嚴峻的事實是,全球58%的企業承認在過去的12個月裡至少遇到過一次資料洩露事件,而其中一半的企業表示,它們至少遭遇了一次內部事件。超過三分之一的企業至少遭受了一次涉及商業夥伴或第三方供應商的攻擊。
而關鍵在於,根據Forrester Research的2017年全球安全調查報告顯示,已知的軟體漏洞為41%的外部攻擊開啟了大門。
這意味著什麼?舉個例子,美國國家安全域性的“永恆之藍”漏洞發生之後的一系列事件,就是針對微軟這幾十年來,在每個Windows作業系統上預設啟用的伺服器訊息塊(SMBv1)服務。儘管微軟採取了緊急補救措施,但這個漏洞仍然被大規模用於WannaCry和NotPetya勒索軟體攻擊。在WannaCry爆發後的24小時內,超過150個國家的23萬多臺電腦被感染,總損失估計高達40億美元。大約一個月後,NotPetya病毒又造成了約3億美元的損失。
Forrester高階研究員Josh Zelonis表示,對於首席資訊保安官員和網路安全專業人士來說,真正令人感到震驚的是,這些攻擊是在微軟釋出修複漏洞的60到90天之後進行的。這就是為什麼他將無效漏洞管理列為2018年資料安全面臨的最嚴重威脅。
漏洞管理需要持續不斷地關註
Zelonis警告說:“知名度高的攻擊是系統未修補的結果,漏洞管理需要高度關註。雖然企業的安全性不應該依賴於補丁,但執行強制性安全任務(如補丁管理)的能力是預估整體安全狀況的一個很好的指標。
以下是Zelonis公司根據2017年Forrester對全球604位網路安全決策者的調查結果,確定的其他主要威脅,受訪者所在企業均為擁有至少1000名員工的公司。
不安全的雲服務將繼續導致敏感資料洩漏
在過去的幾年中,由於MongoDB和亞馬遜的簡單儲存服務(S3)等錯誤配置的雲服務,出現了大量的大規模資料洩露。Zelonis指出,僅在2017年第三季度,Time Warner、Verizon和Viacom等大公司就經歷了這類資料洩漏,包括丟失加密金鑰,客戶賬戶細節和其他敏感資料。
資料安全專業人員需要深入瞭解如何配置面向公眾的服務。雖然這可以透過定期的對抗訓練或內部商議來完成,但Forrester建議與數字風險監控公司合作,實時監控業務的基礎設施。
Equifax的事故證實,基於知識的身份認證是無效的。根據Forrester的調查,42%的攻擊行為是針對個人身份資訊,使其成為攻擊者最普遍針對的資料型別。隨著Equifax事故中資料被竊取,資訊盜賊已經擁有訪問個人病歷,銀行賬戶和納稅申報表所需的一切資料。
在這種情況下,Zelonis說,公司需要把身份資訊作為一種基於信任的授權和宣告。平衡欺詐風險與限制摩擦間的關係,以確保完成交易,這是現在所有企業必須權衡的。例如,當購買樣式發生變化時,貸方就會把信用卡上的欺詐行為擱置起來。所有公司都需要開始使用客戶驗證資料來進行基於行為的分析,以驗證某人的身份。
戰略妥協將使攻擊者破壞供應鏈。第三方風險往往是與合作公司和服務提供商共享資料的結果。通常,企業上游的供應鏈問題被忽視,事故發生也會沒能註意而且也沒有公開。
為了糾正這個問題,Zelonis建議進行供應鏈威脅評估。負責資料安全職責的人員應該定期審查供應商信任值以及如何部署軟體更新。
勒索軟體將暴露網路安全和業務連續性弱點。它代表著從傳統的資料竊取轉向直接貨幣化的網路犯罪分子的系統妥協。Forrester和Disaster Recovery Journal最近進行的一項聯合調查發現,每四家公司中就有三家記錄了資料篡改響應計劃,但每年只有四分之一的計劃對這些計劃進行一次以上的測試。
Zelonis指出,每天必須備份的資料應該更頻繁地進行測試,以便為可能發生的災難做好準備。
*參考來源:HealthDataManagement ,FB小編Andy編譯,來自FreeBuf.COM
更多資訊
◈ 2018年,供應商預計將面臨新的網路安全威脅
http://t.cn/RHQmf5L
◈ 華為IoT裝置CVE-2017-17215的漏洞利用方法被公開在Pastebin上
http://t.cn/RHQmfgF
◈ 英特爾處理器硬體設計被髮現漏洞 若修補將會降低效能
http://t.cn/RHQmI6r
◈ 微軟再發對比:Edge速度比Chrome快48% 攔截釣魚網站多18%
http://t.cn/RHQmIgN
◈ 大航假期客戶資料庫疑遭駭客入侵
http://t.cn/RHQmxZv
(資訊來源於網路,安華金和蒐集整理)