本文回顧了9個機構歸納的2018年網絡安全發展趨勢，并預測15個可能發生的2018年網絡安全事件類型，有鑒于此大家還給出了11點網絡安全方面的希望和建議，最后提供一份來自ESG/ISSA 的調查報告，報告顯示數百家企業在制定2018年網絡安全預算的時候，作出的5個共性考慮與選擇，這可以作為您的2018網絡安全規劃的參考。

[[214380]]

2018年網絡安全發展趨勢或預測

1. 2017網絡安全發展回顧與2018網絡安全發展趨勢， 創新、協作與安全意識
2. 2018網絡安全發展趨勢如何， 來看2018網絡安全6家談
3. 2018網絡安全發展趨勢 ，10個關鍵詞表述安全事件主要特征
4. 2018網絡安全發展趨勢， 人工智能與攻防PK
5. 2018網絡安全發展趨勢， 高級威脅防御技術5個方面需關注
6. 2018信息安全發展趨勢 ，Gartner說支出將達930億美元， 主要是升級購買

行業安全發展趨勢：

• 2018金融信息安全發展趨勢， 8點金融信息安全威脅扎心
• 2018工控安全發展趨勢， 8個方向直擊工業控制系統要害
• 2018物聯網及其安全發展趨勢 ，17位專家形成7532陣型

來自新浪財經的消息稱，在企業的經營管理中，合規與風險預防始終是重中之重，來自內外部的威脅，曾使得很多企業代價慘重。垃圾郵件、病毒、間諜軟件以及員工不恰當行為，往往令企業處于商業機密被竊取、舞弊指責、政策監管的風險之中。

如何應對網絡安全的威脅，是企業經營管理中的重大課題，同時亦是健康商業環境的應有之義……此外，受影響較大的行業還集中于金融服務、衛生醫療、能源、運輸及其他一些公共服務行業。……企業的安全風險，往往分為內外兩方面。相比外部環境等風險，來自企業內部的風險，往往更直接，危害也更嚴重。

對很多中國企業來說，由于外部法律環境和商業環境的不完善，以及內部治理模式和流程的不完善等因素，商業秘密的保護一直是個比較難的問題，商業秘密的侵權認定也一直是一個難點。

2018年網絡安全事件預測及我們的良好愿望

據估計，2016年 網絡犯罪活動中有3萬億美元被盜。有人認為，由于網絡犯罪造成的美元數額，在未來幾年內很容易增加三倍。

1. 2018年網絡安全事件預測

1. 一個或多個 物聯網僵尸網絡 將再次造成中斷，DDoS或類似Mirai的其他類型破壞。 最近發現的兩個僵尸網絡的例子是 Reaper僵尸網絡 和Satori僵尸網絡， 他們肯定不會是最后一個。在一些 易受攻擊面上，包括默認密碼、連接的云或整個物聯網生態系統中最薄弱的環節，這些威脅形式都會進行利用。
2. 網絡犯罪將會作為一種服務持續擴大規模。您不再需要成為黑客或開發人員，去運行 僵尸網絡 、分發 勒索軟件 或入侵電腦， 你只需要幾百美元，就開始自己的網絡犯罪業務， 技術支持服務可能比主要科技公司的軟件支持還要好。無需 命令行，只需連入并點擊，就可以營業了。 不僅如此，您購買的漏洞，還有性能保證。
3. 更多的 0Day漏洞 代碼泄漏將會發生，比如Wikileaks的 Vault7 和 Vault8 ，這將使得攻擊者能夠輕松地入侵受害者，直到修補程序被開發并且實際安裝上去。
4. 從發現漏洞到釋放漏洞利用方法PoC，再到利用漏洞進行攻擊的停留時間，將持續減少。
5. 我們將看到更多合法的軟件被修改，利用合法數字證書，最終用于惡意目的。 代碼有效性的持續驗證將變得更加重要。
6. 我們將看到 網絡機器學習展開軍備競賽 ，競賽在網絡防御者的機器學習與網絡攻擊者的機器學習代碼之間展開。
7. 我們將在網絡媒體上看到“假新聞”的網絡武器化。(安全加小編將在后續有篇文章來解釋這個有趣的事情)
8. 勒索軟件將繼續發展，將會具有新的目的、目標和技術。 例如：被鎖在門外(物聯網/智能家居鎖)，或者汽車外，然后要求贖金。
9. 比特幣和 加密貨幣 的狂熱，將成為網絡犯罪分子的一大利器，這些犯罪分子將針對交易平臺以及個人利用等較為簡單的目標和脆弱性入手，竊取資金。
10. 我們看到的傳統惡意軟件，比如可執行文件，會變少，而更多的會出現無文件惡意軟件，攻擊的意圖轉移到命令行，劫持用戶憑據，提升權限，然后利用像Powershell，Win32等合法進程/實用程序，進而利用計算機。先進的終端安全，需要比以往更加能夠識別什么是惡意的行為。
11. 更多的計算機將受到 APT (高級持續性威脅)的威脅，這是一種持續性的攻擊，除非計算機上的每一次更改都被記錄下來，否則無法清除，這種局面一種方式可以通過下一代終端防護解決方案來逆轉， 另一種方法自然是全盤擦除，然后重建映像。
12. 高級攻擊者，將利用大多數殺毒軟件無法檢測到的固件/硬件漏洞，進行攻擊。
13. 我們將會看到至少有一起訴訟起訴，將利用從亞馬遜Alexa、Google Home或類似的設備，從中獲取到你到錄音，作為呈堂證供。
14. 公有云和在線倉庫中將會出現一些重大的數據泄露行為，如GitHub公開私鑰、密碼、特權信息和可能的知識產權。
15. 歐盟以外的公司，將會出現違反GDPR的違規行為，罰款數百萬美元。

2. 2018年網絡安全愿望清單

1. 希望董事會和CISO一起工作，溝通和了解業務的風險。 共同合作，以合理的周期更新其技術、可視性、流程和防御能力，希望比前幾年快得多。
2. 希望意識到大多數GRC 安全合規 性是一個很好的開始，是啟動風險管理計劃的基礎。 然而，這不應該被視為最終的目標，而只是一個開始。如果不相信， 你去問 問一個好的紅隊 ，如果我們遵守了合規性，那么他們就無法完成網絡 滲透測試 任務。 答案顯然是不太可能的。
3. 希望筆記本電腦和臺式機的補丁周期，需要縮短到幾天，甚至幾個小時，而不是幾周或幾個月。
4. 希望所有參與網絡彈性決策和規劃的人，都不會低估他們的對手。
5. 希望 人工智能 和機器學習將是網絡防御所必需的，因為攻擊者也會利用它。
6. 希望物聯網設備，特別是消費設備，將定期提供安全更新，最少是五年更新一次。 更多的商業和工業設備合同，將有制造商支持安全補丁的明確要求。
7. 希望物聯網設備在銷售給消費者或行業之前，將經過某種類型的安全認證程序。
8. 希望網絡安全合規，被視為風險管理計劃的一部分，以避免罰款和其他法律處罰，但不應被視為整個風險管理計劃。 遵守這些法律法規應視為網絡安全審計職能的一部分。
9. 希望監管機構了解他們的網絡安全標準遵守要求是否繁重，他們可能實際上將風險管理項目的預算和資源，從風險管理項目中分離出來，這些風險管理項目的風險甚至可能超過他們所實施的標準。
10. 希望大家不要過度依賴IOC指標。 網絡犯罪分子可以改變 惡意軟件 哈希值、域名和IP，這個速度比分析師驗證它們的速度更快。 其中很大一部分，可能是后知后覺，你拿到的IoC可能只是歷史指標而不是可以依賴的前瞻性指標。 只有緩慢防御的對手才會依賴IoC。
11. 需要更多地關注TTP(工具、技術和過程，也有稱為戰術、技術和過程)，更少關注IOC(事件攻擊指標)。

不要因為你的企業合規了，就認為你的企業是安全的。

2018企業網絡安全及行業網絡安全調查報告

最近一份來自ESG和信息系統安全協會ISSA的報告《網絡安全專家的生活和時代》稱 ， 在過去數年中，各組織中的343名信息安全專業人士，曾被要求確定其組織中采取的 網絡安全 行動。 這份清單可以為企業及行業應對2018年的網絡安全挑戰或者制定網絡安全規劃提供參考。

在報告中，一些回答比例最高的條目如下：

1. 52%的組織采用了部分或全部 NIST網絡安全框架 (CSF)。 如果您沒有注意到這一點，您會驚訝地發現，NIST CSF已經成為許多行業的標準風險管理工具，并且已經發展為 網絡保險 的制定提供了基準指標。 1.1版草案最近出版了， 承諾給網絡供應鏈帶來更加清晰、通用的語言和可擴展性。 最后，CSF很可能會與主管機構委員會(COSO)風險管理框架(第二部分)相輔相成，后者更側重于企業和企業風險。 總的來說，在2018年可以看到更多的風險管理方面的推進， 包括最近對高級防御技術的描述 。
2. 50%的組織增加了安全和IT人員的 網絡安全培訓 。 好的，這是個好消息。 壞消息是接受調查的網絡安全專業人員中，有62%認為他們從組織那里獲得的培訓水平仍然不足。 網絡安全培訓將在2018年增加，但可能不會如此。
3. 49%的組織提高了非技術員工的網絡安全培訓水平。 這可能是一個很好的投資，但是太多的組織會通過網絡安全培訓的動作，將其視為復選項。 令人遺憾的是，許多機構仍將繼續增加培訓預算，但在這一過程中投資回報率甚微。 我看到領先的公司，正在通過以用戶為中心的 滲透測試 ，比如白帽子 釣魚攻擊 活動，使用KnowBe4 、PhishMe和Wombat Security的工具，來加倍努力。 我也看到更好的交流，像解釋為什么用戶操作被阻止，而不是簡單地屏蔽他們，并向他們傳遞加密信息。持續 教育非常重要，所以我希望CISO和人力資源經理能夠在這方面作出改進，而不是僅僅在2018年增加用戶培訓的量。
4. 48%的組織增加了網絡安全預算。 ESG即將發布2018年IT支出意向研究，其中包括網絡安全預算的重點。 擾亂警報：大多數組織將在所有行業中增加2018年的網絡安全預算。 然而，即使有這種增長，安全團隊也會發現，在網絡安全的所有領域進行投資，非常具有挑戰性。 在2018年，首席信息安全官將制定一個投資組合管理的方法來投資，尋找方法來使用 機器學習 技術、安全運營自動化/業務流程工具、 安全管理服務 和 軟件定義安全 選項，以滿足需求，并作為對成本上升的對策。
5. 48%準備遵守一項或幾項新的監管要求。 2017年，紐約州推出了金融服務公司的新規定，而許多全球公司開始了 通用數據保護條例GDPR 準備。 隨著五月份截止日期臨近，GDPR將繼續成為2018年投資熱點區域，但是我懷疑這是否會結束。 我希望在2018年對 物聯網設備的安全性 進行大量的審查，或許還有一些初步的規定。哦，一個大的 數據泄露 或服務中斷肯定會在一夜之間改變立法的態度。 作為一名美國公民，我希望華盛頓重視從 Equifax數據泄露 和GDPR等方面吸取的經驗教訓，開始在本地開展合理的數據隱私和 網絡安全法規。

ESG / ISSA的數據表明，過去的網絡安全是序幕。 希望CISO不僅能獲得更多的現金，而且還能通過各自對于2018年的規劃。相反，我希望他們能夠評估需求，流程和資源，并利用不斷增加的預算，來提高基礎網絡安全。