如果你認為2016年是糟糕的，那么請系緊你的安全帶，因為明年會更糟。

從W-2的騙局到WordPress的漏洞，勒索軟件，商業電子郵件妥協，DDos攻擊，以及被黑客攻擊的美國總統選舉的指控，2016年對于網絡安全來說一直是地獄的一年，而到現在還沒有結束。

如今，人們沒有理由相信2017年網絡安全會更好。甚至可能更糟的是，網絡罪犯繼續影響社會工程，找到新的方法來提供惡意軟件，破解易受攻擊的數據庫，以及利用移動技術找到方法來攻擊企業防御系統和個人目標。

行業媒體采訪了兩家業界領先的網絡安全專家：安全訪問軟件廠商Bomgar公司的首席執行官斯科特·米勒，移動安全廠商CyberadAPT公司的安全設備管理首席技術官馬特·迪科斯，對2017年的網絡安全的發展預期。

1.密碼“成長”

迪科斯說，10月21日發生的DDoS攻擊對部分互聯網造成破壞，至少部分是通過物聯網設備上不變的默認密碼實現的，黑客們可以利用它。不要認為這是免疫的;組織的許多用戶具有簡單，常見或過時的密碼？迪科斯表示，更好的密碼管理服務在2017年將獲得更大的發展，因為企業明白他們是多么脆弱。

“我曾經做過一個測試，我通過技術進入別人的路由器，其中有很多專用的'啞'設備，而就這些路由器用來促進幾個月前的DDoS攻擊，它使黑客的工作很容易。”迪科斯說。

網絡安全專業人員將努力保護關鍵基礎設施，連接系統和遠程訪問的系統和設備，而弱密碼實踐仍然是規范，但它不僅僅是外部威脅是一個問題。

他說，通過更好的密碼管理，也可以緩解內部威脅。這樣做的最佳方式是實施一個解決方案，安全地存儲那些用戶仍然未知的密碼，然后定期驗證和輪換這些密碼，以確保安全性和安全性。

“我們所說的是憑證庫，在理想的世界里，用戶永遠不會知道他們的密碼是什么，它會被保險庫自動填充，每周輪換和更改。有些黑客并不專注，如果你讓他們實施攻擊更加困難，他們就會去其他地方，而不是投入更多的精力來破解。”迪科斯說。

2.特權獲得力量

迪科斯表示，黑客希望獲得更高級的訪問，他們通常針對特權用戶的憑據，如IT專業人士，CEO和供應商，。雖然組織已經將安全應用于對其業務最關鍵的系統，應用程序和數據，但這些預防措施根本不夠。他說，在2017年，精明的組織將最終認真地保護不僅僅是系統，而是通過識別用戶，監控他們的訪問行為，以及關閉訪問他們不需要的權限。

“我們有一些客戶說，'嗯，我會讓我的用戶或外部供應商一直在虛擬專用網（VPN）運行上，但他們不知道他們實際上是在訪問。只能通過權限管理，可以把它想像為一個銀行的專用電梯，根據你的角色和身份，你只能到達某些樓層，這真的限制你可以做什么，特別是如果你是惡意的，即使我有一個有效的密碼，如果我的特權可以讓我上7樓，但我嘗試去6樓，然后系統會阻止我的行業，并通知他人。”迪科斯說。

為了解決這個問題，組織愿意提供廣泛的教育和培訓，處理所涉及的潛在危險，特別是對于越來越喜歡采用移動設備的工作人員，許多個人會犧牲隱私和個人數據的訪問，并相信他們的安全將由第三方服務提供商和應用程序創建者提供安全服務，迪科斯說。

“尤其是在過去幾代的數字原生代，人們更愿意放棄他們的個人信息和數據訪問應用程序，連接，信息，而這很容易被人利用，他們相信這些應用程序開發人員，這些提供商將確保他們的安全和安全。而這是危險的。結合網絡安全技能差距，人才短缺，工作人員移動辦公，以應用程序為中心的環境，更復雜的黑客認為這是一個完美的風暴，而我們認為它只會變得更糟。”迪科斯說。

3.安全責任工作將會升級

“當我們與客戶交談時，我們看到的一個令人恐怖的趨勢是，他們甚至不會說‘如果’攻擊發生了，而是‘什么時候’。就像在這一點上，他們只是伸出雙手說，‘好吧，我要應對，它會有多糟糕？’而這些想法對安全人員來說，是可怕的。”迪科斯說。

物聯網的廣泛應用，以及企業對安全解決方案提供商的越來越多的依賴，這意味著企業可能無法輕松地解釋所有權或來源，一旦發生違約事件，那么。誰來負責保護，維護和修補各種技術？更糟糕的是，有一個產品已連接到內部系統，卻很難打補丁。許多物聯網設備往往被忽視，因為它們超出了IT的傳統范圍，但這意味著面臨威脅。

“通過物聯網，自動化和云計算的集成，沒有人完全確定誰負責維護所有這些不同部分的安全：物聯網設備制造商？安全服務提供商？內部IT部門？還是個人用戶？而那些企業只有安全性最低的設備或關系。”迪科斯說。

迪科斯表示，當發生違規行為時，即使有安全層，誰“擁有”它，以及誰擁有或有權力對其做某事的問題，這些將產生強烈的反應。

企業可以通過確保IT和業務領導之間的開放溝通，了解潛在的威脅，安全和選擇安全方法，以及組織內存在的挑戰和約束，來擺脫這些事件的發生。

“問題的一部分是，作為首席安全官（CSO），首席信息安全官（CISO），甚至首席信息官CIO，這些具有安全責任的人都是隱形的，如果你正在做你的工作，或者你在這個職位。如果你提出了偉大的政策，程序和安全措施，那么你經常把它們交給IT來操作，但是如果這些失敗，這是因為你不了解業務需求，預算，以及要求，那么你不會帶來真的幫助。”他說。

4.勒索軟件將失去控制

根據2016年互聯網安全威脅報告，自2016年1月1日起，賽門鐵克公司安全響應小組平均每天處理超過4000個勒索軟件攻擊事件：比2015年增長300％。

CyberadAPT公司的斯科特·米勒表示，如今，大多數組織依靠低開銷預防技術，如防火墻和防病毒解決方案或入侵防御來緩解這些威脅。然而，這些工具有很多不足，違反數據事件頻發意味著組織必須改進檢測和事件響應。

他說，隨著攻擊者繼續使用社會工程和社交網絡針對組織內的敏感角色或個人獲取數據，對全面安全教育的需求變得更加重要。

“如果安全策略和技術不考慮這些因素，勒索軟件將會繼續滲透。還有一個就是安全檢測的問題。一些攻擊者可以駐留在企業的運營環境中幾個月，通常在環境中橫向移動，網絡之間網絡，邊緣，端點和數據安全系統和過程，并可以限制組織預防，檢測和響應高級攻擊的能力。”米勒說。

他說，新的攻擊層面，例如IaaS，SaaS和IoT等仍然是黑客新的目標，組織還沒有找到最好的方法來保護他們。

5.停留時間將沒有顯著的改善

停留時間是成功攻擊與受害者發現之間的時間間隔，在2017年將會得到顯著改善。米勒說。在一些極端情況下，這個停留時間可能高達兩年，并且每次違約事件可能耗費數百萬美元。

“為什么這么久？在我看來，這是非常簡單的，很少或沒有關注真正的攻擊活動檢測。隨著惡意軟件時代的到來，企業，供應商和個人都正確地關注網絡安全，整個行業迅速發展，專注于深度防御這個基本主題。我認為是分層預防戰術在線從外部滲透更困難，而惡意軟件識別技術也在進行激烈的競爭，都聲稱可以100％可靠地識別惡意軟件。”米勒說。

米勒表示，雖然組織具有一些響應技術和補救能力，改進，受害者能夠很快隔離和修復損害。問題是這些技術沒有幫助減少停留時間;除非響應團隊偶然發現了一些惡意或隨機發現的異常。

米勒表示，如今，安全專家正在使用網絡設備日志文件來搜索關于是否嘗試或已經成功進行攻擊的線索，但是通過這種方法所需的大量數據進行存儲和排序是昂貴且低效的。

“對大型數據存儲和大規模分析引擎的需求推動了新的安全信息和事件管理（SIEM）行業發展。雖然SIEM為調查員提供了一個偉大的事后辯證工具，但它仍然不能有效地識別正在進行的攻擊。我們和其他一些公司正在開發的產品專注于分析原始網絡流量，以識別攻擊指標。在攻擊者瀕臨邊緣或設備時進行預防，盡快發現攻擊者，或完全規避作為一個無辜或惡意的內部人員，將大大縮短停留時間。”他說。

6.移動設備將繼續上升為一個切入點

米勒預測，2017年，移動設備將成為主要的切入點，可能主要的企業違規事件來自于移動設備。波洛蒙研究所的報告發現，對于企業而言，移動數據泄露的經濟風險可高達2640萬美元，67％的受訪組織報告說，由于員工使用移動設備訪問公司的敏感數據和機密信息。

人們采用他們的移動設備工作，數據太多，速度太快，傳統的網絡安全戰略對于這些來說，很難奏效。米勒表示，除此之外，用戶對于他們選擇使用的設備有越來越多的所屬感，其利用方式越來越成熟。

“許多用戶認為他們可以保護他們的隱私，同時可以安全地，不間斷地訪問業務和個人服務。仍然有很多人認為他們不必對安全漏洞負責;如果首席信息安全官，首席信息官和首席執行官能解決安全問題的話，他們認為這是實施其企業安全戰略的一個復雜挑戰，而將電子郵件和日歷數據通過SSL傳遞到單一經批準的操作系統將無法解決這一問題。”米勒說。

萬事達卡的“selfie”和英特爾的真正支付的關鍵只是冰山的一角，移動支付也將成為一種責任。萬事達卡的“selfie”和英特爾的TrueKey只是冰山一角，他說。個人應該明白，他們需要像對待其他財務和個人數據一樣仔細對待他們的生物特征數據;再次，這歸結為教育和培訓。

“如果公共Wi-Fi接入提供商需要在互聯網發布也像香煙包裝上的警告是不是更好？”警告：這種公共訪問連接不安全，用戶連接時發送和接收的信息可能被查看，收集和隨后被罪犯用來竊取用戶的資產，身份或私人信息。”米勒說。

7.威脅物聯網？

物理網（IoT）的脆弱性和攻擊將上升，并將增加對各種安全措施的標準化的需求，黑客在今年的DefCon發現47個新的漏洞，并影響21家生產制造商的23種設備。

當然，在2016年10月，包括Twitter，Netflix，Reddit和英國政府網站在內的主要全球網站都遭遇到了大規模DDoS攻擊，據報道這是由不安全的物聯網設備組成的Mirai僵尸網絡所提供支持。

米勒說，“人們將很多注意力集中在智能設備，作為物聯網日益增長的影響力的證明，現實是所連接的設備不會使它成為一個智能設備。”