嚴峻的事實是,全球58%的企業承認在過去的12個月里至少遇到過一次數據泄露事件,而其中一半的企業表示,它們至少遭遇了一次內部事件。超過三分之一的企業至少遭受了一次涉及商業伙伴或第三方供應商的攻擊。
而關鍵在于,根據Forrester Research的2017年全球安全調查報告顯示,已知的軟件漏洞為41%的外部攻擊打開了大門。
這意味著什么?舉個例子,美國國家安全局的“永恒之藍”漏洞發生之后的一系列事件,就是針對微軟這幾十年來,在每個Windows操作系統上默認啟用的服務器消息塊(SMBv1)服務。盡管微軟采取了緊急補救措施,但這個漏洞仍然被大規模用于WannaCry和NotPetya勒索軟件攻擊。在WannaCry爆發后的24小時內,超過150個國家的23萬多臺電腦被感染,總損失估計高達40億美元。大約一個月后,NotPetya病毒又造成了約3億美元的損失。
Forrester高級研究員Josh Zelonis表示,對于首席信息安全官員和網絡安全專業人士來說,真正令人感到震驚的是,這些攻擊是在微軟發布修復漏洞的60到90天之后進行的。這就是為什么他將無效漏洞管理列為2018年數據安全面臨的最嚴重威脅。
漏洞管理需要持續不斷地關注
Zelonis警告說:“知名度高的攻擊是系統未修補的結果,漏洞管理需要高度關注。雖然企業的安全性不應該依賴于補丁,但執行強制性安全任務(如補丁管理)的能力是預估整體安全狀況的一個很好的指標。
以下是Zelonis公司根據2017年Forrester對全球604位網絡安全決策者的調查結果,確定的其他主要威脅,受訪者所在企業均為擁有至少1000名員工的公司。
不安全的云服務將繼續導致敏感數據泄漏
在過去的幾年中,由于MongoDB和亞馬遜的簡單存儲服務(S3)等錯誤配置的云服務,出現了大量的大規模數據泄露。Zelonis指出,僅在2017年第三季度,Time Warner、Verizon和Viacom等大公司就經歷了這類數據泄漏,包括丟失加密密鑰,客戶賬戶細節和其他敏感數據。
數據安全專業人員需要深入了解如何配置面向公眾的服務。雖然這可以通過定期的對抗訓練或內部商議來完成,但Forrester建議與數字風險監控公司合作,實時監控業務的基礎設施。
Equifax的事故證實,新加坡電信服務器 馬來西亞服務器,基于知識的身份認證是無效的。根據Forrester的調查,42%的攻擊行為是針對個人身份信息,使其成為攻擊者最普遍針對的數據類型。隨著Equifax事故中數據被竊取,信息盜賊已經擁有訪問個人病歷,銀行賬戶和納稅申報表所需的一切資料。
在這種情況下,Zelonis說,公司需要把身份信息作為一種基于信任的授權和聲明。平衡欺詐風險與限制摩擦間的關系,以確保完成交易,這是現在所有企業必須權衡的。例如,當購買模式發生變化時,貸方就會把信用卡上的欺詐行為擱置起來。所有公司都需要開始使用客戶驗證數據來進行基于行為的分析,以驗證某人的身份。
戰略妥協將使攻擊者破壞供應鏈。第三方風險往往是與合作公司和服務提供商共享數據的結果。通常,企業上游的供應鏈問題被忽視,事故發生也會沒能注意而且也沒有公開。
為了糾正這個問題,Zelonis建議進行供應鏈威脅評估。負責數據安全職責的人員應該定期審查供應商信任值以及如何部署軟件更新。
勒索軟件將暴露網絡安全和業務連續性弱點。它代表著從傳統的數據竊取轉向直接貨幣化的網絡犯罪分子的系統妥協。Forrester和Disaster Recovery Journal最近進行的一項聯合調查發現,每四家公司中就有三家記錄了數據篡改響應計劃,但每年只有四分之一的計劃對這些計劃進行一次以上的測試。
