2014年還沒有過去,假日購物季才剛剛進入高潮,我們都知道,災難性的Target泄露事故發(fā)生在去年的11月下旬到12月中旬。
本文中談論的不只是攻擊和泄露事故,而是關于更廣泛的問題或趨勢,它們有可能塑造這個行業(yè)的未來。
下面讓我們看看專家們對2014年安全問題和趨勢的看法:
網(wǎng)絡威脅勝過恐怖主義
上周美聯(lián)社在有關美國聯(lián)邦政府每年花費100億美元保護其多個機構的報道中指出,情報官員稱網(wǎng)絡威脅現(xiàn)在已經(jīng)超過恐怖主義,成為美國面臨的頭號威脅。
雖然在過去幾十年間,網(wǎng)絡攻擊都在不斷擴大和發(fā)展,但這里出現(xiàn)了質的變化:不只是犯罪分子試圖竊取金錢,而且民族國家在利用攻擊來進行間諜行為以獲取軍事優(yōu)勢。
Conventus管理合伙人Sarah Issacs表示,在9月,北約認為網(wǎng)絡攻擊可能觸發(fā)軍事事件,這不只是關于保護信用卡號碼,而已經(jīng)升級到新的水平。
Co3 Systems公司首席技術官兼安全專家Bruce Schneier也表示同意,他認為,越來越多的高級攻擊不再是金融盜竊,而是來自新型攻擊者,新的威脅模式。
在ISACA對高級持續(xù)威脅的調查中發(fā)現(xiàn),92%的受訪者感覺APT是嚴重威脅,有可能危及國家安全和經(jīng)濟穩(wěn)定。
云計算使用的增長
云計算(私有、公共和混合云)不是新鮮事物。但越來越多地使用云計算存儲服務正給企業(yè)帶來很大風險。
Schneier表示,持續(xù)遷移到云計算意味著,我們失去對計算環(huán)境的控制,大多數(shù)我們的數(shù)據(jù)都位于云計算中,由其他公司控制。
雖然專家稱云計算服務提供商通常會提供更好的安全性,但對于“影子”云計算使用并不是這樣,員工通常認為自己部署云服務要比通過IT部門更容易,而這樣做并不安全。
萬物互聯(lián)(IoE)攻擊者新前沿
物聯(lián)網(wǎng)已經(jīng)是過去式,現(xiàn)在是萬物互聯(lián)(IoE)。智能嵌入式設備已經(jīng)成為主流,現(xiàn)在數(shù)量達到數(shù)十億,到2020年預計將超過1萬億。
這意味著越來越多的數(shù)據(jù)流向互聯(lián)網(wǎng),而這些數(shù)據(jù)可能被盜竊或者用于營銷目的以及惡意目的。
每個人都在過度分享一切信息。這種威脅很廣泛,且具有災難性。
智能設備的漏洞被利用已經(jīng)展示過很多次,這促使Identiv公司高級副總裁Phil Montgomery呼吁行業(yè)采用更加系統(tǒng)的基于標準的安全方法,以及更強的身份驗證形式,而不是依靠過時的用戶名/密碼技術。
第三方帶來的風險
今年,大家已經(jīng)開始意識到第三方承包商導致的泄露事故的風險。
監(jiān)管機構正在試圖維持這種意識。支付卡行業(yè)安全標準委員會(PCI SSC)的新任總經(jīng)理Stephen Orfei指出,安全是最薄弱的環(huán)節(jié),這意味著你的業(yè)務合作伙伴的安全做法應該同樣受到關注。
除了審核供應商的安全標準,企業(yè)還應該要求其供應商購買網(wǎng)絡/數(shù)據(jù)泄露保險,以對供應商疏忽而造成的數(shù)據(jù)泄露事故進行賠償。
人的威脅
第三方可能是安全鏈中最薄弱的環(huán)節(jié),而這不太可能是由于技術,而更多地是由于人類因素。
前國家安全局雇員斯諾登讓企業(yè)開始意識到惡意內部人員的風險,但有時候可靠的內部人員的“不小心”也可能帶來風險。
在面對非常強大的社會工程攻擊時,員工需要自己控制自己。
美國聯(lián)邦政府今年報道稱,在2013年,63%其系統(tǒng)的泄露事故是因為人為錯誤。
在2014年,員工疏忽仍然很嚴重,問題包括,因為缺乏安全意識而沒有執(zhí)行例行的安全程序、日常草錯錯誤和不當行為。
不僅僅普通員工可能給企業(yè)帶來風險,很多高管都不知道其敏感數(shù)據(jù)的位置,他們更不可能知道如何保護它們。
無處不在的BYOD
BYOD現(xiàn)在正在把極不可靠的商業(yè)應用帶入到企業(yè)內部,其中有很多漏洞,有些免費應用可能并沒有很高的安全性,而且人們還不安裝補丁。
現(xiàn)在世界上的移動設備已經(jīng)遠遠超過電腦的數(shù)量。事實上,在很多地區(qū),移動設備是大多數(shù)用戶聯(lián)網(wǎng)的唯一方式,而安全仍然是事后考慮。
不到一半的用戶會更改在線密碼或PIN碼。
而且,現(xiàn)在聯(lián)網(wǎng)可穿戴設備(BYOW)在工作場所正變得越來越普遍,多數(shù)專業(yè)人士表示其BYOD政策并沒有涵蓋可穿戴技術,有些甚至沒有BYOD政策。
事件響應(IR)
所有上述問題都導致企業(yè)更加注重IR。
現(xiàn)在有三個趨勢:越來越多的數(shù)據(jù)存儲在云計算中以及更多網(wǎng)絡被外包;更多由民族國家發(fā)起的APT;企業(yè)缺乏對保護和檢測的投資,給事件響應留下巨大負擔。
但現(xiàn)在人們更多地開始談論IR。安全專家的口頭禪是,這不是企業(yè)是否會受到攻擊的問題,有效的IR計劃(結合檢測)可以緩解攻擊。
正確部署IR很關鍵,這是安全行業(yè)最困難的工作。你可以部署各種技術來檢測、預防和分析,但如果你的工作流程出問題,或者團隊需要被事件調查工作壓倒,你仍然可能受到攻擊。
請?zhí)峁└啾O(jiān)管
零售行業(yè)曾經(jīng)譴責政府監(jiān)管,而現(xiàn)在該行業(yè)則開始唱反調,當涉及網(wǎng)絡安全問題時。
美國零售商們開始向美國國會兩院領導人呼吁制定適用于所有遭受數(shù)據(jù)泄露實體的聯(lián)邦法律,以明確向所有受影響消費者的通知,無論他們住在哪里或者泄露事故發(fā)生在哪里。
但是,通知并不等于提高安全性,并且監(jiān)管在這方面只能提供有限的調節(jié)。
我們應該怎么做?
當然,安全問題并沒有萬能解決方案。我們不可能指出什么是最大的威脅。
專家提供的建議是,提供更多培訓,不只是針對提高員工的安全意識,而且還有下一代IT安全專家的意識,例如在大學課程中增加這樣的內容。提高安全性需要結合技術和培訓。
企業(yè)之間需要更多的溝通,安全專家需要想辦法與同行或受信任的安全組分享攻擊模式或類型的情報信息。
ISACA有很多項目,從風險管理框架(例如COBIT5)到網(wǎng)絡安全Nexus(CSX)來確保網(wǎng)絡安全專家具備幫助企業(yè)抵御威脅的能力。
最后讓我們看看幾個建議:
· 改善采購流程。企業(yè)總是需要很長時間才能購買新技術。
· 從教育你的員工什么是DHS以及NIST開始。
· 不要相信營銷術語,試圖獲取現(xiàn)實世界的反饋。
· 運行模擬攻擊。
· 不要遵循紙質政策,進行實際演練。