信息來(lái)源:企業(yè)網(wǎng)D1net
我們提取了30份致力于2020年網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪預(yù)測(cè)的獨(dú)立報(bào)告,并匯總了本帖子中最有趣的5個(gè)最令人感興趣的發(fā)現(xiàn)和預(yù)測(cè)。
疲勞在安全人員中蔓延
作為持續(xù)爭(zhēng)議和辯論的根源,《加利福尼亞消費(fèi)者隱私法案》(CCPA)于2019年1月1日最終定稿。
旨在保護(hù)個(gè)人數(shù)據(jù),防止不道德實(shí)體濫用或未經(jīng)允許的使用的可頌揚(yáng)目標(biāo)的驅(qū)動(dòng)下,每項(xiàng)故意違法行為最高可處以7500美元的罰款,每起非故意違規(guī)行為可處以2500美元的罰款。
該法對(duì)處理或處理居民個(gè)人數(shù)據(jù)的組織具有強(qiáng)制性,無(wú)論該居民的地理位置如何。類似于歐盟GDPR,數(shù)據(jù)主體被賦予了一系列權(quán)利來(lái)控制其個(gè)人數(shù)據(jù)及其最終使用。
迅速發(fā)展的地區(qū),國(guó)家和跨國(guó)法規(guī)加劇了這一趨勢(shì),2020年可能成為網(wǎng)絡(luò)安全合規(guī)性受到侵蝕并開始迅速崩潰的一年。
鑒于一方面司法系統(tǒng)運(yùn)行緩慢,另一方面網(wǎng)絡(luò)安全技能不足且預(yù)算不足,網(wǎng)絡(luò)安全專業(yè)人員可能會(huì)開始無(wú)視所有繁瑣的法規(guī)。
第三方數(shù)據(jù)泄露主導(dǎo)威脅
賽門鐵克表示,2019年供應(yīng)鏈攻擊上升了78%。競(jìng)爭(zhēng)和成功的企業(yè)通常以較高的專業(yè)水平和專業(yè)水平而著稱,他們集中所有可用資源以在特定市場(chǎng)中實(shí)現(xiàn)卓越,從而超越競(jìng)爭(zhēng)對(duì)手。
因此,他們將大多數(shù)輔助業(yè)務(wù)流程外包給了熟練的供應(yīng)商和經(jīng)驗(yàn)豐富的第三方,從而降低了成本,提高了質(zhì)量并加快了交付速度。
可悲的是,供應(yīng)商也在動(dòng)蕩,競(jìng)爭(zhēng)激烈的全球市場(chǎng)中運(yùn)作,因此很少能為他們的客戶提供像樣的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)。
IBM表示,2019年識(shí)別違規(guī)事件的平均時(shí)間高達(dá)206天。甚至更糟的是,由于攻擊的復(fù)雜性和受害人缺乏技能,因此很少能檢測(cè)到此類攻擊,最終安全研究人員或新聞工作者突然報(bào)道了這些攻擊,并對(duì)數(shù)據(jù)所有者大為震驚。
網(wǎng)絡(luò)犯罪分子非常了解這種低垂的成果,并將繼續(xù)有目的地鎖定這一最薄弱的環(huán)節(jié),以獲取您的數(shù)據(jù),商業(yè)秘密和知識(shí)產(chǎn)權(quán)。
外部攻擊面擴(kuò)大
根據(jù)IDG的CSO Online,2019年有61%的組織經(jīng)歷了IoT安全事件。物聯(lián)網(wǎng)和連接設(shè)備的全球擴(kuò)散,公共云,PaaS和IaaS的使用極大地促進(jìn)了業(yè)務(wù)發(fā)展并實(shí)現(xiàn)了快速增長(zhǎng)。組織的外部攻擊面的增加是伴隨而來(lái)的,通常是未被注意到的。
簡(jiǎn)單地說(shuō);外部攻擊面由攻擊者可以從Internet訪問(wèn)并屬于您組織的所有數(shù)字資產(chǎn)(也稱為IT資產(chǎn))組成。
傳統(tǒng)的數(shù)字資產(chǎn)(例如網(wǎng)絡(luò)或Web服務(wù)器)通常都有很多庫(kù)存,但是RESTful API和Web服務(wù),混合云應(yīng)用程序以及托管在外部平臺(tái)上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)-只是新興的數(shù)字資產(chǎn)的幾個(gè)例子,攻擊面保持無(wú)人看管。
由于您無(wú)法保護(hù)自己所不知道的東西,因此這些數(shù)字資產(chǎn)中的絕大部分都沒有以任何方式正確維護(hù),監(jiān)視或保護(hù)。
流氓移動(dòng)應(yīng)用程序,欺詐性網(wǎng)站,釣魚網(wǎng)站和搶注網(wǎng)站加劇了這種情況,而通過(guò)適當(dāng)實(shí)施的域安全監(jiān)控可以檢測(cè)到這種情況,現(xiàn)在開始為在網(wǎng)絡(luò)安全專業(yè)人員中普及鋪平道路。
總而言之,隨著組織升級(jí)其IT并留下許多模糊的數(shù)字未知因素(無(wú)論是內(nèi)部還是外部),侵入它的過(guò)程將變得更加輕松快捷。
云配置錯(cuò)誤暴露數(shù)十億信息
福布斯說(shuō),到2020年,將有83%的企業(yè)工作負(fù)載轉(zhuǎn)移到云中。不幸的是,用于數(shù)據(jù)存儲(chǔ)和處理的云的穩(wěn)定增長(zhǎng)大大超出了負(fù)責(zé)云基礎(chǔ)架構(gòu)的IT人員的安全技能和足夠的培訓(xùn)。
Gartner報(bào)告說(shuō),大約95%的云安全故障是由客戶而不是公共云基礎(chǔ)架構(gòu)的供應(yīng)商造成的。
毫不奇怪,2019年重大數(shù)據(jù)泄漏的很大一部分來(lái)自錯(cuò)誤配置的云存儲(chǔ),這暴露了最大的科技公司和金融機(jī)構(gòu)的頭號(hào)珠寶。
2019年7月,世界媒體報(bào)道稱違反了Capital One,這可能是美國(guó)金融部門最大的數(shù)據(jù)泄露事件,這件事影響了美國(guó)大約1億個(gè)人和加拿大600萬(wàn)個(gè)人。
據(jù)報(bào)道,攻擊者利用配置錯(cuò)誤的AWS S3存儲(chǔ)桶下載了無(wú)人看管的極其敏感的數(shù)據(jù)。
盡管Capital One僅估計(jì)了因違規(guī)而造成的直接損失就達(dá)到了1.5億美元,但聯(lián)邦調(diào)查局后來(lái)披露,使用相同的AWS錯(cuò)誤配置可能會(huì)危害多達(dá)30個(gè)其他組織。
可以預(yù)見的是,在2020年,云安全事件將始終是數(shù)據(jù)泄露根源的重中之重。
網(wǎng)絡(luò)釣魚攻擊將激增
ImmuniWeb表示, 僅對(duì)于《財(cái)富》 500強(qiáng)中的全球最大公司而言,就有可能在2019年暗網(wǎng)中暴露超過(guò)2100萬(wàn)個(gè)有效憑據(jù)。
網(wǎng)絡(luò)犯罪分子更喜歡快速無(wú)風(fēng)險(xiǎn)的突襲,而不是費(fèi)時(shí)的APT攻擊,昂貴的零日攻擊或?qū)AP中復(fù)雜漏洞的連鎖利用。
即使許多組織最終設(shè)法實(shí)現(xiàn)了具有強(qiáng)大的密碼策略,MFA并持續(xù)監(jiān)視異常情況的易耗品身份和訪問(wèn)管理(IAM)系統(tǒng),受保護(hù)的范圍也很少包含外部系統(tǒng)。
此類灰區(qū)系統(tǒng)范圍從SaaS CRM和ERP到彈性的公共云平臺(tái)。即使攻擊者在Dark Web上找到或購(gòu)買的密碼無(wú)效,它們也為巧妙的社會(huì)工程活動(dòng)提供了很多思路,有助于網(wǎng)絡(luò)釣魚和暴力破解攻擊的預(yù)防。
從技術(shù)角度看,這些攻擊通常乍一看很原始,它們顯示出驚人的效率,無(wú)情地破壞和削弱了組織的網(wǎng)絡(luò)安全防御能力。