2020年网络安全行业预测

在网络安全领域，2019年被证明是繁忙的一年。仅在前六个月就发生了3,813次数据泄露（暴露了超过41亿条记录），并且在商业和开源软件中发现了12174个新漏洞，今年也是值得被记录一年。

在所有迹象表明2020年同样活跃的情况下，我们与三位常驻专家坐了下来听听他们关于明年在可能会出现的新兴威胁。

他们的预测如下：

1

Checkmarx创始人兼首席技术官Maty Siman

人 工 智 能

2020年，我们将看到越来越多的网络犯罪分子使用人工智能（AI）来扩大攻击范围。不久前，攻击者用了几天的时间进行了一次基本的网络钓鱼攻击。如今，我们看到AI被用于包括捕鲸在内的一系列攻击中，攻击者借此将AI用于社交网络侦察，从而使他们的工作更具针对性和有效性。

人工智能还将为利用攻击者能够学习的遗传算法对基于攻击者的恶意软件进行变异打开大门，从而增加成功的机会。特别令人担心的是，这些突变通常会通过更改其签名或结构来绕过传统的防病毒解决方案，这意味着恶意有效负载可以自由地在系统上造成严重破坏。

基础架构即代码

直到最近，组织的安全支出主要集中在保护传统IT基础架构上。如今，该基础架构现在已变得非常灵活，组织可以根据需要进行上下扩展，这要部分归功于基础架构即为代码。这具有巨大的好处，但是在2020年，我们可以预期攻击者会在这些灵活的环境中滥用开发人员的失误。

随着将基础结构作为代码引入，网络和安全性体系结构已由软件定义，这会影响传统的IT安全性支出。基础架构即代码将导致更多的资金分配给软件和应用程序安全性，以前这些仅占IT安全性预算的10％左右，这极大地转移了传统安全性支出。

开 源

随着组织越来越多地在其应用程序中利用开放源代码软件，明年，我们将看到渗透到开放源代码项目的网络犯罪分子呈上升趋势。期望看到攻击者通过将恶意有效载荷直接注入开源软件包中来更频繁地为开源社区“贡献力量”，其目标是开发人员和组织在其应用程序中利用此污染代码。

正如我们所看到的，这种情况正在发展，对开发人员和开源贡献者背景检查等流程的需求将日益增长。当前，开源环境完全基于信任-组织通常不审查开发人员过去的项目或声誉。但是，随着攻击者利用开放源代码项目，这种信任将开始受到侵蚀，迫使组织通过彻底审查其应用程序以及提供这些应用程序的开放源代码，采取主动的缓解措施。

2

Checkmarx安全研究主管Erez Yalon

物 联 网

虽然我们看到物联网供应商在2019年就物联网安全性和隐私的重要性进行了“讨论”，但它还没有转化为他们“随波逐流”，而是真正将消费者安全与利润同等优先。

随着消费者对物联网安全问题的意识日益增强，供应商将被迫承担更大的责任，以确保其设备在2020年得到安全保护。另一方面，我还希望最终用户对研究供应商的兴趣更大购买个人用途的IoT设备之前的安全记录和信誉，这可能导致不负责任的供应商迅速发现其产品堆积在仓库和货架上。

蜜 罐

明年，API滥用将成为企业应用程序中数据泄露的一个更为突出的媒介。如今，如果没有某种类型的API集成，几乎没有办法开发现代应用程序，并且攻击者开始注意到它，并将目光投向了这一新兴的攻击领域。

API安全教育在2020年及以后最为重要，以减少这些相关风险和造成这些风险的脆弱性。开发人员应该利用可用的资源，例如OWASP API安全性十佳列表，该列表可跟踪组织在使用API方面面临的风险。

3

Checkmarx安全策略全球总监 Matt Rose

微 服 务

在2020年，我们将看到微服务在软件体系结构中的泛滥，开发团队将同等重视速度和安全性。这些小代码块的使用对于保持CI / CD管道的敏捷性至关重要，而现代化，安全的微服务方法将成为明年及以后软件开发的新常态。

选 举 安 全

投票基础结构不再是物理的曲柄和相应的按钮。现在，绝大多数投票和计票都在运行于商业和开源软件上的机器上进行，实际上使它们与任何其他启用浏览器的网络连接资源一样脆弱。

我希望攻击者干扰2020年的选举，以找到操纵进入或流出这些计算机的数据的方法。这样，可以预期会出现诸如SQL注入之类的通用技术，在这种技术中，攻击者将尝试操纵查询字符串并增强（甚至是彻底删除）投票数据。这种黑客行为的影响显而易见，因为投票数据可能会歪斜，或者更糟的是，投票数据可能会被完全抹掉。

自 动 化

安全和开发团队当前面临的最大挑战之一是与安全相关的数据过载，这会阻碍软件交付速度和安全完整性。利用自动化来产生高质量结果的应用程序安全测试工具将在2020年继续发展，通过使漏洞检测和分类自动化，减少软件总体上市时间，帮助组织转变为真正的DevSecOps模型。

为了更好地了解其威胁状况以及应该在其SDLC中自动执行的操作，明年，组织必须停止仅着眼于主要的行业威胁来制定其防御策略，而应着眼于与其自身基础架构和商业模式。自动化安全工具将支持这项工作，简化分类流程并帮助团队首先关注最紧迫的漏洞。