根據Gartner數據,全球5G無線網絡基礎設施收入將於2020年達到42億美元,比2019年的22億美元增長89%。雖然距離5G網絡達到一定規模還需要相當長的時間,但我們已經開始看到澳大利亞、新加坡和韓國推出了早期的5G試用服務。例如,新加坡已開始在雲遊戲、自動駕駛汽車、智能地產以及食品和飲料行業進行試驗。一旦成功部署,5G網絡將擁有釋放自主性的潛力,在很大程度上影響從運輸、供應鏈到製造業的整個經濟領域。
然而,在開始考慮推出5G前,我們要謹記現在的4G網絡仍然容易受到各種威脅,包括垃圾郵件、竊聽軟體、惡意軟體、IP位址欺騙、數據和服務竊取、DDoS攻擊以及眾多其他變體。這對於需要應對安全漏洞的行動網路運營商來說是一個特殊的挑戰。這些安全漏洞不僅來自於與其他行動網路運營商(MNO)的互聯,還來自於長期演進(LTE)設備不同的安全標準。
此外,還有數百萬用戶的不安全行為,以及大量第三方應用和服務的安全缺陷。如果今天不解決這些問題,它們無疑會延續到5G時代。
未來十年,大型5G基礎設施項目將投入建設,但迄今為止僅有少數測試項目取得成功。5G網絡將與4G網絡一同發展,但5G時代尚未完全到來。4G在部分亞太國家市場才剛剛推出,因此距離5G網絡達到一定規模還需要相當長的時間。據GSMA預測:到2025年,亞太地區的4G用戶仍將占全球移動用戶的68%。與5G的毫米波(mmWave)相比,4G的覆蓋範圍更廣,因此許多農村地區仍然可以使用LTE模式。
在現有安全風險無法消除的情況下,移動網際網路服務提供商會在網絡攻擊中首先倒下,而不安全的IoT系統漏洞等,如果在4G時代不能解決的話,其影響將在5G環境下呈指數性擴大。當今需要新型網絡安全方法,包括採用安全防禦措施,提高安全自動化水平,建立情境安全成果以及將安全功能與API集成。我們預計4G仍將是黑客的主要目標,並在未來幾年可能成為入侵5G網絡的途徑。
關於全球網絡安全人才缺乏以及關鍵技能差距的說法由來已久。根據(ISC)² 2018年網絡安全勞動力調查的最新研究,亞太區的網絡安全人才缺口為214萬,因此該地區可能受影響最嚴重。
這種短缺是否可能是某些職位的期望值與實際需求之間不匹配的結果?一些職位描述要求的資質非常寬泛,這對於招聘到符合要求的管理人才是不現實的。短缺數據是否準確反映了行業的實際需求?
除非大眾的網絡安全觀念從根本上發生改變,否則網絡安全將持續出現供不應求的狀況。要應對這項挑戰有兩種互補的方法:採用自動化以及探索可替代的人才來源。
自動化將成為未來網絡安全的一個關鍵要素,因為不應該要求人類——也不應該期望人類——去做所有的事情。相反,他們需要利用那些無法自動化的技能,並專注於解決問題、溝通和協作等更高層次的任務。這將需要重新審查當今的安全運營中心(SOC)結構,並相應地改變這些新角色所需的專業人員類型,以便準確地識別並填補其中的一些空白。企業和招聘人員不應再追求鳳毛麟角的精英(他們並不存在!),而是應該在合適的渠道發掘人才。
2020年,我們認為在職位評估上情商應比智商更為重要,以尋找具備解決問題能力及好奇心的人才,無論是工程師、分析師還是通信專家。需要對技能提升以及跨技能培訓等被忽視的項目進行投資,並將這些有能力的個人培養成我們需要的人才。對於希望準確發現企業內相關網絡安全技能差距的公司來說,NICE框架中的員工類別是一個非常實用的起點。
根據IDC數據,2019年在物聯網領域的支出亞太區將引領全球,約占全球支出的36.9%。但時至今日,安全可能仍是產品開發過程結束後才會想到的事情。一些持續出貨的聯網設備並沒有提供後續的軟體更新和安全補丁,從而導致易於利用的常見漏洞。到2020年,物聯網安全面臨的潛在威脅(例如DDoS攻擊)將越來越多,這一問題將進一步惡化。
我們已經看到,這些攻擊,包括Mirai殭屍網絡通過不安全的聯網設備發起的攻擊,可以破壞流行的全球網絡平台。除了目前已經利用的18個漏洞外,Mirai惡意軟體最近又新增了8個漏洞,其目標從無線演示系統到機頂盒、SD-WAN甚至是智能家居控制器等一系列設備,對企業和聯網家庭構成了威脅。隨著越來越多的物聯網產品進入市場,網絡威脅被悄悄地隱藏了起來。當有人踩到這些地雷時會發生什麼?
2020年,我們預計物聯網安全的發展將在兩個關鍵領域展開:個人及工業物聯網。不論是聯網的門鈴攝像頭,還是無線揚聲器系統,我們將看到通過不安全的應用或薄弱的登錄憑證入侵的攻擊模式不斷增長。便利的深度偽造技術的出現使這種威脅變得更加複雜,該技術可能會對語音或生物識別控制的聯網設備構成威脅。模仿最強大的生物識別裝置以訪問和控制聯網系統,它將影響家庭和企業環境。
對於企業而言,我們預計作為許多亞洲經濟體關鍵支柱的製造業也將發生重大變化。製造商希望部署傳感器、可穿戴設備和自動化系統,以通過數據收集和分析簡化生產、物流和員工管理流程。企業需要確保聯網設備能夠利用諸如內置診斷、持續漏洞掃描和高級分析等自動化功能,以保持對物聯網威脅的掌控。
聯網設備需要不斷進行改造和更新,以確保安全。全球各國政府——包括亞太地區的政府——也越來越傾向於發布與物聯網設備安全相關的指導或法規。此外,行業標準組織也在努力制定物聯網設備的相關安全標準,如ISO/IEC 27037標準草案。這兩種趨勢肯定會在一定程度上影響物聯網設備的部署。我們還希望優先考慮對公眾的相關教育以適應聯網設備的快速增長和普及。
網際網路協會2018年針對亞太區政策議題的調查發現,超過70%的受訪者希望自己的個人信息在收集和使用方面能夠擁有更多控制權。然而,大多數人為獲取短期利益(例如熱門應用、手機遊戲或在線比賽)而提供個人信息時卻毫不猶豫。這一行為說明:某些新興市場對網絡安全的意識不足,而在其它市場,如新加坡等,則對網絡安全過於樂觀。不幸的是,數據隱私問題表明人們不僅對收集的數據缺乏認識,而且對數據的使用也缺乏了解。人們不知道那些不為人知的事情。
為了幫助解決這一日益嚴重的問題並保護公民數據,監管機構圍繞實施更嚴格的本地數據隱私法而展開行動。包括泰國在內的一些國家/地區已經通過了新的法律來管理對數據的保護,要求企業在收集、共享和使用數據時更加注重隱私。為了遵守歐盟的通用數據保護條例(GDPR),部分國家已經開始採取行動,例如日本最近對其數據隱私法進行了更新。對於企業而言,注意法律完善程度和地區差異非常重要。
我們預計本地區將會出現更多的數據隱私法規。過去幾年印尼和印度一直在研究個人數據保護法案,儘管目前還不清楚這些法案最終是否會生效以及何時生效。該區域越來越多的提案也將需要其原籍國的住房數據;這往往是出於隱私和安全方面的考慮。印尼政府2019年第71號法規的最新草案要求,公共機構必須在印尼境內管理、處理和存儲數據(根據非官方翻譯)。我們預計會有更多的監管提案來規範或限制數據的跨境流動,特別是公共部門信息的遷移。因此,企業可能會考慮在本地建立更多的數據中心,以更好地支持本地客戶。
然而,企業必須注意,建立本地化的數據中心並不一定會使數據更加安全。因為網絡威脅沒有國界,個人終端用戶或企業之間的聯繫日益緊密,容易受到全球事件的影響。企業仍然有責任採用全面的網絡安全策略,以支持跨網絡、端點和雲端的操作和信息存取。為了有效地管理這些信息,企業需要定期評估他們收集的信息,並控制信息的訪問。
我們預計,在像東協這樣高度互聯的地區,企業需要更加密切地關注其數據流。儘管各國都在努力創建區域性統一個人數據保護方法(例如自願通過APEC跨境隱私規則),但並沒有實現真正的統一。為了創建最適合本地區的框架,私營部門和公共部門之間需要緊密合作,以便在面對不斷出現的新興威脅時評估如何識別和定義違規行為。
整個地區對雲應用的態度和接受程度並不一樣。儘管遷移到雲是合理的,但是在將關鍵信息放入雲時也需要謹慎。關於虛擬與物理設備優勢的誤解仍然存在,讓問題變得更加複雜。
綜上所述,我們預計雲應用的前景看好。企業開始意識到雲方案的獨特之處。亞洲的CIO們非常清楚地了解向雲遷移對其數字化轉型戰略的意義,並將視其企業的成熟度而採取行動。我們也開始看到東協各國政府朝著這一轉變做出了嘗試;新加坡、泰國和馬來西亞的政府機構都宣布了在公有雲領域的投資,而印度尼西亞則有望成為亞洲的下一個大型數據中心樞紐。
越來越多的企業也開始利用容器(即作業系統虛擬化)來提高效率和一致性並降低成本。但是,暴露和配置錯誤的容器的潛在危險將很快出現,使企業容易受到針對性的偵察。使用正確的網絡策略或防火牆,或兩者並用,可以防止內部資源暴露於公共網際網路。此外,投資雲安全工具可以提醒企業注意當前雲基礎設施中的風險。
雲安全的採用也面臨著一系列挑戰。受派拓網絡(Palo Alto Networks)委託,著名研究機構Ovum在其《亞太地區雲安全報告》中指出,80%的大型企業將安全性和隱私視為採用雲服務的主要挑戰。
主要發現包括:
2020年還會有更多公司採用DevSecOps方法,將安全流程和工具集成到新產品的開發生命周期中。 這將是雲和容器成功集成的未來方向。