一、網絡安全專業(yè)從業(yè)者將受到各類法律規(guī)定困擾

作為持續(xù)爭議和辯論的源頭，《加利福尼亞消費者隱私法案》(CCPA)于2019年1月11日最終定稿。

該法案旨在保護加利福尼亞人個人數據，防止個人數據被肆無忌憚的網絡犯罪分子誤用或未經許可的使用。法案規(guī)定每項故意違法行為最高可處以7500美元的罰款，每起非故意違規(guī)行為可處以2500美元的罰款。

該法對處理或管理加利福尼亞居民個人數據的組織具有強制性，無論該居民是否位于加利福尼亞州。類似于歐盟GDPR，加利福利亞居民被賦予了一系列權利來控制其個人數據及其最終使用。

問題在于，如果每個美國州都制定自己的州隱私法，則僅在美國領土上就必須遵守50多個重疊的隱私法，有時甚至是相互矛盾的法規(guī)，否則將面臨嚴厲的經濟處罰甚至刑事訴訟。

區(qū)域、國家和跨國法規(guī)的迅速發(fā)展使情況更加惡化，2020年可能成為網絡安全合法性受到影響并開始迅速崩潰的一年。鑒于一方面司法系統(tǒng)更新緩慢，另一方面網絡安全技能不足且預算不足，網絡安全專業(yè)人員在工作中可能會開始無視這些一系列復雜的法案。

二、第三方數據泄露將主導威脅格局

賽門鐵克表示，2019年供應鏈攻擊上升了78%。一般來說，優(yōu)秀的企業(yè)通常以較高的專業(yè)水平而著稱，他們會集中所有可用資源以在特定市場中實現卓越，從而超越競爭對手。

因此，他們將大多數輔助業(yè)務流程外包給了熟練的供應商和經驗豐富的第三方，從而降低了成本，提高了質量并加快了項目交付速度。

問題是，供應商存在安全隱患，他們在競爭激烈的全球市場中運作，不會將太多精力放在網絡安全方面，因此很少能為客戶提供可觀的網絡安全和數據保護水平。

IBM表示，2019年識別供應鏈攻擊事件的平均時間高達206天。更糟的是，由于攻擊的復雜性和受害人缺乏相應技能及意識，因此很少能檢測到此類攻擊，最終這類的攻擊往往由安全研究人員及相關媒體披露并報道。

網絡犯罪分子非常了解這種攻擊的有效性，并將繼續(xù)有目的地鎖定這一最薄弱的環(huán)節(jié)，以獲取你的數據，商業(yè)秘密和知識產權。

三、外部攻擊面將繼續(xù)擴大

根據IDG的CSO Online，2019年有61%的組織經歷了IoT安全事件。物聯網和連接設備的全球擴散，公共云，PaaS和IaaS的使用極大地促進了相關業(yè)務發(fā)展并實現了公司業(yè)績快速增長。但隨之而來的 是Iot等設備擴大了網絡犯罪分子攻擊面的問題，而且會被掩蓋在高業(yè)績之下無人關注。

簡單地說;外部攻擊面由攻擊者可以從Internet訪問并屬于你組織的所有數字資產(也稱為IT資產)組成。

傳統(tǒng)的數字資產(例如網絡或Web服務器)通常都有很多防御措施，但是RESTful API和Web服務，混合云應用程序以及托管在外部平臺上的關鍵業(yè)務數據(新興的數字資產的幾個例子)，它們的攻擊面通常無人關注

由于你無法保護自己所不知道的東西，因此這些數字資產中的絕大部分都沒有以任何方式正確維護，監(jiān)視或保護。

流氓app，詐騙網站，釣魚網站和搶注網站使情況更加惡化，可通過適當實施的域安全監(jiān)控來檢測到這種情況，這種監(jiān)控手段提供了一種防御方案，將會被越來越關注

總而言之，隨著技術升級，IT資源新增了許多未知因素(無論是內部還是外部)，使得入侵將變得更加容易。

四、云配置錯誤將會造成嚴重的數據泄漏事件

福布斯表示，到2020年，將有83%的企業(yè)工作負載轉移到云中。不幸的是，用于數據存儲和處理的云的穩(wěn)定增長大大超出了負責云基礎架構的IT人員所需的安全技能和足夠的培訓。

Gartner報告說，大約95%的云安全故障是由客戶而不是公共云基礎架構的供應商造成的。

不出所料，2019年重大數據泄露的很大一部分源于配置不當的云存儲，暴露了大型科技公司和金融機構的“皇冠上的寶石”。

在2019年7月，世界媒體報道了Capital One的數據泄露事件，這可能是美國金融領域最大的數據泄露事件，影響了大約1億美國人和600萬加拿大人。。

據報道，攻擊者利用一個配置錯誤的AWS S3存儲桶來下載無人監(jiān)管的極其敏感的數據。盡管Capital One估計只有1.5億美元的直接損失，但美國聯邦調查局(FBI)后來披露，有多達30個其他組織也可能因為同樣的AWS配置不當而受到攻擊。

可以預見的是，在2020年，云安全事件將始終是數據泄露根源的重中之重。

五、密碼重用和網絡釣魚攻擊將激增

ImmuniWeb表示， 僅僅是《財富》500強中世界上最大的公司，你可能在2019年就能在黑暗網絡中搜出2100多萬份有效憑證。

網絡罪犯更喜歡快速、無風險的攻擊，而不是耗時的APT攻擊、代價高昂的0days攻擊，或者是對SAP復雜漏洞的連續(xù)利用。

即使許多組織最終設法實現了可使用的身份和訪問管理(IAM)系統(tǒng)，并使用了強大的密碼策略、MFA和對異常情況的持續(xù)監(jiān)控，但是很少有外部系統(tǒng)包括在受保護的范圍內。

這些灰色地帶系統(tǒng)的范圍從SaaS CRM和ERP到彈性公共云平臺。即使攻擊者在暗網中發(fā)現或購買的密碼是無效的，它們也為社會工程學攻擊、網絡釣魚和智能暴力破解攻擊提供了大量的幫助。

從技術角度看，這些攻擊乍一看相當原始，但它們常常顯示出驚人的效率，并無情地破壞和削弱了組織的網絡安全防御能力。