严峻的事实是,全球58%的企业承认在过去的12个月里至少遇到过一次数据泄露事件,而其中一半的企业表示,它们至少遭遇了一次内部事件。超过三分之一的企业至少遭受了一次涉及商业伙伴或第三方供应商的攻击。
而关键在于,根据Forrester Research的2017年全球安全调查报告显示,已知的软件漏洞为41%的外部攻击打开了大门。
这意味着什么?举个例子,美国国家安全局的“永恒之蓝”漏洞发生之后的一系列事件,就是针对微软这几十年来,在每个Windows操作系统上默认启用的服务器消息块(SMBv1)服务。尽管微软采取了紧急补救措施,但这个漏洞仍然被大规模用于WannaCry和NotPetya勒索软件攻击。在WannaCry爆发后的24小时内,超过150个国家的23万多台电脑被感染,总损失估计高达40亿美元。大约一个月后,NotPetya病毒又造成了约3亿美元的损失。
Forrester高级研究员Josh Zelonis表示,对于首席信息安全官员和网络安全专业人士来说,真正令人感到震惊的是,这些攻击是在微软发布修复漏洞的60到90天之后进行的。这就是为什么他将无效漏洞管理列为2018年数据安全面临的最严重威胁。
Zelonis警告说:“知名度高的攻击是系统未修补的结果,漏洞管理需要高度关注。虽然企业的安全性不应该依赖于补丁,但执行强制性安全任务(如补丁管理)的能力是预估整体安全状况的一个很好的指标。
以下是Zelonis公司根据2017年Forrester对全球604位网络安全决策者的调查结果,确定的其他主要威胁,受访者所在企业均为拥有至少1000名员工的公司。
在过去的几年中,由于MongoDB和亚马逊的简单存储服务(S3)等错误配置的云服务,出现了大量的大规模数据泄露。Zelonis指出,仅在2017年第三季度,Time Warner、Verizon和Viacom等大公司就经历了这类数据泄漏,包括丢失加密密钥,客户账户细节和其他敏感数据。
数据安全专业人员需要深入了解如何配置面向公众的服务。虽然这可以通过定期的对抗训练或内部商议来完成,但Forrester建议与数字风险监控公司合作,实时监控业务的基础设施。
Equifax的事故证实,基于知识的身份认证是无效的。根据Forrester的调查,42%的攻击行为是针对个人身份信息,使其成为攻击者最普遍针对的数据类型。随着Equifax事故中数据被窃取,信息盗贼已经拥有访问个人病历,银行账户和纳税申报表所需的一切资料。
在这种情况下,Zelonis说,公司需要把身份信息作为一种基于信任的授权和声明。平衡欺诈风险与限制摩擦间的关系,以确保完成交易,这是现在所有企业必须权衡的。例如,当购买模式发生变化时,贷方就会把信用卡上的欺诈行为搁置起来。所有公司都需要开始使用客户验证数据来进行基于行为的分析,以验证某人的身份。
战略妥协将使攻击者破坏供应链。第三方风险往往是与合作公司和服务提供商共享数据的结果。通常,企业上游的供应链问题被忽视,事故发生也会没能注意而且也没有公开。
为了纠正这个问题,Zelonis建议进行供应链威胁评估。负责数据安全职责的人员应该定期审查供应商信任值以及如何部署软件更新。
勒索软件将暴露网络安全和业务连续性弱点。它代表着从传统的数据窃取转向直接货币化的网络犯罪分子的系统妥协。Forrester和Disaster Recovery Journal最近进行的一项联合调查发现,每四家公司中就有三家记录了数据篡改响应计划,但每年只有四分之一的计划对这些计划进行一次以上的测试。
Zelonis指出,每天必须备份的数据应该更频繁地进行测试,以便为可能发生的灾难做好准备。