今天的 4G 问题与 5G 息息相关。
根据 Gartner 数据,全球 5G 无线网络基础设施收入将于 2020 年达到 42 亿美元,比 2019 年的 22 亿美元增长 89%。虽然距离 5G 网络达到一定规模还需要相当长的时间,但澳大利亚、新加坡和韩国推出了早期的 5G 试用服务。
例如,新加坡已开始在云游戏、自动驾驶汽车、智能地产以及食品和饮料行业进行试验。一旦成功部署,5G 网络将拥有释放自主性的潜力,在很大程度上影响从运输、供应链到制造业的整个经济领域。
然而,在开始考虑推出 5G 前,我们要谨记现在的 4G 网络仍然容易受到各种威胁,包括垃圾邮件、窃听软件、恶意软件、IP 地址欺骗、数据和服务窃取、DDoS 攻击以及众多其他变体。这对于需要应对安全漏洞的移动网络运营商来说是一个特殊的挑战。这些安全漏洞不仅来自于与其他移动网络运营商(MNO)的互联,还来自于长期演进(LTE)设备不同的安全标准。
此外,还有数百万用户的不安全行为,以及大量第三方应用和服务的安全缺陷。如果今天不解决这些问题,它们无疑会延续到 5G 时代。
未来十年,大型 5G 基础设施项目将投入建设,但迄今为止仅有少数测试项目取得成功。5G 网络将与 4G网络一同发展,但 5G 时代尚未完全到来。4G 在部分亚太国家市场才刚刚推出,因此距离 5G 网络达到一定规模还需要相当长的时间。据 GSMA 预测:到 2025 年,亚太地区的 4G 用户仍将占全球移动用户的 68%。与 5G 的毫米波(mmWave)相比,4G 的覆盖范围更广,因此许多农村地区仍然可以使用 LTE模式。
在现有安全风险无法消除的情况下,移动互联网服务提供商会在网络攻击中首先倒下,而不安全的 IoT 系统漏洞等,如果在 4G 时代不能解决的话,其影响将在 5G 环境下呈指数性扩大。当今需要新型网络安全方法,包括采用安全防御措施,提高安全自动化水平,建立情境安全成果以及将安全功能与 API 集成,预计 4G 仍将是黑客的主要目标,并在未来几年可能成为入侵 5G 网络的途径。
关于全球网络安全人才缺乏以及关键技能差距的说法由来已久。根据 ISC 2018年网络安全劳动力调查的最新研究,亚太区的网络安全人才缺口为 214 万,因此该地区可能受影响最严重。
这种短缺是否可能是某些职位的期望值与实际需求之间不匹配的结果?一些职位描述要求的资质非常宽泛,这对于招聘到符合要求的管理人才是不现实的。短缺数据是否准确反映了行业的实际需求?
除非大众的网络安全观念从根本上发生改变,否则网络安全将持续出现供不应求的状况。要应对这项挑战有两种互补的方法:采用自动化以及探索可替代的人才来源。
自动化将成为未来网络安全的一个关键要素,因为不应该要求人类——也不应该期望人类——去做所有的事情。相反,他们需要利用那些无法自动化的技能,并专注于解决问题、沟通和协作等更高层次的任务。这将需要重新审查当今的安全运营中心(SOC)结构,并相应地改变这些新角色所需的专业人员类型,以便准确地识别并填补其中的一些空白。企业和招聘人员不应再追求凤毛麟角的精英(他们并不存在!),而是应该在合适的渠道发掘人才。
2020 年,我们认为在职位评估上情商应比智商更为重要,以寻找具备解决问题能力及好奇心的人才,无论是工程师、分析师还是通信专家。需要对技能提升以及跨技能培训等被忽视的项目进行投资,并将这些有能力的个人培养成我们需要的人才。对于希望准确发现企业内相关网络安全技能差距的公司来说,NICE框架中的员工类别是一个非常实用的起点。
根据 IDC 数据,2019 年在物联网领域的支出亚太区将引领全球,约占全球支出的 36.9 %。但时至今日,安全可能仍是产品开发过程结束后才会想到的事情。一些持续出货的联网设备并没有提供后续的软件更新和安全补丁,从而导致易于利用的常见漏洞。到 2020 年,物联网安全面临的潜在威胁(例如 DDoS攻击)将越来越多,这一问题将进一步恶化。
这些攻击,包括 Mirai 僵尸网络通过不安全的联网设备发起的攻击,可以破坏流行的全球网络平台。除了目前已经利用的 18 个漏洞外,Mirai恶意软件最近又新增了 8 个漏洞,其目标从无线演示系统到机顶盒、SD-WAN 甚至是智能家居控制器等一系列设备,对企业和联网家庭构成了威胁。随着越来越多的物联网产品进入市场,网络威胁被悄悄地隐藏了起来。当有人踩到这些地雷时会发生什么?
2020 年,物联网安全的发展将在两个关键领域展开:个人及工业物联网。不论是联网的门铃摄像头,还是无线扬声器系统,我们将看到通过不安全的应用或薄弱的登录凭证入侵的攻击模式不断增长。便利的深度伪造技术的出现使这种威胁变得更加复杂,该技术可能会对语音或生物识别控制的联网设备构成威胁。模仿最强大的生物识别装置以访问和控制联网系统,它将影响家庭和企业环境。
许多亚洲经济体关键支柱的制造业也将发生重大变化。制造商希望部署传感器、可穿戴设备和自动化系统,以通过数据收集和分析简化生产、物流和员工管理流程。企业需要确保联网设备能够利用诸如内置诊断、持续漏洞扫描和高级分析等自动化功能,以保持对物联网威胁的掌控。
联网设备需要不断进行改造和更新,以确保安全。全球各国政府——包括亚太地区的政府——也越来越倾向于发布与物联网设备安全相关的指导或法规。此外,行业标准组织也在努力制定物联网设备的相关安全标准,如ISO/IEC 27037标准草案。这两种趋势肯定会在一定程度上影响物联网设备的部署。我们还希望优先考虑对公众的相关教育以适应联网设备的快速增长和普及。
互联网协会 2018 年针对亚太区政策议题的调查发现,超过 70 %的受访者希望自己的个人信息在收集和使用方面能够拥有更多控制权。然而,大多数人为获取短期利益(例如热门应用、手机游戏或在线比赛)而提供个人信息时却毫不犹豫。
这一行为说明:某些新兴市场对网络安全的意识不足,而在其它市场,如新加坡等,则对网络安全过于乐观。不幸的是,数据隐私问题表明人们不仅对收集的数据缺乏认识,而且对数据的使用也缺乏了解。人们不知道那些不为人知的事情。
为了帮助解决这一日益严重的问题并保护公民数据,监管机构围绕实施更严格的本地数据隐私法而展开行动。包括泰国在内的一些国家/地区已经通过了新的法律来管理对数据的保护,要求企业在收集、共享和使用数据时更加注重隐私。为了遵守欧盟的通用数据保护条例(GDPR),部分国家已经开始采取行动,例如日本最近对其数据隐私法进行了更新。对于企业而言,注意法律完善程度和地区差异非常重要。
本地区将会出现更多的数据隐私法规。过去几年印尼和印度一直在研究个人数据保护法案,尽管目前还不清楚这些法案最终是否会生效以及何时生效。该区域越来越多的提案也将需要其原籍国的住房数据;这往往是出于隐私和安全方面的考虑。
印尼政府 2019 年第 71 号法规的最新草案要求,公共机构必须在印尼境内管理、处理和存储数据(根据非官方翻译)。我们预计会有更多的监管提案来规范或限制数据的跨境流动,特别是公共部门信息的迁移。因此,企业可能会考虑在本地建立更多的数据中心,以更好地支持本地客户。
然而,企业必须注意,建立本地化的数据中心并不一定会使数据更加安全。因为网络威胁没有国界,个人终端用户或企业之间的联系日益紧密,容易受到全球事件的影响。企业仍然有责任采用全面的网络安全策略,以支持跨网络、端点和云端的操作和信息存取。为了有效地管理这些信息,企业需要定期评估他们收集的信息,并控制信息的访问。
在像东盟这样高度互联的地区,企业需要更加密切地关注其数据流。尽管各国都在努力创建区域性统一个人数据保护方法(例如自愿通过 APEC 跨境隐私规则),但并没有实现真正的统一。为了创建最适合本地区的框架,私营部门和公共部门之间需要紧密合作,以便在面对不断出现的新兴威胁时评估如何识别和定义违规行为。
整个地区对云应用的态度和接受程度并不一样。尽管迁移到云是合理的,但是在将关键信息放入云时也需要谨慎。关于虚拟与物理设备优势的误解仍然存在,让问题变得更加复杂。
云应用的前景看好。企业开始意识到云方案的独特之处。亚洲的 CIO 们非常清楚地了解向云迁移对其数字化转型战略的意义,并将视其企业的成熟度而采取行动。我们也开始看到东盟各国政府朝着这一转变做出了尝试;新加坡、泰国和马来西亚的政府机构都宣布了在公有云领域的投资,而印度尼西亚则有望成为亚洲的下一个大型数据中心枢纽。
越来越多的企业也开始利用容器(即操作系统虚拟化)来提高效率和一致性并降低成本。但是,暴露和配置错误的容器的潜在危险将很快出现,使企业容易受到针对性的侦察。使用正确的网络策略或防火墙,或两者并用,可以防止内部资源暴露于公共互联网。此外,投资云安全工具可以提醒企业注意当前云基础设施中的风险。
云安全的采用也面临着一系列挑战。受派拓网络(Palo Alto Networks)委托,著名研究机构 Ovum 在其《亚太地区云安全报告》中指出,80%的大型企业将安全性和隐私视为采用云服务的主要挑战。
主要发现包括:
78 %的中国受访企业对云安全抱有过度信心,认为云供应商提供的安全功能足以保护其免受威胁
亚太区的大型企业使用多种安全工具,造成安全态势的碎片化,尤其是当企业在多云环境中运行时。采用多云方式会导致危险的可视化缺陷,在中国,有 77 % 受调查的大型企业表示这一情况相当普遍,高于亚太地区平均水平 13 个百分点。
报告显示,有三分之二(66%)的企业不能做到每年进行一次网络安全态势的审核,并且有 26 %的这类审核并不包括对云安全的评估。除了审核,有 45 %的中国企业无法做到每年对IT安全人员进行安全培训。鉴于大型企业没有足够的时间和资源来专门用于云安全审核和培训,因此显然需要自动化。
2020 年还会有更多公司采用 DevSecOps 方法,将安全流程和工具集成到新产品的开发生命周期中,这将是云和容器成功集成的未来方向。
问答
Palo Alto Networks 亚太区域首席安全官 Kevin O’Leary:我们认为都很重要,如果只是挑出来最重要的,我认为是物联网。
有几个原因:第一,信息通过物联网设备被提取出来。这很多数据以我们并不所熟悉的方式提取出来的话,会造成数据隐私的问题。第二,这些物联网设备上的安全问题是否能被正确处置。飞利浦是一个家电公司,它做过一项研究,很多智能摄像头能被快速利用作为僵尸网络。
第三,物联网现在成为整个公共、工业环境下所必须要使用的设备,我认为整个物联网对我们产生的影响很大。
很多物联网设备在出厂时缺少安全配置,所以我们必须在整个网络的适当位置进行相应的安全控制。但是我现在可能会担心,很多配置没有被正确配置和使用。
Palo Alto Networks 亚太区域首席安全官 Kevin O’Leary: 4G 和 5G 是有一定关联的。在 5G 时代,因为科技的发展速度快,收到的数据比以前更多,虽然 5G 的最终用户并不一定能感受得到。
由于 5G 时代的推动,更多地应用会用在智能汽车这样的领域当中。因为有更低的延时和更高的数据量,这是一个新的挑战。在 5G 时代,我们会运用大量毫米波的基站,这样的基站会带来一些安全上的风险和挑战。要是基站距离在 500 米以上,基站的部署跟 4G 时代将有很大的不同。4G 基站的距离在 2000 米以上,5G时代的基站布起来应该是一个网格结构,基站之间要求的距离会非常短。
5G 时代也会催生大量非常廉价、易用的终端,来推动整个物联网的发展。成本的低廉会造成安全上的考虑相应减少,甚至是没有,这样会带来更多安全风险。
在 4G 时代,很多安全焦点在于信号本身的安全。我们也有一个担心,这样安全的思路可能在 5G 时代仍然会被使用。
在 5G 流行起来的时候,我们没有太多关注传输数据上的安全,就好比你用一个管道进行灌溉,可能只关心了管子本身是否安全,但是没有关心这个管子里的水是否干净和健康。
5G 和 4G 时代安全防护的重点区别在于数据量和本身对于数据的防护,对 4G 时代保护得好的安全方案可能在 5G 时代并不适用。
文章来源于网络安全公司 Palo Alto Networks 发布。版权归原作者所有,如有侵权,请联系删除