Google在2019年的开端,公布了几项需要注意的网络安全趋势,除了攻击者将对较弱的的两步验证进行攻击外,零信任架构与自我管理的云计算加密密钥服务将会逐渐受欢迎,另外,Google也提醒,接下来黑客的攻击能量会瞄准容器等原生云计算环境,针对架构漏洞进行更复杂的攻击。
不少应用程序已经部局两步验证保护用户帐户,但是并非所有的两步验证的保护力都足够强健,Google表示,现在攻击者正在寻找能够绕过较弱两步验证的方法,像是通过网络钓鱼攻击或是接管电话号码以拦截SMS一次性验证码等,而这些攻击瞄准的对象通常是高价值用户,诸如高端主管、政治人物或是云计算管理员。
因此接下来,Google预测,更多的服务应该会陆续采用更能对抗钓鱼攻击的两步验证,并采用FIDO标准,通过安全密钥进行身份验证,让用户获得更强大防范网络钓鱼攻击和帐户接管的保护。 Google进一步预测,在2019年,无密码登录将会成为主流。由于操作系统与浏览器平台对W3C和FIDO API的支持,网站也将开始提供重新登录的功能,用户只需要使用指纹等生物识别就能执行登录动作。尽管无密码首次登录需要比较多的手续,但是在之后,便能获得简单且高度安全的登录体验。
另外,2019年零信任架构将会从创意阶段进人实际应用阶段。随着不少企业逐渐将系统移往云计算,为了满足员工随时随地访问业务资源的需求,零信任架构成了热门的话题,Google自己的BeyondCorp模型就是这个概念的原始企业实例,Google预计,会有越来越多供应商,在2019年将提供套装商业解决方案。
接下来,攻击者会将攻击能量转向容器等原生云计算环境,进行更复杂的攻击,Google提到,他们已经看到了针对容器部局的公开攻击,虽然目前的攻击都比较低端,仅是利用虚拟机的公开程序代码泄漏错误配置、凭证或是机密信息,但随着容器采用率上升,Google认为,将会看到针对容器架构和容器漏洞的更高级攻击。
自我管理的加密密钥除了可以提供对数据访问的控制,也提供额外的审计透明度、满足政策和法规的要求或是控制供应商访问能力,不过由于管理密钥不易,可能导致数据丢失的问题,Google认为,自我管理的云计算加密金耀服务将逐渐受欢迎。
而在2018年实施的欧盟最严格个人信息法GDPR,要求组织企业应主动报告数据泄漏事件,光在英国,与2017年相比,2018年上半年自主报告的数据泄露率增加了30%。 Google预测,第一笔GDPR的罚款应该会落在2019年。而开源软件蓬勃发展的现在,从开放源码存储库下手植入漏洞,成为了一种有效的攻击方法,Google也提醒,用户应该对开源软件进行更严格的测试。