年底總是會讓我們團隊有些興奮，因為我們需要回顧這一年，分析我們全年的工作情況，並展望未來一年的發展。在充分利用我們團隊在資料和應用程式安全方面的專業知識和挖掘全球客戶群的洞察力的基礎上，我們決定採用不同的方法，重點關注我們認為2019年將成為焦點的三個最重要趨勢。

2018年，資料和應用安全事件出現激增，正如我們預測的那樣，資料洩露的規模和頻率都在增長，雲安全在全球範圍內佔據了中心位置。就這一點，我們來看看明年的情況。

資料洩露事件不會很快消失

資料洩露肯定還會出現，這將導致監管變嚴。事實上，2018年美國資料洩露事件的平均成本超過700萬美元。

無論是GDPR，澳大利亞隱私法，泰國的新隱私法還是土耳其的KVKK; 無論你身在何處，法規將會成為一種標準，這種標準可能是地區性的，集團內的或是某個國家內的。

以前，當我們看資料洩露事件，總是以美國為指向，但隨著監管框架和隨後的合規措施在全球範圍內擴充套件，情況將發生改變。

2019年，隨著我們向前發展，相關規章將會在全球相繼出臺，而不只是在美國。

如果黑客要竊取私人資料或信用卡詳細資訊，為什麼要在部署了世界級網路安全措施的環境中進行呢？如果其他人的保護程度更低，那黑客就會找到有目標資料的人群，這樣的情況更多是出現在法規和合規操作不到位的地方。

因此，2019年，監管機構不一定會通過對公司進行大規模罰款來約束其操作。但是，你會發現很多公司在合規方面已開展了大量工作。

在管理風險方面，您要了解雲端計算

麥肯錫報告指出，到2020年，企業在雲產品上的投入將是一般性IT服務的六倍以上；LogicMonitor的調查則表明，高達83％的企業工作負載將在同一時間上載到雲端。

各企業會繼續利用數字經濟帶來的商業利益，結果就是將更多資料整合到雲中。現在，我們並不是說這種操作缺乏深思熟慮，問題在於他們是否會對資料進行分類，並逐漸將業務放到雲端呢？

各團隊需要認識幾個問題：當他們將資料轉移到雲端時，他們對雲端內容的認識也在發生改變； 誰在使用雲？什麼時候使用雲？以及他們為什麼要使用雲？2019年不是企業認為他們需要這樣做的一年。然而，我們將看到越來越多的雲友好型解決方案進入市場以解決這些挑戰。

社會工程和人工智慧的興起

2019年最關鍵的發展之一將是網路安全行業如何解決安全團隊日益增加的壓力。根據全球資訊保安勞動力研究，到2022年，網路安全專業人員的短缺將達到180萬，但與此同時，ESG的一份報告顯示，只有9％的千禧一代對網路安全職業感興趣。

我們將看到，人工智慧和網路安全技術領域的機器學習縮小數量和技能多樣性的差距。

現在的企業需要僱傭專業人員來解決網路安全問題，包括網路安全，應用安全，資料安全，郵件安全，現在還要加上雲安全。無論是什麼安全，這些技能對於任何企業的安全姿態都至關重要。

並沒有很多人瞭解雲安全性，資料庫安全性，應用程式安全性，資料安全性或檔案安全性。我們知道企業正在嘗試解決這個問題，通常都是走老路，這也是最常見的解決方案。做更多的反惡意軟體，做更多的反病毒軟體，收效有限。不過，他們也開始圍繞人工智慧做些事情，並試圖利用技術來解決問題。後者將促成企業轉而使用訂閱服務。

有兩個因素在這種轉變中起推動作用：第一，事實上，他們意識到自己不是專家，但可以請專家。不幸的是，他們只是不直接接受僱請，專家們為那些提供這項服務的公司工作。

其次，企業正逐漸認識到進入雲端計算的優勢，因為這是一個決定性的因素，它屬於運營開支，而不是資本支出。訂閱服務也是如此，無論是在雲端還是在本地，都沒關係。在技能短缺和成本的驅動下，2019年的訂購服務將會出現增長，各組織實際上正在為你解決網路安全問題。

但是，我們應該補充一點，隨著越來越多的組織轉向人工智慧和基於機器學習的安全控制決策，攻擊者將試圖利用這一點攻克相應的防禦。

特別提到：網路戰的“滴漏效應”

事實是，國家之間的網路攻擊確實出現了，這是一種互相遷就的情況。這也是我們生活的世界，是可接受的行為型別，坦率地說，這些在現今社會不一定會導致戰爭，但有人仍然會從中獲益。

具體而言，他們正在攻擊第三方公司，承包商和金融機構。這也是網路安全如此重要的原因，你要意識到有人可能會竊取您的資料以獲取金錢收益。也許有人會竊取您的資料以獲取政治利益，所以保護這些資料是很重要的事情。

雖然國家型黑客攻擊不一定是開戰宣言，但其影響也不可小覷。民族國家黑客行為帶來的滴漏效應特別令人擔憂，因為各類政府最終會栽到資源豐富的網路犯罪分子手中，這些網路犯罪分子熱衷於攻擊企業和個人。

慣犯

在2017年Equifax資料洩露之後，API的安全性就躋身OWASP十大排行榜，並且仍有充分的理由蟬聯。隨著API的廣泛使用和麵對檢測攻擊的不斷挑戰，我們將看到攻擊者繼續將API作為一系列威脅的重要目標，包括暴力攻擊，App模擬，網路釣魚和程式碼注入。

非法挖加密幣的人已經知道加密挖掘是獲取利潤的最短途徑，他們會繼續改進技術破壞別人的機器，希望通過挖加密幣和可以訪問控制加密錢包的機器發財致富。

省力，輕鬆賺錢，完全匿名，可能對受害者造成巨大傷害......當談到勒索軟體時，你不喜歡它的哪一點？不過這型別的攻擊不太可能消失。

結論

如果一定要給2019年一個主題，那就是威脅情報的概念，就是對存在的危險有所瞭解並做一些事情，總比置之不理要好。

我們經常談論風險與可接受風險（或合理風險）之間的差異，許多公司試圖解決自己所能遇到的每一個問題，最終不僅讓團隊感到不堪重負，還出現預算不足。

可接受的風險不是“因為我沒有有效阻止，所以導致資料洩露”。可接受的風險是“我知道它發生了，我接受它發生了，但它是一個合理概率的事件，因為我的控制不是那麼具體，還沒有精細到可以解決所有風險，但我的管控使我可以承受風險。”

所以，最好是從今天開始，從你的規模和相關性開始做改進，即便這種努力把高風險降到中等程度的風險，或是合理可接受的風險程度。