对于网络安全专业人士来说,2017年当然是忙碌的一年。我们见证了美国国家安全局的敏感数据泄露事件、Wannacry勒索病毒攻击以及Equifax遭到的大规模黑客攻击。
但是明年又会发生什么呢?GlobalSign的网络安全专家们发布了一些关于网络安全方面的2018年的预测。
Nadim Farah,GlobalSign USA数字签名服务经理
2018年将给简单电子签名带来更多的法律反对态度
2016年12月标志了法律第一次成功反对了简单电子文档地位的时间,而且随着世界越来越接受规范化的、公开受信任的数字签名,我相信,在2018年我们会见到更多简单电子签名的地位将受到法律反对的情况。
这是由于文档管理和签名方面的美国地区的主要应用供应商们,仍致力于在信任供应商、身份验证服务和应用供应商之间构建综合性生态系统。包括Adobe的云签名联合会(Cloud Signature Consortium)和DocuSign的“信任服务提供商”(Trust Service Provider)计划。
此外,除了七月已公布的Adobe认可信任列表(AATL)程序要求更新,另外一些供应商将有望进行信任程序更新,如微软和Mozilla的根信任,以使这些程序达到一些更高水平的合规性要求,符合欧盟针对身份验证的电子识别、认证和信任服务(eIDAS)。
面部识别技术可能在身份验证中发挥作用
身份验证中一向是发布一些证书用于公众可信的数字签名,相比之下,虽然面部识别技术还不够精准,而且缺乏保障,但在2018年仍有可能将它们用于第一阶段的简单电子签名认证。随着这项技术的发展,特别是苹果公司正在使用的配有各种硬件传感器和摄像机的此项技术,在未来的两到四年内,将可能成为等同于面对面身份验证的技术。
Doug Beattie,GlobalSign USA证书服务副总裁
到2018年底,所有网页中有85%会受到HTTPS保护
今年,HTTPS页面加载和安全站点的数量都有强劲增长,主要是由谷歌和Mozilla推动的结果,它们一直在促进HTTPS的使用。Chrome 56和Chrome 62现在将所有带输入字段的网站都标记为不安全网站,Chrome一直都将收集密码或信用卡信息的网站标记为不安全网站。迟早所有的HTTP站点都将会被标记为不安全,这只是一个时间问题。
由于存在一些可用的免费或低成本的域名验证型(DV)SSL证书,所以网站运营者在财务方面的压力会极小,因此谷歌和Mozilla都鼓励他们通过基于站点内容的不断变化的浏览者行为来保证安全。随着谷歌和Mozilla继续向HTTP页面添加越来越多的警告,并且最终这些页面都会得到内有一个醒目红色感叹号的三角形提醒,我们预计HTTPS的采用率会继续显著提高。到2018年底,所有网络流量中会有85%受到HTTPS保护。
TLS 1.0和早期的协议将(最终)成为历史
安全只不过相当于最薄弱的环节。随着HTTPS的广泛采用,是时候告别那些过时的协议了——SSLv3以及早期的协议和TLS 1.0。这些协议存在一些严重缺陷,所有网站都应该禁用。
随着TLS 1.2的普及且TLS 1.3即将面世,2018年那些较旧的协议会被逐步淘汰。有鉴于此,我预计大多数网站都将支持TLS 1.2,并且到2018年底,几乎没有网站会再继续使用TLS 1.0和更旧的协议。
Lila Kee,GlobalSign USA首席产品官、北美能源标准委员会(NAESB)委员
2018年美国电网不会遭受重大攻击
尽管能源行业遭到网络入侵的事件有所增加,比如黑客组织Dragonfly入侵美国电网,我还是持相反态度并预测在2018年美国电网不会遭到“转折性的9-11式”袭击。
为什么?
首先,因为联邦政府加强了针对能源行业的网络安全支持,加上建设智能电网时有意融入了安全因素,而且这方面在不断取得进展,我们的电网将变得非常坚韧。
其次,通过更广泛地采用并依赖微电网,我相信我们会受益很大。恢复较大的电网时,微电网会提供一种更快、更简洁的利用更新源的方式,从而增加电网的强度。应该学习加利福尼亚早期的一些采用先例,以减少由于自然灾害或网络攻击造成的断电问题。
此外,Dragonfly并没有造成重大破坏,这一事实进一步证明我们正在做正确的事。因为如果不是这样,那次攻击造成的结果就会相当严重了。
Lancen Lachance,GlobalSign USA物联网业务部门副总裁
预计会有更多的僵尸网络物联网(IoT)攻击
2018年,我们将继续看到一些物联网设备被用于僵尸网络活动。不安全的设备仍有很多,对黑客们而言是极易攻击的目标。
会有更多的立法,但不会有太多的指导
会有相关的法律法规出现,但仍会缺乏威力。我们将看到从上而下有更多针对物联网网络安全的法律法规提出并通过。但是,由于司法系统缺乏物联网经验和相关的执行经验,法规和指导工作仍将缺乏足够的基础,无法真正引导市场。
攻击者们将继续瞄准基本安全措施中的漏洞
我们还将看到更多的基本安全措施被攻击者忽视和利用的例子。成功的物联网攻击不会很高级,而是有意利用物联网设备在安全方面的基本漏洞去进行攻击的可能性会较高,如共享密码或加密通信方面。
Dawn Illing,欧洲、中东及非洲区域产品经理
企业将开始更加重视网络保险,保费将高涨
尽管2017年发生了种种攻击事件,且下次攻击在所难免,只是不知道“何时”会发生。虽然如此,网络保险仍将以相当稳定的速度发展。2017年的灾难性攻击表明,网络风险现在是一个重大威胁。一次成功的攻击不仅会严重损害公司的底线,也会严重损害商业信誉和消费者信任。然而,尽管世人的市场意识显著提高了,但对保险的接受仍然很缓慢。毕竟在减少风险并且弄清楚如何将适当的弹性融入业务方面,大多数公司的节奏一向较为缓慢。
将保险的重心从“风险保护”转变成“预防”
由于整个2017年间对网络攻击的了解越来越多,企业将开始把安全视为一项重要的商业风险,而不是一个影响其业务所有方面的“IT问题”。从董事会会议室开始,自上而下会开始采纳一个全面的过程,以改变一些文化,还要在全公司采取积极措施来保护数字系统。
安全漏洞的比率会继续上升,对复杂的保险和理赔产生连锁反应
各种各样的攻击以及采取的预防攻击的技术和措施也将引人注目,为企业带来更多麻烦,因此相关的建议或指导变得很受欢迎。以前,当出现漏洞时,最终用户总是会承担一定程度的责任;然而,各公司将开始采取一些政策,令人更容易从公司内部报告漏洞,工作重点将更多地集中于“如何发现”而不是“如何应对”漏洞。反过来,再保险(针对保险公司的保险)支持将会增加,以能够支持更好的数据和工具,从而促进市场的整体增长。
网络安全和保险业机遇
随着引人注目的攻击持续发生,保险公司的直接销售人员和经纪人会很有机成为企业值得信赖的顾问。因此,尽管网络保险占据市场的速度仍然很慢,但网络保险费将增加(因为索赔额会增加),这可能导致2018年下半年将出现一股“热潮”。这意味着,当企业变得需要寻求建议,经纪人和直销人员就需要在这个领域变得更加博学、专业。因此,保险公司和(很多情况下包括)经纪人将成为影响未来的购买决策的关键因素。
Richard Hancock,GlobalSign USA技术数据保护官和安全专家
《一般数据保护条例》(GDPR)在欧盟的影响
2017年,信息安全领域发生了十多年来最大的变化:数据保护。欧盟的《一般数据保护条例》(GDPR)激起了不少怨言,不仅是在行业内,而是全面激起了众怒。尽管如此,到目前为止,我还没有看到这个法律普及给大众,它只是在很多商业领域中是热门话题。
2018年,急于理清事务的企业会急剧增加,因为现实告诉它们,5月25日后,它们很可能得写一张七或八位数的支票给监管机构。我们收集、存储、处理、操作和报告数据的方式再也不会像以前一样了,而且,我们从来没有像现在这样对我们的个人信息有这么多的权力和支配。
在某种程度上,欧洲引领了全球数据隐私的潮流。在未来的一年里,我们可能会看到越来越多的国家努力令其法律赶上欧盟的法律。我希望隐私护盾能稳定下来,并且美国政府能保障它的寿命。我预计会有更多的组织采取有约束力的公司制度,令其能够在自己的领域内自由地移动数据。我认为认证过程将简化,令数据比现在更加容易获取。
展望2018
你对这些预言有什么想法?它们准确吗,你是否有不同的意见?有没有什么你感兴趣而这里没有提到的话题?欢迎通过新浪微博 (@globalsign)、微信公众号: GlobalSign 反馈给我们。
关于 GMO GlobalSign
GlobalSign 是最早成立的认证机构之一,是提供网络安全解决方案的引领者,自 1996 年以来一直是值得信赖的服务供应商。 GlobalSign 一直关注并将继续关注为不同规模的组织机构提供方便并高效的 PKI 解决方案。
GlobalSign 的核心数字证书解决方案使得上千授权用户得以进行 SSL 安全交易、数据传输、防篡改代码的发送、以及为加密邮件和准入许可实施网络安全身份验证保护。对创新的展望和努力使得 GlobalSign 被 Frost & Sullivan 授予 2011 最佳产品线策略奖。GlobalSign 在美国、欧洲和亚洲均设有办事处。欲了解 GlobalSign 最新消息,请登录 www.globalsign.cn 或关注微博:新浪微博 (@globalsign)、微信公众号:GlobalSign 。