讓我們面對現實吧：對于網絡安全來說，2017年是極其糟糕的一年，因為在這一年出現了更多的網絡釣魚詐騙、惡意軟件、國家資助的網絡攻擊和新的攻擊媒介。那么，2018年情況會變得好一點嗎？

考慮到2017年發(fā)生的事情——Equifax數據泄露事件、國家資助的網絡攻擊、俄羅斯對社交媒體的操控、Wannacry以及數不清的網絡釣魚詐騙事件——你可能會不太期待2018年。2018年，泄露事件將變得更嚴重，黑客們將變得更狡詐，然而安全團隊和安全預算似乎會跟不上變化的步伐。

盡管這樣，我們還是有理由保持樂觀態(tài)度的。是的，在情況好轉前，一些事態(tài)將不斷惡化，但是我們期待在一些領域會取得重大的進展。以下是我們對2018年網絡安全的預測。

1.許多企業(yè)（如果不是大多數）在截止日期前將不能遵從GDPR

調查顯示，需要遵從歐盟（EU）的通用數據保護規(guī)范（GDPR）的企業(yè)要想在2018年5月25日這一截止日期到來前滿足要求，還有很長的一段路要走。但對一些企業(yè)來說，該規(guī)范對它們并沒有影響。

監(jiān)管者并不會審查GDPR合規(guī)性要求，因此，除非出現了數據泄露事件或歐盟公民提出了控告，企業(yè)是很容易受到罰款的。即使一家公司出現了數據泄露事件或遭到了投訴，但是如果該公司能拿出證據，證據它們?yōu)榱俗駨腉DPR采取過一些強有力的措施，監(jiān)管者很有可能也會很寬容地進行處理的。

未認真對待GDPR，從而導致發(fā)生數據泄露事件并引起監(jiān)管機構啟動專項調查的企業(yè)，都有面臨巨額罰款的風險。于是，這就將我們引到了下一個預測。

2.GDPR監(jiān)管者將快速殺雞儆猴

誰將成為監(jiān)管者的首要目標，人們有兩種看法。一些人認為他們將首先瞄準一家歐盟公司，因為他們反抗罰款的可能性較小。其他一些人則認為，監(jiān)管者在初期將不會只針對一家公司，因為他們心中已經有一些特定目標公司了。

猜測這些特定的公司并不困難。谷歌、蘋果、亞馬遜和臉書在隱私和反信任問題上都曾與歐洲委員存在分歧。如果這四家公司中的任何一家有未遵從GDPR的跡象，歐盟監(jiān)管者就有很可能會把握機會，發(fā)表聲明。

其他公司很有可能不會是早期的目標，除非發(fā)生了一個極其令人震驚的事件，但是要是遵從了GDPR，這個事件原本是可以預防或將危害程度降低的。因此，最安全的方式是盡最大的努力，在5月25日前遵從GDPR。

3.僅使用密碼認證的情況將不斷減少

對于許多消費者來說，Equifax和Anthem數據泄露事件給他們敲響了一個警鐘，使得他們開始詢問有關其線上賬戶安全性的問題了。大多數人仍舊不知道密碼的替代品或密碼增強技術，如多因子認證（MFA）或基于風險的認證，但是他們逐漸意識到單獨的密碼不再足夠安全了。事實上，Bitdefender所做的一項研究表明，相比電子郵件竊聽（70%）或入室盜竊（63%），美國公民更關注竊取身份（79%）。

這一點十分重要，因為企業(yè)常常把缺乏較強身份認證的需求作為不提供它的一個理由。他們不愿意這樣做，一部分原因是，他們不想讓更復雜的身份認證降低用戶體驗。

這一擔憂將會被越來越普遍的基于風險的身份認證工具減輕。這些工具會在后臺運行，來評估客戶行為和其他數據，以便確定試圖訪問系統(tǒng)的人事實上經過身份認證的可能性。與MFA一起，基于風險的身份認證會針對未經授權的訪問建立起一道強有力的屏障。

基于風險的身份認證通常都會與身份和訪問管理（IAM）工具聯合起來使用。Stratistics MRC表示，2018年IAM市場有望達到14.8%的年復合增長率，這一指數也表明，僅使用密碼認證的技術將走向滅絕。

因憑證被破壞所承擔的法律風險也正在促使企業(yè)采取更強的身份認證。在其《數據泄露行業(yè)預測報告》中，Experian指出，一家公司中發(fā)生了一起重大的數據泄露事件后，其他公司的憑證再次使用會受到影響。因為當黑客使用了其被盜的憑證來故意欺騙性地訪問服務時，他們會被迫告知用戶這一情況。

Experian將這稱為數據泄露的余震，并且報告呼吁企業(yè)部署二次身份認證方法。報告指出：“考慮到發(fā)生數據泄露事件后，用戶名和密碼持續(xù)被盜，我們預測，攻擊者會采取與其他攻擊類型相同的方式來竊取更多的個人信息，如社會保障號或醫(yī)療信息。”

4.國家資助的攻擊將不斷增多

國家資助的攻擊通常的嫌疑對象——朝鮮、伊朗和俄羅斯——如果繼續(xù)試圖通過入侵信息系統(tǒng)來進行敲詐、竊取、監(jiān)視和破壞活動，它們已經沒有太多可以失去的了。他們都已經得到了嚴厲的懲罰，因此國家資助的攻擊所造成的危害——至少這些我們已經知道的——已經降到最低。

這便使得升級這些攻擊的風險似乎很低。國家資助的攻擊者有望在其攻擊規(guī)模和影響方面挑戰(zhàn)極限。有一些領域因極其關鍵而受到了特別的關注，如電力和通信網絡。Experian的《2017數據泄露行業(yè)預測報告》表示：“受國家資助的網絡攻擊的不斷進步無疑將使得關鍵的基礎設施成為眾矢之的，從而便有可能導致造成大范圍的停電或個人信息遭到泄露，而這些都會影響到數百萬無辜的消費者�！�

受影響的國家和國際社會將因為不法分子面臨更大的壓力，應當承擔責任的外籍人士也會受到更多的制裁和遭到更多的控告。Experian的報告表示：“不幸的是，直到有明確的有關網絡空間規(guī)章制度的國際協(xié)議，這些攻擊很有可能只會增加和升級，而不會減少或緩和�！�

國家資助的攻擊可能也會促使各國組成聯盟來反擊這些不法分子。PAS Global的CEO Eddie Habibi表示：“在關鍵基礎設施上攻擊的增多將促使各國開始討論網絡安全聯盟。組建這些聯盟將使得牽涉到的國家共同防御網絡攻擊，并且它也會允許在面對來自國家的網絡攻擊的過程中，各國共享情報信息，更不用說協(xié)議中還明確表明聯盟國家不得相互攻擊�！�

直到出現有效的阻止辦法，違規(guī)的國家將不斷升級他們的攻擊，直到攻擊成本過高。這些成本可能以實物反擊或者甚至以物理打擊的形式出現。讓我們期望我們最終不會采取邊緣政策，因為正是這一政策使得冷戰(zhàn)時期中的世界氛圍極為緊張。

5.針對物聯網設備的攻擊將變得越來越糟糕

數以百萬的連接設備面對想要控制它們的黑客來說，僅有一點或完全沒有防御能力。事實上，黑客控制數大量物聯網（loT）設備變得更容易了。現在，他們只需從暗網上購買一個僵尸網絡包，便可以進行攻擊活動了。據估算，三大僵尸網絡包——Andromeda、Gamarue和Wauchos——在一個月內攻擊了超過一百萬臺設備，同時Reaper僵尸網絡也影響了超過一百臺設備。

問題在于，我們并不知道控制僵尸網絡的黑客們到底打算做什么。是發(fā)起分布式拒絕服務攻擊（DDoS）？發(fā)送大量的垃圾郵件？還是他們做一些我們不知道的？2018年，一切都將揭曉。

像Reaper那樣大規(guī)模地構建、保護一個僵尸網絡，并為它設置命令基礎結構是需要花費時間的。一個黑客未抱有巨大的期望，期待獲得豐厚的回報，是不太可能進行此類投資的。2018年，僵尸網絡攻擊可能會變得十分有趣，盡管人們對此深惡痛絕。

這是關于僵尸網絡不好的消息。但好的消息是，人們在不斷加大努力抵御僵尸網絡。12月，有三個人對制造并使用Mirai僵尸網絡從而向DNS服務公司Dyn發(fā)動DDoS攻擊的事實供認不諱。也是在12月，ESET和微軟宣布他們已經聯合摧毀了464個僵尸網絡和超過1200個命令和控制域名。同樣令人倍感欣慰的是，在Belarus，一個人因為被認為與僵尸網絡有關而被逮捕了。

國際合作對阻止僵尸網絡是很有必要的。在Belarus的逮捕行動，以及去年春天在西班牙警方對Waledac和Kelihos垃圾郵件僵尸網絡攻擊者Peter Levashov的逮捕行動都帶給了我們希望：明年黑客們的安全天國將越來越少。

在保護其設備方面，物聯網設備產商也正在進行緩慢的進展，然而，這并不會幫助那些已經被部署并且很難或不能再修改的大量設備。Varonis安裝工程副主席Ken Spinner表示：“產商們將開始解決這些安全缺陷，否則就將失去那些從一開始就十分關注安全的公司。從長遠看來，GDPR可能會挽救局面，強迫企業(yè)重新考慮通過物聯網設備采集的個人數據，但是至少到2019年前，我們都不會看到這一效果�！�

6.一些威脅檢測任務的自動化將不斷增多

安全團隊每天都要審查大量的報警和數據，以便確定可能存在的威脅。受更多攻擊和攻擊媒介的影響，這一審查的數據量將不斷增多。然而，過濾報警數據是一項重復、乏味的工作，這便使得這項工作非常適合使用軟件來自動完成。

企業(yè)已經在利用基于工具的機器學習來幫助過濾報警信息，以及減輕超負荷安全人員的工作負擔了。隨著威脅指示器的數量不斷增加，安全人才不斷增多，我們期望這一趨勢在2018年將不斷加快。為什么會出現這種情況？研究表明，正確部署的自動化工具在識別需要人為查看的報警信息方面是十分高效的。

企業(yè)現在正在進行的自動化試驗將讓他們對科技產生信心，并幫助他們了解他們可以在哪里進行幫助，在哪里不能進行幫助，因此，這將鼓舞安全團隊擴大自動化的合理使用。然而，自動化并不會是一個靈丹妙藥，或取代人員，但是它將提高威脅檢測的有效性，并讓當前的人員騰出手來處理其他重要的任務。

隨著使用基于機器學習的情況的不斷增多，自動化將充分意識到它所不能完成工作。舉例來說，機器學習只會與它的模型和可以用來分析的數據達到同等程度的檢測水平，因此，它很有可能會漏掉新型的攻擊。更好的理解機器學習和自動化的這一點將允許安全團隊能更有效地部署技術。

7.盲目信任將成為網絡犯罪戰(zhàn)場上的一大致命錯誤

當談及網絡安全時，誰又能指責一個人，怪他不信任所有事情呢？沒有一個人的個人身份信息（PII）是安全的。企業(yè)不能指望其供應商和合作伙伴的安全功能是十分完善的。美國政府甚至在公開場合對一個頂級的安全軟件供應商表示了蔑視，就因為它的總部位于俄羅斯。

缺乏信任將開始在企業(yè)中產生實際效果，并且這一效果將會持續(xù)到2018年。據透露，在Uber隱藏一起嚴重的數據泄露事件達一年的過程中，它對問題的改善毫無助益。當消費者不愿意信任他們的個人身份信息存儲在其中的各個公司時，讓他們參與其中將變得更困難。正如上面所闡述到的，這將促使企業(yè)提供更強的身份認證。

更多的企業(yè)有望加大對其合作伙伴、供應商和服務提供商的安全審查力度。第三方數據泄露事件正在變得越來越常見，并且數據顯示，任何一家企業(yè)的安全性只會與其擴展網絡達到同等的安全程度。如果他們不知道其他他們與之進行合作的企業(yè)所擁有的風險，他們就不能向其客戶和員工保證他們的數據是安全的。

美國政府已經禁止政府機構再使用卡巴斯基軟件了，因為它認為這一軟件對美國的國家安全造成了潛在的威脅。2018年，其他國家也很有可能采取類似的舉措。PAS Global的Habibi表示：“其他一些國家也已經表現出了類似的國家傾向，比如中國，它近來就通過了影響深遠的《網絡安全法》，這一法規(guī)要求政府能夠對供應商的源代碼進行訪問。我們預測美國的行政部門也將表現出類似的傾向，指導政府機構優(yōu)先采購研發(fā)和制造位于美國或盟友國家的供應商�！�

對那些能對保護數據表現出真切關注和擁有恰當的安全基礎設施的企業(yè)來說，不輕易相信他人的這一大環(huán)境將為他們提供機會。換句話說，當消費者和其他企業(yè)因為感到與你做生意會十分安全時，辛苦得來的信任就會成為一項資產。