2020年网络安全趋势：值得关注的9个威胁(5)

2020年优秀建议：对电子商务脚本进行源代码审查，并实现资源完整性，以便未经企业的许可不会加载修改后的脚本。确保企业的云计算提供商对自己的代码进行评估以防止欺诈。定期扫描配置错误，防止企业数据在全球互联网上公开。

8.物联网漏洞

根据美国安全行业协会(SIA)2019年安全大趋势的调查报告，物联网(IoT)及其生成的数据是2019年对安全从业人员影响第二大的趋势。物联网的发展充满热情并且难以预测。研究机构Statista公司估计，到2020年将有66亿到300亿个互联网连接设备。

对于大多数企业而言，物联网带来的威胁已成为2019年的头等大事。Marsh Microsoft 公司发布的2019年全球风险感知调查报告表明，66%的受访者将物联网视为网络风险，23%的受访者认为该风险极高。Cyber​​X公司副总裁、工业网络安全总裁Phil Neray说。“这些物联网设备是攻击者的软目标，因为它们通常没有打补丁或者配置错误，并且由于不支持端点安全代理而被不受管理。其结果是，它们很容易受到对手的侵害，从而在企业网络中立足，进行破坏性勒索软件攻击，窃取敏感知识产权，并进行DDoS攻击和加密劫持而窃取计算资源。”

Cyber​​X公司发布的《2020年全球IoT/ICS风险》调查报告指出了过去12个月中使物联网设备易受攻击的最常见安全漏洞。报告表明一些方面得到显著改善。远程访问的物联网设备减少30%，其中在54%的设备中发现了此漏洞。直接互联网连接也从40%下降到27%。

另一方面，71%的网站发现了过时的操作系统，而去年这一比例为53%，66%的网站未能进行自动防病毒更新，而去年这一比例为43%。

2020年的预期：Neray认为，随着物联网设备数量的增加以及网络罪犯的动机和成熟度的增加，2020年工业环境将面临严重风险，其中包括能源设施、制造业、化工行业等，他表示，“对于药品、石油和天然气等行业领域的攻击可能导致更严重的后果，将导致代价高昂的工厂停工、对人身安全的威胁和环境事故。”

Neray说，“建筑物管理系统(BMS)将成为网络攻击者的主要目标。它们通常由对安全性缺乏专门知识的设施管理团队进行部署，通常不知不觉地暴露于全球互联网，并且不受企业安全运营中心(SOC)的监视。”

2020年优秀建议：Neray建议企业遵循多层次的纵深防御策略，例如：

更加强大的网络细分

限制具有强大访问控制(例如2FA和密码库)的第三方承包商对工业控制网络的远程访问

无代理网络安全监控，可在对手攻击或关闭其设施之前快速检测和缓解物联网攻击。

最终，最好的防御措施更多地取决于企业而不是技术方法。Neray说，“在TRITON对沙特阿拉伯一家石化厂的安全系统的攻击中，主要缺陷之一是没有人认为自己最终对工业控制网络的安全负责。其结果是，安全监控严重失误，没有人检查安装在DMZ中的防火墙是否已由外包公司正确配置。我们对企业首席登记处安全官的建议是找到立足点，掌握物联网和运营技术安全性，并以整体方式将联网和运营技术安全性与IT安全性相结合，并集成到企业安全运营中心(SOC)的监视工作流和安全性堆栈中。”

9.加密货币劫持

最后，以一些好消息来结束这个趋势预测：预计到2020年，加密货币攻击将会减少。尽管在卡巴斯基公司的《2019年信息技术安全经济学》调查报告中，加密货币攻击并没有成为大企业或中小企业最频繁攻击的列表，但事实证明，在2019年，这些攻击对很多企业来说代价高昂，他们的平均成本损失为162万美元。

2020年的预期：加密货币的发生率随着加密货币的价值波动而变化，但是攻击者执行加密货币劫持方案的难易程度意味着这种威胁将持续到2020年。Galov说，“在2019年，加密货币一直在稳步下降，我们看不出有什么理由这种趋势会发生变化。加密货币的获利能力下降，也受到与这种威胁作斗争的影响。”

（编辑：ASP站长网）