guó)政府——包括亞太地區(qū)的政府——也越來(lái)越傾向于發(fā)布與物聯(lián)網(wǎng)設(shè)備安全相關(guān)的指導(dǎo)或法規(guī)��。此外����,行業(yè)標(biāo)準(zhǔn)組織也在努力制定物聯(lián)網(wǎng)設(shè)備的相關(guān)安全標(biāo)準(zhǔn)���,如ISO/IEC 27037標(biāo)準(zhǔn)草案。這兩種趨勢(shì)肯定會(huì)在一定程度上影響物聯(lián)網(wǎng)設(shè)備的部署��。我們還希望優(yōu)先考慮對(duì)公眾的相關(guān)教育以適應(yīng)聯(lián)網(wǎng)設(shè)備的快速增長(zhǎng)和普及��。
預(yù)測(cè)4: 數(shù)據(jù)隱私界限越來(lái)越模糊��。
概述
互聯(lián)網(wǎng)協(xié)會(huì)2018年針對(duì)亞太區(qū)政策議題的調(diào)查發(fā)現(xiàn)�����,超過70%的受訪者希望自己的個(gè)人信息在收集和使用方面能夠擁有更多控制權(quán)���。然而���,大多數(shù)人為獲取短期利益(例如熱門應(yīng)用、手機(jī)游戲或在線比賽)而提供個(gè)人信息時(shí)卻毫不猶豫��。這一行為說明:某些新興市場(chǎng)對(duì)網(wǎng)絡(luò)安全的意識(shí)不足���,而在其它市場(chǎng)�����,如新加坡等��,則對(duì)網(wǎng)絡(luò)安全過于樂觀��。不幸的是����,數(shù)據(jù)隱私問題表明人們不僅對(duì)收集的數(shù)據(jù)缺乏認(rèn)識(shí),而且對(duì)數(shù)據(jù)的使用也缺乏了解���。人們不知道那些不為人知的事情��。
為了幫助解決這一日益嚴(yán)重的問題并保護(hù)公民數(shù)據(jù)���,監(jiān)管機(jī)構(gòu)圍繞實(shí)施更嚴(yán)格的本地?cái)?shù)據(jù)隱私法而展開行動(dòng)。包括泰國(guó)在內(nèi)的一些國(guó)家/地區(qū)已經(jīng)通過了新的法律來(lái)管理對(duì)數(shù)據(jù)的保護(hù)���,要求企業(yè)在收集�、共享和使用數(shù)據(jù)時(shí)更加注重隱私�。為了遵守歐盟的通用數(shù)據(jù)保護(hù)條例(GDPR)�����,部分國(guó)家已經(jīng)開始采取行動(dòng),例如日本最近對(duì)其數(shù)據(jù)隱私法進(jìn)行了更新���。對(duì)于企業(yè)而言�,注意法律完善程度和地區(qū)差異非常重要�����。
預(yù)測(cè):更多的數(shù)據(jù)隱私法規(guī)����,以及數(shù)據(jù)主權(quán)-安全悖論
我們預(yù)計(jì)本地區(qū)將會(huì)出現(xiàn)更多的數(shù)據(jù)隱私法規(guī)。過去幾年印尼和印度一直在研究個(gè)人數(shù)據(jù)保護(hù)法案����,盡管目前還不清楚這些法案最終是否會(huì)生效以及何時(shí)生效。該區(qū)域越來(lái)越多的提案也將需要其原籍國(guó)的住房數(shù)據(jù)�;這往往是出于隱私和安全方面的考慮。印尼政府2019年第71號(hào)法規(guī)的最新草案要求��,公共機(jī)構(gòu)必須在印尼境內(nèi)管理�����、處理和存儲(chǔ)數(shù)據(jù)(根據(jù)非官方翻譯)。我們預(yù)計(jì)會(huì)有更多的監(jiān)管提案來(lái)規(guī)范或限制數(shù)據(jù)的跨境流動(dòng)�����,特別是公共部門信息的遷移�。因此,企業(yè)可能會(huì)考慮在本地建立更多的數(shù)據(jù)中心����,以更好地支持本地客戶。
然而����,企業(yè)必須注意,建立本地化的數(shù)據(jù)中心并不一定會(huì)使數(shù)據(jù)更加安全����。因?yàn)榫W(wǎng)絡(luò)威脅沒有國(guó)界,個(gè)人終端用戶或企業(yè)之間的聯(lián)系日益緊密��,容易受到全球事件的影響�����。企業(yè)仍然有責(zé)任采用全面的網(wǎng)絡(luò)安全策略����,以支持跨網(wǎng)絡(luò)、端點(diǎn)和云端的操作和信息存取���。為了有效地管理這些信息,企業(yè)需要定期評(píng)估他們收集的信息��,并控制信息的訪問����。
我們預(yù)計(jì)��,在像東盟這樣高度互聯(lián)的地區(qū)���,企業(yè)需要更加密切地關(guān)注其數(shù)據(jù)流�。盡管各國(guó)都在努力創(chuàng)建區(qū)域性統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)方法(例如自愿通過APEC跨境隱私規(guī)則)�,但并沒有實(shí)現(xiàn)真正的統(tǒng)一。為了創(chuàng)建最適合本地區(qū)的框架��,私營(yíng)部門和公共部門之間需要緊密合作�����,以便在面對(duì)不斷出現(xiàn)的新興威脅時(shí)評(píng)估如何識(shí)別和定義違規(guī)行為��。
預(yù)測(cè)5: 云未來(lái)初見端倪:不要在動(dòng)蕩中迷失方向
概述
整個(gè)地區(qū)對(duì)云應(yīng)用的態(tài)度和接受程度并不一樣。盡管遷移到云是合理的�,但是在將關(guān)鍵信息放入云時(shí)也需要謹(jǐn)慎。關(guān)于虛擬與物理設(shè)備優(yōu)勢(shì)的誤解仍然存在��,讓問題變得更加復(fù)雜���。
綜上所述��,我們預(yù)計(jì)云應(yīng)用的前景看好�����。企業(yè)開始意識(shí)到云方案的獨(dú)特之處�。亞洲的CIO們非常清楚地了解向云遷移對(duì)其數(shù)字化轉(zhuǎn)型戰(zhàn)略的意義��,并將視其企業(yè)的成熟度而采取行動(dòng)��。我們也開始看到東盟各國(guó)政府朝著這一轉(zhuǎn)變做出了嘗試�;新加坡、泰國(guó)和馬來(lái)西亞的政府機(jī)構(gòu)都宣布了在公有云領(lǐng)域的投資��,而印度尼西亞則有望成為亞洲的下一個(gè)大型數(shù)據(jù)中心樞紐�����。
預(yù)測(cè):配置更加混亂
越來(lái)越多的企業(yè)也開始利用容器(即操作系統(tǒng)虛擬化)來(lái)提高效率和一致性并降低成本。但是�����,暴露和配置錯(cuò)誤的容器的潛在危險(xiǎn)將很快出現(xiàn)��,使企業(yè)容易受到針對(duì)性的偵察��。使用正確的網(wǎng)絡(luò)策略或防火墻��,或兩者并用�,可以防止內(nèi)部資源暴露于公共互聯(lián)網(wǎng)�����。此外����,投資云安全工具可以提醒企業(yè)注意當(dāng)前云基礎(chǔ)設(shè)施中的風(fēng)險(xiǎn)。
云安全的采用也面臨著一系列挑戰(zhàn)���。受派拓網(wǎng)絡(luò)(Palo Alto Networks)委托�����,著名研究機(jī)構(gòu)Ovum在其《亞太地區(qū)云安全報(bào)告》中指出�,80%的大型企業(yè)將安全性和隱私視為采用云服務(wù)的主要挑戰(zhàn)。
主要發(fā)現(xiàn)包括:
- 78% 的中國(guó)受訪企業(yè)對(duì)云安全抱有過度信心��,認(rèn)為云供應(yīng)商提供的安全功能足以保護(hù)其免受威脅
- 亞太區(qū)的大型企業(yè)使用多種安全工具��,造成安全態(tài)勢(shì)的碎片化�,尤其是當(dāng)企業(yè)在多云環(huán)境中運(yùn)行時(shí)。采用多云方式會(huì)導(dǎo)致危險(xiǎn)的可視化缺陷���,在中國(guó)���,有77% 受調(diào)查的大型企業(yè)表示這一情況相當(dāng)普遍,高于亞太地區(qū)平均水平13個(gè)百分點(diǎn)�����。
- 報(bào)告顯示����,有三分之二(66%)的企業(yè)不能做到每年進(jìn)行一次網(wǎng)絡(luò)安全態(tài)勢(shì)的審核,并且有26% 的這類審核并不包括對(duì)云安全的評(píng)估�。除了審核,有45%的中國(guó)企業(yè)無(wú)法做到每年對(duì)IT安全人員進(jìn)行安全培訓(xùn)��。鑒于大型企業(yè)沒有足夠的時(shí)間和資源來(lái)專門用于云安全審核和培訓(xùn),因此顯然需要自動(dòng)化����。
2020年還會(huì)有更多公司采用DevSecOps方法,將安全流程和工具集成到新產(chǎn)品的開發(fā)生命周期中�。 這將是云和容器成功集成的未來(lái)方向。
果-1.jpg)
