2018年,供应商预计将面临新的网络安全威胁

严峻的事实是,全球58%的企业承认在过去的12个月里至少遇到过一次数据泄露事件,而其中一半的企业表示,它们至少遭遇了一次内部事件。超过三分之一的企业至少遭受了一次涉及商业伙伴或第三方供应商的攻击。

而关键在于,根据Forrester Research的2017年全球安全调查报告显示,已知的软件漏洞为41%的外部攻击打开了大门。

这意味着什么?举个例子,美国国家安全局的“永恒之蓝”漏洞发生之后的一系列事件,就是针对微软这几十年来,在每个Windows操作系统上默认启用的服务器消息块(SMBv1)服务。尽管微软采取了紧急补救措施,但这个漏洞仍然被大规模用于WannaCry和NotPetya勒索软件攻击。在WannaCry爆发后的24小时内,超过150个国家的23万多台电脑被感染,总损失估计高达40亿美元。大约一个月后,NotPetya病毒又造成了约3亿美元的损失。

Forrester高级研究员Josh Zelonis表示,对于首席信息安全官员和网络安全专业人士来说,真正令人感到震惊的是,这些攻击是在微软发布修复漏洞的60到90天之后进行的。这就是为什么他将无效漏洞管理列为2018年数据安全面临的最严重威胁。

漏洞管理需要持续不断地关注

Zelonis警告说:“知名度高的攻击是系统未修补的结果,漏洞管理需要高度关注。虽然企业的安全性不应该依赖于补丁,但执行强制性安全任务(如补丁管理)的能力是预估整体安全状况的一个很好的指标。

以下是Zelonis公司根据2017年Forrester对全球604位网络安全决策者的调查结果,确定的其他主要威胁,受访者所在企业均为拥有至少1000名员工的公司。

不安全的云服务将继续导致敏感数据泄漏

在过去的几年中,由于MongoDB和亚马逊的简单存储服务(S3)等错误配置的云服务,出现了大量的大规模数据泄露。Zelonis指出,仅在2017年第三季度,Time Warner、Verizon和Viacom等大公司就经历了这类数据泄漏,包括丢失加密密钥,客户账户细节和其他敏感数据。

数据安全专业人员需要深入了解如何配置面向公众的服务。虽然这可以通过定期的对抗训练或内部商议来完成,但Forrester建议与数字风险监控公司合作,实时监控业务的基础设施。

Equifax的事故证实,基于知识的身份认证是无效的。根据Forrester的调查,42%的攻击行为是针对个人身份信息,使其成为攻击者最普遍针对的数据类型。随着Equifax事故中数据被窃取,信息盗贼已经拥有访问个人病历,银行账户和纳税申报表所需的一切资料。

在这种情况下,Zelonis说,公司需要把身份信息作为一种基于信任的授权和声明。平衡欺诈风险与限制摩擦间的关系,以确保完成交易,这是现在所有企业必须权衡的。例如,当购买模式发生变化时,贷方就会把信用卡上的欺诈行为搁置起来。所有公司都需要开始使用客户验证数据来进行基于行为的分析,以验证某人的身份。

战略妥协将使攻击者破坏供应链。第三方风险往往是与合作公司和服务提供商共享数据的结果。通常,企业上游的供应链问题被忽视,事故发生也会没能注意而且也没有公开。

为了纠正这个问题,Zelonis建议进行供应链威胁评估。负责数据安全职责的人员应该定期审查供应商信任值以及如何部署软件更新。

勒索软件将暴露网络安全和业务连续性弱点。它代表着从传统的数据窃取转向直接货币化的网络犯罪分子的系统妥协。Forrester和Disaster Recovery Journal最近进行的一项联合调查发现,每四家公司中就有三家记录了数据篡改响应计划,但每年只有四分之一的计划对这些计划进行一次以上的测试。

Zelonis指出,每天必须备份的数据应该更频繁地进行测试,以便为可能发生的灾难做好准备。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-01-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人工智能快报

机器学习帮助探测网络漏洞

据麻省理工《技术评论》2016年8月报道,美国亚利桑那州立大学的研究人员发现了一种利用机器学习来研究黑客论坛和暗网络及深网络市场的方法,从而可探测网络漏洞。 2...

3527
来自专栏腾讯云安全的专栏

万豪5亿酒店客户资料或遭泄露,企业数据被“盯上”该怎么办?

昨日晚间,万豪国际酒店集团(Marriott International)宣布,旗下喜达屋酒店的一个顾客预订数据库遭到入侵,有约5亿顾客的信息可能遭到泄露。据...

1112
来自专栏人称T客

数据库血海一片 浪潮为何非要趟这浑水?

其实从前两年开始,坊间就不断传出浪潮要进军数据库市场,于去年底月浪潮宣布与Tmax共同建立合资公司,浪潮也因此拿到了Tmax中国区的知识产权和经营授权,由此开展...

28910

GDPR:对您的数据管理环境的影响(第1部分)

遵守欧盟“通用数据保护条例”(GDPR)的时间线正在快速接近。从2018年5月25日起,任何未能满足新法规的组织将面临最高达全球收入的4%或2000万欧元的罚款...

2304
来自专栏安恒信息

企业平均每年遭遇9起有针对性攻击

高级持续性攻击( APT )可能比想象的更普遍:最新研究发现,在过去12个月中,企业平均遭遇9起这种有针对性的攻击。根据一份名为“高级持续性攻击的现状”的报告显...

3265
来自专栏FreeBuf

HackerOne平台2016年最具竞争力的漏洞悬赏项目

互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。 谷歌、Fac...

21910
来自专栏安恒信息

安恒信息智慧城市安全风暴中心发布全国政府网站安全性测试结果

日前国务院办公厅下发《关于开展第一次全国政府网站普查的通知》国办发【2015】15号文,以下简称《15号文》。为了进一步加强电子政务建设,将政府网站、为民办事窗...

3777
来自专栏Seebug漏洞平台

2016 Black Hat召开在即 知道创宇走向国际舞台

从事互联网安全行业的朋友们又得兴奋了,世界顶级黑客大会Black Hat(黑帽大会)又要来了,3月29日,Black Hat Asia 2016(世界黑帽大会亚...

3137
来自专栏安恒信息

对付手机恶意软件须采取完全不同的手段

在黑帽大会上,手机安全厂商受到了“白帽黑客”的高度关注。 这些手机安全厂商正在不断创新解决手机威胁的各种方法,而这些应对手机威胁的解决方案与基于台式机和笔记本电...

2803
来自专栏FreeBuf

那些年,我们一起碰到过的骗局

现在有很多骗局案例的顺利实施足以给予那些潜在的受害者一些警示,提醒他们避免上当受骗。因此,尽管ESET的大部分业务是主要集中在恶意软件上面,我仍旧花了很多时间在...

2256

扫码关注云+社区

领取腾讯云代金券