2018網絡安全發(fā)展趨勢小析
又到了回顧過去展望未來的時間,SurfWatch Labs 的首席安全戰(zhàn)略官 Adam Meyer 花了很多時間,分析了大量威脅數據,希望能尋求其中的規(guī)律并給客戶在網絡威脅方面更好的準備建議。在這一背景下,他提出了下面5點關于2018年網絡安全的預測。
1. 2018年,個人與組織應認識到個人標識不該作為認證使用
盡管在企業(yè)中長時間存在著混淆,區(qū)分個人標識和認證信息是很重要的。個人身份標識信息是類似社會安全碼、駕照號碼甚至地址。認證可以是一個問題,回答正確則認證你是這個人沒錯。基于知識的認證包括像是什么是你高中的吉祥物、你第一輛車是什么這種問題。或者,是基于信用數據和大量使用的作為廉價認證工具卻有高安全性的雙因素認證(2FA)。
不幸的是,太多企業(yè)使用個人標識作為認證方式,大量的如同Equifax的泄露告訴我們在2018年這種事情還會發(fā)生。Equifax存儲了大量客戶的個人身份標識,對這類信息的盜取置公眾pii類信息于很危險的境地,尤其是把個人身份信息當做認證的企業(yè)來說。舉例來說,用戶給銀行致電被詢問到的ID姓名生日等后四位數字信息,這些都是個人身份標識而非認證信息。試想Equifax事件之后有多少黑客掌握了這些信息!2018年,個人及組織將會更深刻地吸取這方面的教訓。最重要的解決方案,就是企業(yè)必須馬上停止將個人信息用作認證的行為。
2. 合作伙伴,供應鏈以及服務提供商將在明年迎接更多的泄露事件
業(yè)務快速數據化,懂行的企業(yè)擴大版圖通過合作伙伴、供應商集成以及即服務功能為客戶提供更方便的體驗。作為刺激業(yè)務發(fā)展的流行方式,這種廣泛的外包工作對安全來說如同噩夢。德勤與BoozeAllen在2017年成為此項的受害者,在未來的一年我們將會看到更多通過合作伙伴網絡導致數據泄露的案例。
在合作關系中,企業(yè)共享的不僅是數據,還有品牌和聲譽。公司應該發(fā)展自己的網絡安全最佳實踐,并要求合作伙伴遵守。有效力的法律要求應落實在紙面,與可應用的規(guī)范要求一致。在合作關系重新制定前,企業(yè)應同時注意限制業(yè)務范圍。不幸的是,這對采購部門來說會很辛苦,由于最佳實踐會在預算上對滿足標準、執(zhí)行方面施加壓力,年度成本的管理應與之保持同步。
3. 中小企業(yè)與醫(yī)療服務機構在2018年將成為勒索軟件攻擊的目標
勒索軟件在全球范圍內持續(xù)對不同業(yè)務無差別攻擊,但他們的目標會聚焦在包括SMBs在內的抗攻擊能力較弱且準備不足的企業(yè)。在這種情況下,勒索金額會降低以便小企業(yè)有能力支付,區(qū)域性醫(yī)療服務機構或醫(yī)院將會遭到重擊,主要原因是作為目標他們攻擊起來太容易。用最少的付出獲取最大收益是這些“生意人”所追求的。
4. 企業(yè)最終將會優(yōu)先響應泄露而非事件
我們還要在企業(yè)認真對待泄露事件前看到多少次CEO的道歉信?在網絡安全列入董事局關注名單的如今,企業(yè)意識到面對的絕不僅是技術問題。這屬于企業(yè)級的高優(yōu)先級事項,這之中肯定有的公司會犯錯,我們應該開始準備更好的泄露響應。
事件響應是IT安全運營預防或者糾正已發(fā)生問題的工作。泄露響應則比這個復雜很多——這是整個公司如何應對泄露,包括對客戶數據的影響、補救措施導致對底層數據的影響、公司未來聲譽。泄露響應包括CEO、董事會、法律部門、市場以及公關團隊的一系列行為。
Equifax是一個重要的反面案例,企業(yè)在公眾目光下一步一步走錯路,這種負面影響必然將一些企業(yè)拉進現實:優(yōu)先處理泄露響應、好好準備以及演練。
5. 機器學習技術作為一種能力將更加清晰、成熟
機器學習是一個因人而異的時髦的口號,在未來的一年我們都希望能看到對于這種能力更清晰的發(fā)展思路。機器學習的目標應該是解放人類,提高在信息海洋中處理、理解和行動力、安全技術持續(xù)發(fā)展意味著我們會看到更好質量更高的數據結果。處理能力的提高和更為智能化的反應也成為了可能。
機器學習或自動化在2018年會持續(xù)進步,威脅情報數據的質量也是一樣。結合了機器學習與威脅情報能力,專家從而能夠提供分析、洞察和推薦,這可謂是最佳結果了。
