论文部分内容阅读
众所周知的泄露事件只是冰山一角,很多从来没有被发现或者披露——如果基础设施没有重大改变,只会变得更糟
索尼、Anthem、人事管理办公室、Target、雅虎,过去两年,大规模泄露事件接二连三——2017年将是最具灾难性的一年。
安全专家一直在提醒,大多数企业甚至不知道他们被攻破了。攻击者依靠隐身来了解网络,找到有价值的信息和系统,并窃取他们想要的东西。只是最近,企业才开始改进了他们的检测工作,并开始投入时间、资金和人力去发现漏洞。当他们这样做时,结果往往令人警醒。
安全分析公司RedSeal的首席执行官Ray Rothrock说:“我认为我们在2017年会找更多的漏洞,只多不少。”
到目前为止,所有大的泄露事件都有一个共同点:最初的恶意软件感染或者网络入侵让攻击者获得了进入网络的切入点,Rothrock说:“这使人想起了2013年。很多坏东西被释放出来,然后进入企业和政府网络。”
机器中的幽灵
三年最多四年前,企业开始听说APT(高级持续威胁),知道普遍存在的零日攻击。这让攻击者获得了时间窗口,他们可以通过复杂的恶意软件感染系统,或者把自己深深嵌入到网络中,而不会触发报警。如果认为已经发现了所有主要的数据泄露,那就有些天真了。
Rothrock说:“在管理上意识到‘狐狸已经在鸡舍里’,那么我们一定要采取措施,解决已经知道的这些问题。”
换句话说,这些泄露事件多年前就发生了,但IT团队还没有检测到它们。它们最终可能会被发现——原因是犯罪分子自己的错误,检测系统改进了,等等。但我们可能永远也不知道损害有多严重,因为绝大多数的事件从来没有被报告过。
未报告的偷窃
企业被要求报告被盗或者暴露的数据——如果这包括个人身份信息或者个人健康信息,但大多数企业都置之不理。由于缺乏报告被盗的知识产权或者其他类型的敏感企业数据的监管要求,因此,工业企业、制造公司、咨询公司和法律组织通常会保持沉默。
敏感数据不仅包括财务信息。Rothrock说:“涉及到很多知识产权。对于建造或者设计核电厂的公司来说,攻击者自己去攻击他们的工厂是一回事,如果攻击者有实际的图纸,知道如何攻击,则是另一回事。”
如果不是文件被泄露给记者,没有人会知道去年法律公司Mossack Fonseca被偷走的巴拿马文件。2015年ABA法律技术调查报告发现,在超过100名律师的公司中,23%的受访者报告了安全泄露事件,但没有公开受影响公司的名称。如果航空航天公司新飞机或者新药研究计划被盗,那么只有受影响的企业、被招来进行评估和补救的顾问,以及执法机构(如果致电告诉了他们)知道泄露的详细情况。
Rothrock说:“我们Red Seal公司在这方面接了很多业务,就是因为公司不必报告一些泄露事件。我们接到电话,去处理问题。我相信不光我们是这样。”
网络安全和隐私保护非营利性组织“在线信任联盟(Online Trust Alliance OTA)”研究了初步年终数据,估计约有82,000起网络安全事件影响了全球225家以上的企业。OTA说:“由于大多数事件从未向高管、执法机构或者监管机构报告,因此包括DDoS攻击在内的造成损失的事件的实际数量可能超过了25万。”
计算成本
数据泄露的代价是昂贵的——而且与通知受害者以及聘请顾问和取證调查员来发现和解决问题的直接成本相比,还有更多的代价。
其他成本包括停机、生产力损失、客户流失和收入损失等。如果在泄露事件发生多年后才被公司发现,就像雅虎最近那样,他们还必须支付Rothrock所说的“工程服务”费用,这是恢复和补救成本的一部分。
如果花了很长时间才发现泄露事件,那么说明现有基础设施存在问题,因此很难迅速发现漏洞。这要求重新设计基础设施,这通常会是昂贵而且耗时的项目。但总是有人不理会其紧迫性。Rothrock说:“大多数人还搞不清楚他们有什么,而一直在添加更多的东西。”
重组我们的防御
随着云部署、物联网的出现,以及数据在多台设备上的流动——我们的网络越来越复杂,导致IT和安全团队越来越难以在所有层面上进行探查。但是,对于攻击者而言没什么改变。恶意软件会继续感染这些新系统,攻击者会继续猎取数据。
Rothrock说:“当草堆不断变大时,在草堆里找到针头会越来越难。”
与此同时,现在的安全防御比三年前要好很多。Rothrock使用建筑业作为比喻:想一想现代建筑是怎样建成的,使用传感器来检测热量、气体泄漏和压力的变化。墙体用防火材料制成,并且有防止火灾的防护措施。这就要求重新设计IT,以防止反复遭受攻击。
Rothrock说:“有几栋被烧毁后,我们就会知道老摩天大楼是容易被攻击的目标。新的摩天大楼几乎从来没有火灾。IT也应如此。”
(作者Fahmida Y. Rashid是InfoWorld的资深作家,其写作主题是信息安全。)
原文网址:
http://www.infoworld.com/article/3163986/security/why-2017-will-be-the-worst-year-ever-for-security.html
索尼、Anthem、人事管理办公室、Target、雅虎,过去两年,大规模泄露事件接二连三——2017年将是最具灾难性的一年。
安全专家一直在提醒,大多数企业甚至不知道他们被攻破了。攻击者依靠隐身来了解网络,找到有价值的信息和系统,并窃取他们想要的东西。只是最近,企业才开始改进了他们的检测工作,并开始投入时间、资金和人力去发现漏洞。当他们这样做时,结果往往令人警醒。
安全分析公司RedSeal的首席执行官Ray Rothrock说:“我认为我们在2017年会找更多的漏洞,只多不少。”
到目前为止,所有大的泄露事件都有一个共同点:最初的恶意软件感染或者网络入侵让攻击者获得了进入网络的切入点,Rothrock说:“这使人想起了2013年。很多坏东西被释放出来,然后进入企业和政府网络。”
机器中的幽灵
三年最多四年前,企业开始听说APT(高级持续威胁),知道普遍存在的零日攻击。这让攻击者获得了时间窗口,他们可以通过复杂的恶意软件感染系统,或者把自己深深嵌入到网络中,而不会触发报警。如果认为已经发现了所有主要的数据泄露,那就有些天真了。
Rothrock说:“在管理上意识到‘狐狸已经在鸡舍里’,那么我们一定要采取措施,解决已经知道的这些问题。”
换句话说,这些泄露事件多年前就发生了,但IT团队还没有检测到它们。它们最终可能会被发现——原因是犯罪分子自己的错误,检测系统改进了,等等。但我们可能永远也不知道损害有多严重,因为绝大多数的事件从来没有被报告过。
未报告的偷窃
企业被要求报告被盗或者暴露的数据——如果这包括个人身份信息或者个人健康信息,但大多数企业都置之不理。由于缺乏报告被盗的知识产权或者其他类型的敏感企业数据的监管要求,因此,工业企业、制造公司、咨询公司和法律组织通常会保持沉默。
敏感数据不仅包括财务信息。Rothrock说:“涉及到很多知识产权。对于建造或者设计核电厂的公司来说,攻击者自己去攻击他们的工厂是一回事,如果攻击者有实际的图纸,知道如何攻击,则是另一回事。”
如果不是文件被泄露给记者,没有人会知道去年法律公司Mossack Fonseca被偷走的巴拿马文件。2015年ABA法律技术调查报告发现,在超过100名律师的公司中,23%的受访者报告了安全泄露事件,但没有公开受影响公司的名称。如果航空航天公司新飞机或者新药研究计划被盗,那么只有受影响的企业、被招来进行评估和补救的顾问,以及执法机构(如果致电告诉了他们)知道泄露的详细情况。
Rothrock说:“我们Red Seal公司在这方面接了很多业务,就是因为公司不必报告一些泄露事件。我们接到电话,去处理问题。我相信不光我们是这样。”
网络安全和隐私保护非营利性组织“在线信任联盟(Online Trust Alliance OTA)”研究了初步年终数据,估计约有82,000起网络安全事件影响了全球225家以上的企业。OTA说:“由于大多数事件从未向高管、执法机构或者监管机构报告,因此包括DDoS攻击在内的造成损失的事件的实际数量可能超过了25万。”
计算成本
数据泄露的代价是昂贵的——而且与通知受害者以及聘请顾问和取證调查员来发现和解决问题的直接成本相比,还有更多的代价。
其他成本包括停机、生产力损失、客户流失和收入损失等。如果在泄露事件发生多年后才被公司发现,就像雅虎最近那样,他们还必须支付Rothrock所说的“工程服务”费用,这是恢复和补救成本的一部分。
如果花了很长时间才发现泄露事件,那么说明现有基础设施存在问题,因此很难迅速发现漏洞。这要求重新设计基础设施,这通常会是昂贵而且耗时的项目。但总是有人不理会其紧迫性。Rothrock说:“大多数人还搞不清楚他们有什么,而一直在添加更多的东西。”
重组我们的防御
随着云部署、物联网的出现,以及数据在多台设备上的流动——我们的网络越来越复杂,导致IT和安全团队越来越难以在所有层面上进行探查。但是,对于攻击者而言没什么改变。恶意软件会继续感染这些新系统,攻击者会继续猎取数据。
Rothrock说:“当草堆不断变大时,在草堆里找到针头会越来越难。”
与此同时,现在的安全防御比三年前要好很多。Rothrock使用建筑业作为比喻:想一想现代建筑是怎样建成的,使用传感器来检测热量、气体泄漏和压力的变化。墙体用防火材料制成,并且有防止火灾的防护措施。这就要求重新设计IT,以防止反复遭受攻击。
Rothrock说:“有几栋被烧毁后,我们就会知道老摩天大楼是容易被攻击的目标。新的摩天大楼几乎从来没有火灾。IT也应如此。”
(作者Fahmida Y. Rashid是InfoWorld的资深作家,其写作主题是信息安全。)
原文网址:
http://www.infoworld.com/article/3163986/security/why-2017-will-be-the-worst-year-ever-for-security.html