2014年还没有过去,假日购物季才刚刚进入高潮,但是我们不能忘记,灾难性的Target泄露事故正是发生在去年的11月下旬到12月中旬。
本文中谈论的不只是攻击和泄露事故,而是关于更广泛的问题或趋势,它们有可能塑造安全行业的未来。
下面让我们看看专家们对2014年安全问题和趋势的看法:
一、网络威胁胜过恐怖主义
上周美联社在有关美国联邦政府每年花费100亿美元保护其多个机构的报道中指出,情报官员称网络威胁现在已经超过恐怖主义,成为美国面临的头号威胁。
虽然在过去几十年间,网络攻击都在不断扩大和发展,但这里出现了质的变化:不只是犯罪分子试图窃取金钱,而且民族国家在利用攻击来进行间谍行为以获取军事优势。
Conventus管理合伙人Sarah Issacs表示,在9月,北约认为网络攻击可能触发军事事件,这不只是关于保护信用卡号码,而已经升级到新的水平。
Co3 Systems公司首席技术官兼安全专家Bruce Schneier也表示同意,他认为,越来越多的高级攻击不再是金融盗窃,而是来自新型攻击者,新的威胁模式。
在ISACA对高级持续威胁的调查中发现,92%的受访者感觉APT是严重威胁,有可能危及国家安全和经济稳定。
二、云计算使用的增长
云计算(私有、公共和混合云)不是新鲜事物。但越来越多地使用云计算存储服务正给企业带来很大风险。
Schneier表示,持续迁移到云计算意味着,我们失去对计算环境的控制,大多数我们的数据都位于云计算中,由其他公司控制。
虽然专家称云计算服务提供商通常会提供更好的安全性,但对于“影子”云计算使用并不是这样,员工通常认为自己部署云服务要比通过IT部门更容易,而这样做并不安全。
三、万物互联(IoE)攻击者新前沿
物联网已经是过去式,现在是万物互联(IoE)。智能嵌入式设备已经成为主流,现在数量达到数十亿,到2020年预计将超过1万亿。
这意味着越来越多的数据流向互联网,而这些数据可能被盗窃或者用于营销目的以及恶意目的。
每个人都在过度分享一切信息。这种威胁很广泛,且具有灾难性。
智能设备的漏洞被利用已经展示过很多次,这促使Identiv公司高级副总裁Phil Montgomery呼吁行业采用更加系统的基于标准的安全方法,以及更强的身份验证形式,而不是依靠过时的用户名/密码技术。
四、第三方带来的风险
今年,大家已经开始意识到第三方承包商导致的泄露事故的风险。
监管机构正在试图维持这种意识。支付卡行业安全标准委员会(PCI SSC)的新任总经理Stephen Orfei指出,安全是最薄弱的环节,这意味着你的业务合作伙伴的安全做法应该同样受到关注。
除了审核供应商的安全标准,企业还应该要求其供应商购买网络/数据泄露保险,以对供应商疏忽而造成的数据泄露事故进行赔偿。
五、人的威胁
第三方可能是安全链中最薄弱的环节,而这不太可能是由于技术,而更多地是由于人类因素。
前国家安全局雇员斯诺登让企业开始意识到恶意内部人员的风险,但有时候可靠的内部人员的“不小心”也可能带来风险。
在面对非常强大的社会工程攻击时,员工需要自己控制自己。
美国联邦政府今年报道称,在2013年,63%其系统的泄露事故是因为人为错误。
在2014年,员工疏忽仍然很严重,问题包括,因为缺乏安全意识而没有执行例行的安全程序、日常草错错误和不当行为。
不仅仅普通员工可能给企业带来风险,很多高管都不知道其敏感数据的位置,他们更不可能知道如何保护它们。
六、无处不在的BYOD
BYOD现在正在把极不可靠的商业应用带入到企业内部,其中有很多漏洞,有些免费应用可能并没有很高的安全性,而且人们还不安装补丁。
现在世界上的移动设备已经远远超过电脑的数量。事实上,在很多地区,移动设备是大多数用户联网的唯一方式,而安全仍然是事后考虑。
不到一半的用户会更改在线密码或PIN码。
而且,现在联网可穿戴设备(BYOW)在工作场所正变得越来越普遍,多数专业人士表示其BYOD政策并没有涵盖可穿戴技术,有些甚至没有BYOD政策。
七、事件响应(IR)
所有上述问题都导致企业更加注重IR。
现在有三个趋势:越来越多的数据存储在云计算中以及更多网络被外包;更多由民族国家发起的APT;企业缺乏对保护和检测的投资,给事件响应留下巨大负担。
但现在人们更多地开始谈论IR。安全专家的口头禅是,这不是企业是否会受到攻击的问题,有效的IR计划(结合检测)可以缓解攻击。
正确部署IR很关键,这是安全行业最困难的工作。你可以部署各种技术来检测、预防和分析,但如果你的工作流程出问题,或者团队需要被事件调查工作压倒,你仍然可能受到攻击。
八、请提供更多监管
零售行业曾经谴责政府监管,而现在该行业则开始唱反调,当涉及网络安全问题时。
美国零售商们开始向美国国会两院领导人呼吁制定适用于所有遭受数据泄露实体的联邦法律,以明确向所有受影响消费者的通知,无论他们住在哪里或者泄露事故发生在哪里。
但是,通知并不等于提高安全性,并且监管在这方面只能提供有限的调节。
我们应该怎么做?
当然,安全问题并没有万能解决方案。我们不可能指出什么是最大的威胁。
专家提供的建议是,提供更多培训,不只是针对提高员工的安全意识,而且还有下一代IT安全专家的意识,例如在大学课程中增加这样的内容。提高安全性需要结合技术和培训。
企业之间需要更多的沟通,安全专家需要想办法与同行或受信任的安全组分享攻击模式或类型的情报信息。
ISACA有很多项目,从风险管理框架(例如COBIT5)到网络安全Nexus(CSX)来确保网络安全专家具备帮助企业抵御威胁的能力。
最后让我们看看几个建议:
· 改善采购流程。企业总是需要很长时间才能购买新技术。
· 从教育你的员工什么是DHS以及NIST开始。
· 不要相信营销术语,试图获取现实世界的反馈。
· 运行模拟攻击。
· 不要遵循纸质政策,进行实际演练。