新年伊始，信息安全專業(yè)人士表示在過去的一年已發(fā)生了各種安全事故，觀察和分析過去一年中明顯的趨勢和發(fā)生的事情將大有裨益，可以促使我們在新年伊始形成更具戰(zhàn)略性的思維。

我們從2018年中學到了什么呢？以下是我們在經歷2018年之后的一些分享：

通過電子郵件傳播的威脅仍是排名的威脅類型

通過電子郵件傳播的威脅仍是排名的威脅類型。據估計，在現實網絡威脅中，通過電子郵件傳播的威脅所占比例超過了80%。某公司表示其十分之一的電子郵件均屬于惡意郵件，包括網絡釣魚、BEC詐騙、加密貨幣挖掘惡意軟件和勒索軟件等。梭子魚網絡對全球三分之一的企業(yè)進行主題為“2018年電子郵件安全趨勢”的調研，報告指出他們均遭遇了釣魚攻擊。Verizon分析指出93%的網絡入侵都含有釣魚元素，這的確是一則壞消息。

如想降低風險，需將包括以人工智能為驅動的技術工具與以網絡安全為主題的人性化的安全意識培訓相結合，以便能更好地發(fā)現異常情況。遺憾的是，大多數公司通常忽略了后者的管理。實際上，企業(yè)需要可定制的工具，以幫助員工發(fā)現可疑的電子郵件、語音郵件、電話和短信。

云安全意識提升緩慢

同時，我們了解到的另一件事情是企業(yè)開始使用更多的云軟件，但安全進展緩慢，舉步維艱。梭子魚網絡的研究顯示，雖然現在絕大多數(71%)人認為云安全是一項共同責任，但有超過一半(57%)的人認為其內部安全性優(yōu)于云中提供的安全性。在需求不多的情況下，目前所擁有的工具皆可以部署云安全。然而據梭子魚調研顯示，僅有34%的企業(yè)部署了下一代防火墻，而SumoLogic found另外的研究發(fā)現，只有43%的歐洲公司正在使用內置的安全和合規(guī)工具，比如Amazon CloudTrail。

隨著越來越多的企業(yè)地轉向混合云環(huán)境、微服務和敏捷的DevOps方法，其需要安全地“向左移動”，需要盡早將其構建到應用程序開發(fā)生命周期中。因此，在部署前需要連續(xù)掃描圖像并在運行時提供保護。

供應鏈風險

2018年的幾份報告強調了第三方帶來的供應鏈風險。網絡安全中心(NCSC)預警：“即便企業(yè)擁有卓越的網絡安全環(huán)境，也無法保證供應鏈中的承包商和第三方供應商采用相同的安全標準。攻擊者會針對供應鏈中較脆弱的部分來攻擊目標受害者。”近期，金融監(jiān)管機構FCA的一份報告顯示，該行業(yè)仍然缺乏對第三方安全性的可見性。鑒于金融機構是攻擊者較喜歡的攻擊目標，所以這也是值得關注的地方。

如果企業(yè)想要在2019年遵守GDPR和NIS指令監(jiān)管機構的各項規(guī)定，還需要努力把安全做得更好才行。

勒索軟件的高成本

盡管有報告聲稱網絡犯罪分子正在避開勒索軟件，轉而采用通過加密采礦更容易的賺錢方式，但它仍是許多企業(yè)會面臨的威脅。今年受影響者包括蘇格蘭Arran啤酒廠和布里斯托爾機場，后者迫使工作人員在周末需要手寫離境登機牌。

歐洲刑警組織警告說，勒索軟件仍是企業(yè)面臨的較大惡意軟件威脅，并且這一情況將會持續(xù)多年。

WannaCry今年造成的損失和IT加班費上預估花費了9,200萬英鎊。除了2017年備受矚目的蠕蟲之外，勒索軟件在今天也變得越來越有針對性。近期美國、加拿大和英國的數家醫(yī)院和地方當局都受到了攻擊，過去3年的損失預估3,000萬美元。

GDPR已正式生效

?較后但同樣重要的是數據泄露風險，去年發(fā)生了一些重大數據泄露事件：Facebook Cambridge Analytica丑聞、國泰航空公司和萬豪國際數據泄露事件。2014年以來，萬豪的數據泄露事件影響了大約5億客戶。由使用Magecart數字瀏覽代碼的組織發(fā)起的幾次攻擊活動，一旦進入網站就會從網站上刪除卡片詳情。數百家電子商務公司受到了沖擊，有些是像英國航空公司這樣直接受到沖擊，還有的是通過像Ticketmaster’s Inbenta Technologies第三方供應商受到沖擊的。

IBM稱，目前黑客入侵的成本接近390萬美元，比2017年增加了6%。然而，隨著GDPR和NIS指令規(guī)定的實施，這個數字可能很快就會過時。信息安全專家和數據保護官員(DPO)將密切關注監(jiān)管機構的反應。英國的ICO今年已根據舊制度開出了50萬英鎊(Facebook和Equifax)，38.5萬英鎊(Uber)和25萬英鎊(雅虎)的罰款。接下來發(fā)生的事情可能會導致2019年合規(guī)支出急劇增加。