嚴(yán)峻的事實是,全球58%的企業(yè)承認(rèn)在過去的12個月里至少遇到過一次數(shù)據(jù)泄露事件�,而其中一半的企業(yè)表示,它們至少遭遇了一次內(nèi)部事件�。超過三分之一的企業(yè)至少遭受了一次涉及商業(yè)伙伴或第三方供應(yīng)商的攻擊��。
而關(guān)鍵在于����,根據(jù)Forrester Research的2017年全球安全調(diào)查報告顯示�,已知的軟件漏洞為41%的外部攻擊打開了大門。
這意味著什么?舉個例子���,美國國家安全局的“永恒之藍(lán)”漏洞發(fā)生之后的一系列事件�����,就是針對微軟這幾十年來���,在每個Windows操作系統(tǒng)上默認(rèn)啟用的服務(wù)器消息塊(SMBv1)服務(wù)。盡管微軟采取了緊急補(bǔ)救措施����,但這個漏洞仍然被大規(guī)模用于WannaCry和NotPetya勒索軟件攻擊。在WannaCry爆發(fā)后的24小時內(nèi)����,超過150個國家的23萬多臺電腦被感染,總損失估計高達(dá)40億美元���。大約一個月后�����,NotPetya病毒又造成了約3億美元的損失��。
Forrester高級研究員Josh Zelonis表示�����,對于首席信息安全官員和網(wǎng)絡(luò)安全專業(yè)人士來說�,真正令人感到震驚的是�����,這些攻擊是在微軟發(fā)布修復(fù)漏洞的60到90天之后進(jìn)行的�����。這就是為什么他將無效漏洞管理列為2018年數(shù)據(jù)安全面臨的最嚴(yán)重威脅��。
漏洞管理需要持續(xù)不斷地關(guān)注
Zelonis警告說:“知名度高的攻擊是系統(tǒng)未修補(bǔ)的結(jié)果�����,漏洞管理需要高度關(guān)注。雖然企業(yè)的安全性不應(yīng)該依賴于補(bǔ)丁�����,但執(zhí)行強(qiáng)制性安全任務(wù)(如補(bǔ)丁管理)的能力是預(yù)估整體安全狀況的一個很好的指標(biāo)����。
以下是Zelonis公司根據(jù)2017年Forrester對全球604位網(wǎng)絡(luò)安全決策者的調(diào)查結(jié)果,確定的其他主要威脅����,受訪者所在企業(yè)均為擁有至少1000名員工的公司。
不安全的云服務(wù)將繼續(xù)導(dǎo)致敏感數(shù)據(jù)泄漏
在過去的幾年中�,由于MongoDB和亞馬遜的簡單存儲服務(wù)(S3)等錯誤配置的云服務(wù),出現(xiàn)了大量的大規(guī)模數(shù)據(jù)泄露��。Zelonis指出�,僅在2017年第三季度,Time Warner����、Verizon和Viacom等大公司就經(jīng)歷了這類數(shù)據(jù)泄漏,包括丟失加密密鑰�,客戶賬戶細(xì)節(jié)和其他敏感數(shù)據(jù)。
數(shù)據(jù)安全專業(yè)人員需要深入了解如何配置面向公眾的服務(wù)。雖然這可以通過定期的對抗訓(xùn)練或內(nèi)部商議來完成�����,但Forrester建議與數(shù)字風(fēng)險監(jiān)控公司合作�,實時監(jiān)控業(yè)務(wù)的基礎(chǔ)設(shè)施。
Equifax的事故證實�����,基于知識的身份認(rèn)證是無效的����。根據(jù)Forrester的調(diào)查,42%的攻擊行為是針對個人身份信息��,使其成為攻擊者最普遍針對的數(shù)據(jù)類型��。隨著Equifax事故中數(shù)據(jù)被竊取�,信息盜賊已經(jīng)擁有訪問個人病歷�,銀行賬戶和納稅申報表所需的一切資料。
在這種情況下��,Zelonis說��,公司需要把身份信息作為一種基于信任的授權(quán)和聲明。平衡欺詐風(fēng)險與限制摩擦間的關(guān)系�����,以確保完成交易����,這是現(xiàn)在所有企業(yè)必須權(quán)衡的。例如���,當(dāng)購買模式發(fā)生變化時��,貸方就會把信用卡上的欺詐行為擱置起來��。所有公司都需要開始使用客戶驗證數(shù)據(jù)來進(jìn)行基于行為的分析��,以驗證某人的身份���。
戰(zhàn)略妥協(xié)將使攻擊者破壞供應(yīng)鏈。第三方風(fēng)險往往是與合作公司和服務(wù)提供商共享數(shù)據(jù)的結(jié)果�。通常,企業(yè)上游的供應(yīng)鏈問題被忽視����,事故發(fā)生也會沒能注意而且也沒有公開����。
為了糾正這個問題�����,Zelonis建議進(jìn)行供應(yīng)鏈威脅評估��。負(fù)責(zé)數(shù)據(jù)安全職責(zé)的人員應(yīng)該定期審查供應(yīng)商信任值以及如何部署軟件更新�。
勒索軟件將暴露網(wǎng)絡(luò)安全和業(yè)務(wù)連續(xù)性弱點。它代表著從傳統(tǒng)的數(shù)據(jù)竊取轉(zhuǎn)向直接貨幣化的網(wǎng)絡(luò)犯罪分子的系統(tǒng)妥協(xié)�����。Forrester和Disaster Recovery Journal最近進(jìn)行的一項聯(lián)合調(diào)查發(fā)現(xiàn)�,每四家公司中就有三家記錄了數(shù)據(jù)篡改響應(yīng)計劃,但每年只有四分之一的計劃對這些計劃進(jìn)行一次以上的測試��。
Zelonis指出�����,每天必須備份的數(shù)據(jù)應(yīng)該更頻繁地進(jìn)行測試����,以便為可能發(fā)生的災(zāi)難做好準(zhǔn)備。
(新媒體責(zé)編:wb001)
京公網(wǎng)安備 11010602130064號
