7.热门:量子密码学
用于加密通信的当前方法本质上不安全。相反,它们依赖于加密密钥的交换,理论上这些密钥可以被攻击者破坏。安全性依赖于这样的事实:这些密钥只能通过计算密集型数学来破解,在某种程度上,其问题的难度使得这种方法成为一种不切实际的攻击方法。
因为如果人们对计算机有一点了解的话,那就是随着时间的推移,新的计算机可以更快地处理数字解密。被称为量子计算机的下一代计算机将能够对以前几乎不可能实现的加密问题在短时间内解决,这些计算机的工作原理是量子物理学,而不是二进制计算。量子密钥分发用一个理论上完美的安全性的密钥基础设施取代了当前的加密密钥基础设施。由于人们无法在不改变量子状态的情况下观察到它,因此,如果中间人试图窥探他们的对话,通过特殊硬件共享密钥的计算机将立即得到警报。
关键数字:这可能听起来都很具有未来感,而且大多数估计是广泛的量子计算在五到二十年得到应用。在分析的十多年的学术研究中,Crossword Cybersecurity公司发现,专注于量子加密的项目数量飙升了227%。
8.热门:网络钓鱼
网络钓鱼是诱骗用户交出登录信息的骗术,这一点并不新鲜,但这并没有阻止它成为攻击者的最爱。虽然人们主要将网络钓鱼与电子邮件联系在一起,但攻击者正在利用各种各样的攻击媒介来欺骗受害者。SlashNext公司首席执行官兼创始人Atif Mushtaq说:“越来越多的员工在浏览器中直接受到针对性的网络钓鱼攻击,这些攻击具有高度合法性的网站、广告、搜索结果、弹出窗口、社交媒体帖子、聊天应用程序、即时消息以及流氓浏览器扩展和免费网络应用程序。大多数IT主管也没有意识到网络钓鱼威胁移动的速度有多快,通常只持续几分钟到几小时,然后其网站关闭,网络犯罪分子可以继续逃避现有的安全控制。”
关键数据:根据Verizon Data Breach公司2019年开展的调查报告,93%的数据泄露最终涉及网络钓鱼攻击。
9.趋冷:防病毒
安全厂商赛门铁克公司在五年前宣布杀毒软件已经消亡,但产品细分市场通过IT部门推进,有些规则需要许多行业来维护防病毒软件的保护。尽管蠕虫病毒和其他形式的恶意软件正在进行攻击,但防病毒软件已经成为一种防御机制,IT专业人员认为这种机制基本上已过时,无法应对日益复杂的攻击,并且完全无视网络钓鱼电子邮件等重要媒介。
关键数据:SANS研究所的一项调查显示,反病毒软件检测不到一半的网络攻击。
10.热门:多因素身份验证
文中讨论的许多安全漏洞归结为:如果密码以某种方式被盗,则攻击者可以无限制地访问私人信息或功能。为了克服这个困难,安全系统应该将这些密码视为访问受限数据所需的几个因素之一。这些因素可能包括用户知道的东西(如密码),他们拥有的东西(如安全令牌),或者他们所拥有的东西(与生物识别安全相关)。一个典型的例子是ATM机,它需要PIN和物理卡才能访问;许多网站现在都需要密码和通过短信发送到用户手机的代码才能登录。
关键数据:随着大规模黑客攻击使得密码的可靠性降低,越来越多的公司开始转向多因素安全认证。根据Okta公司的2019年Business @ Work报告,令人放心的是,70%的公司正在使用两到四个因素来保证安全,这比前一年的65%有所上升。
11.趋冷:区块链
比特币的价格在2018年下降了近80%,虽然比特币和区块链并不是一回事,但基于区块链的安全技术的兴趣似乎也在以同样的速率下降。Nyotron公司的Kolga表示对这项技术的投资已经冻结。另一方面,这些东西总是有一线希望:比特币价值的下降也导致了密码攻击的相应下降,这会劫持受害者的计算机挖掘比特币,以使网络攻击者获利。
关键数据:最近一项针对高管的调查显示,只有1%的人计划在他们的公司推出区块链技术。Forrester Research公司估计,90%的企业区块链实验从未实现过商业化生产。
建议不要追逐趋势
虽然人们希望这些观点已经成为IT安全中一些不断变化的挑战的焦点,但人们也希望,某些最佳实践将继续支持智能安全专业人员解决问题的方式。Pensar Development公司的IEEE成员兼安全和信息技术总监Kayne McGladrey说,“企业正在回归到最基本的层面:符合NIST指令的补丁、库存管理、密码政策。很多人正在认识到,不可能捍卫无法看到的东西,而最简单的方法就是保持系统最新状态,并防止凭证填充攻击。”