年底總是會讓我們團隊有些興奮，因為我們需要回顧這一年，分析我們全年的工作情況，并展望未來一年的發展。在充分利用我們團隊在數據和應用程序安全方面的專業知識和挖掘全球客戶群的洞察力的基礎上，我們決定采用不同的方法，重點關注我們認為2019年將成為焦點的三個最重要趨勢。

2018年，數據和應用安全事件出現激增，正如我們預測的那樣，數據泄露的規模和頻率都在增長，云安全在全球范圍內占據了中心位置。就這一點，我們來看看明年的情況。

數據泄露事件不會很快消失

數據泄露肯定還會出現，這將導致監管變嚴。事實上，2018年美國數據泄露事件的平均成本超過700萬美元。

無論是GDPR，澳大利亞隱私法，泰國的新隱私法還是土耳其的KVKK;無論你身在何處，法規將會成為一種標準，這種標準可能是地區性的，集團內的或是某個國家內的。

以前，當我們看數據泄露事件，總是以美國為指向，但隨著監管框架和隨后的合規措施在全球范圍內擴展，情況將發生改變。

2019年，隨著我們向前發展，相關規章將會在全球相繼出臺，而不只是在美國。

如果黑客要竊取私人數據或信用卡詳細信息，為什么要在部署了世界級網絡安全措施的環境中進行呢？如果其他人的保護程度更低，那黑客就會找到有目標數據的人群，這樣的情況更多是出現在法規和合規操作不到位的地方。

因此，2019年，監管機構不一定會通過對公司進行大規模罰款來約束其操作。但是，你會發現很多公司在合規方面已開展了大量工作。

在管理風險方面，您要了解云計算

麥肯錫報告指出，到2020年，企業在云產品上的投入將是一般性IT服務的六倍以上；LogicMonitor的調查則表明，高達83％的企業工作負載將在同一時間上載到云端。

各企業會繼續利用數字經濟帶來的商業利益，結果就是將更多數據整合到云中。現在，我們并不是說這種操作缺乏深思熟慮，問題在于他們是否會對數據進行分類，并逐漸將業務放到云端呢？

各團隊需要認識幾個問題：當他們將數據轉移到云端時，他們對云端內容的認識也在發生改變；誰在使用云？什么時候使用云？以及他們為什么要使用云？2019年不是企業認為他們需要這樣做的一年。然而，我們將看到越來越多的云友好型解決方案進入市場以解決這些挑戰。

社會工程和人工智能的興起

2019年最關鍵的發展之一將是網絡安全行業如何解決安全團隊日益增加的壓力。根據全球信息安全勞動力研究，到2022年，網絡安全專業人員的短缺將達到180萬，但與此同時，ESG的一份報告顯示，只有9％的千禧一代對網絡安全職業感興趣。

我們將看到，人工智能和網絡安全技術領域的機器學習縮小數量和技能多樣性的差距。

現在的企業需要雇傭專業人員來解決網絡安全問題，包括網絡安全，應用安全，數據安全，郵件安全，現在還要加上云安全。無論是什么安全，這些技能對于任何企業的安全姿態都至關重要。

并沒有很多人了解云安全性，數據庫安全性，應用程序安全性，數據安全性或文件安全性。我們知道企業正在嘗試解決這個問題，通常都是走老路，這也是最常見的解決方案。做更多的反惡意軟件，做更多的反病毒軟件，收效有限。不過，他們也開始圍繞人工智能做些事情，并試圖利用技術來解決問題。后者將促成企業轉而使用訂閱服務。

有兩個因素在這種轉變中起推動作用：第一，事實上，他們意識到自己不是專家，但可以請專家。不幸的是，他們只是不直接接受雇請，專家們為那些提供這項服務的公司工作。

其次，企業正逐漸認識到進入云計算的優勢，因為這是一個決定性的因素，它屬于運營開支，而不是資本支出。訂閱服務也是如此，無論是在云端還是在本地，都沒關系。在技能短缺和成本的驅動下，2019年的訂購服務將會出現增長，各組織實際上正在為你解決網絡安全問題。

但是，我們應該補充一點，隨著越來越多的組織轉向人工智能和基于機器學習的安全控制決策，攻擊者將試圖利用這一點攻克相應的防御。

特別提到：網絡戰的“滴漏效應”

事實是，國家之間的網絡攻擊確實出現了，這是一種互相遷就的情況。這也是我們生活的世界，是可接受的行為類型，坦率地說，這些在現今社會不一定會導致戰爭，但有人仍然會從中獲益。

具體而言，他們正在攻擊第三方公司，承包商和金融機構。這也是網絡安全如此重要的原因，你要意識到有人可能會竊取您的數據以獲取金錢收益。也許有人會竊取您的數據以獲取政治利益，所以保護這些數據是很重要的事情。

雖然國家型黑客攻擊不一定是開戰宣言，但其影響也不可小覷。民族國家黑客行為帶來的滴漏效應特別令人擔憂，因為各類政府最終會栽到資源豐富的網絡犯罪分子手中，這些網絡犯罪分子熱衷于攻擊企業和個人。

慣犯

在2017年Equifax數據泄露之后，API的安全性就躋身OWASP十大排行榜，并且仍有充分的理由蟬聯。隨著API的廣泛使用和面對檢測攻擊的不斷挑戰，我們將看到攻擊者繼續將API作為一系列威脅的重要目標，包括暴力攻擊，App模擬，網絡釣魚和代碼注入。

非法挖加密幣的人已經知道加密挖掘是獲取利潤的最短途徑，他們會繼續改進技術破壞別人的機器，希望通過挖加密幣和可以訪問控制加密錢包的機器發財致富。

省力，輕松賺錢，完全匿名，可能對受害者造成巨大傷害......當談到勒索軟件時，你不喜歡它的哪一點？不過這類型的攻擊不太可能消失。

結論

如果一定要給2019年一個主題，那就是威脅情報的概念，就是對存在的危險有所了解并做一些事情，總比置之不理要好。

我們經常談論風險與可接受風險（或合理風險）之間的差異，許多公司試圖解決自己所能遇到的每一個問題，最終不僅讓團隊感到不堪重負，還出現預算不足。

可接受的風險不是“因為我沒有有效阻止，所以導致數據泄露”。可接受的風險是“我知道它發生了，我接受它發生了，但它是一個合理概率的事件，因為我的控制不是那么具體，還沒有精細到可以解決所有風險，但我的管控使我可以承受風險。”

所以，最好是從今天開始，從你的規模和相關性開始做改進，即便這種努力把高風險降到中等程度的風險，或是合理可接受的風險程度。