【每日安全资讯】2018年,供应商预计将面临新的网络安全威胁

转载 2018年01月04日 00:00:00

严峻的事实是,全球58%的企业承认在过去的12个月里至少遇到过一次数据泄露事件,而其中一半的企业表示,它们至少遭遇了一次内部事件。超过三分之一的企业至少遭受了一次涉及商业伙伴或第三方供应商的攻击。
而关键在于,根据Forrester Research的2017年全球安全调查报告显示,已知的软件漏洞为41%的外部攻击打开了大门。

这意味着什么?举个例子,美国国家安全局的“永恒之蓝”漏洞发生之后的一系列事件,就是针对微软这几十年来,在每个Windows操作系统上默认启用的服务器消息块(SMBv1)服务。尽管微软采取了紧急补救措施,但这个漏洞仍然被大规模用于WannaCry和NotPetya勒索软件攻击。在WannaCry爆发后的24小时内,超过150个国家的23万多台电脑被感染,总损失估计高达40亿美元。大约一个月后,NotPetya病毒又造成了约3亿美元的损失。

Forrester高级研究员Josh Zelonis表示,对于首席信息安全官员和网络安全专业人士来说,真正令人感到震惊的是,这些攻击是在微软发布修复漏洞的60到90天之后进行的。这就是为什么他将无效漏洞管理列为2018年数据安全面临的最严重威胁。

漏洞管理需要持续不断地关注

Zelonis警告说:“知名度高的攻击是系统未修补的结果,漏洞管理需要高度关注。虽然企业的安全性不应该依赖于补丁,但执行强制性安全任务(如补丁管理)的能力是预估整体安全状况的一个很好的指标。

以下是Zelonis公司根据2017年Forrester对全球604位网络安全决策者的调查结果,确定的其他主要威胁,受访者所在企业均为拥有至少1000名员工的公司。

不安全的云服务将继续导致敏感数据泄漏

在过去的几年中,由于MongoDB和亚马逊的简单存储服务(S3)等错误配置的云服务,出现了大量的大规模数据泄露。Zelonis指出,仅在2017年第三季度,Time Warner、Verizon和Viacom等大公司就经历了这类数据泄漏,包括丢失加密密钥,客户账户细节和其他敏感数据。

数据安全专业人员需要深入了解如何配置面向公众的服务。虽然这可以通过定期的对抗训练或内部商议来完成,但Forrester建议与数字风险监控公司合作,实时监控业务的基础设施。

Equifax的事故证实,基于知识的身份认证是无效的。根据Forrester的调查,42%的攻击行为是针对个人身份信息,使其成为攻击者最普遍针对的数据类型。随着Equifax事故中数据被窃取,信息盗贼已经拥有访问个人病历,银行账户和纳税申报表所需的一切资料。

在这种情况下,Zelonis说,公司需要把身份信息作为一种基于信任的授权和声明。平衡欺诈风险与限制摩擦间的关系,以确保完成交易,这是现在所有企业必须权衡的。例如,当购买模式发生变化时,贷方就会把信用卡上的欺诈行为搁置起来。所有公司都需要开始使用客户验证数据来进行基于行为的分析,以验证某人的身份。

战略妥协将使攻击者破坏供应链。第三方风险往往是与合作公司和服务提供商共享数据的结果。通常,企业上游的供应链问题被忽视,事故发生也会没能注意而且也没有公开。

为了纠正这个问题,Zelonis建议进行供应链威胁评估。负责数据安全职责的人员应该定期审查供应商信任值以及如何部署软件更新。

勒索软件将暴露网络安全和业务连续性弱点。它代表着从传统的数据窃取转向直接货币化的网络犯罪分子的系统妥协。Forrester和Disaster Recovery Journal最近进行的一项联合调查发现,每四家公司中就有三家记录了数据篡改响应计划,但每年只有四分之一的计划对这些计划进行一次以上的测试。

Zelonis指出,每天必须备份的数据应该更频繁地进行测试,以便为可能发生的灾难做好准备。

*参考来源:HealthDataManagement ,FB小编Andy编译,来自FreeBuf.COM

更多资讯

◈ 2018年,供应商预计将面临新的网络安全威胁

http://t.cn/RHQmf5L

◈ 华为IoT设备CVE-2017-17215的漏洞利用方法被公开在Pastebin上

http://t.cn/RHQmfgF

◈ 英特尔处理器硬件设计被发现漏洞 若修补将会降低性能

http://t.cn/RHQmI6r

◈ 微软再发对比:Edge速度比Chrome快48% 拦截钓鱼网站多18%

http://t.cn/RHQmIgN

◈ 大航假期客户数据库疑遭黑客入侵

http://t.cn/RHQmxZv

(信息来源于网络,安华金和搜集整理)

640?wx_fmt=jpeg



云计算虚拟化环境下的安全防护

转载自(比特网):http://www.chinabyte.com/114/12243614.shtml 云计算虚拟化环境下的安全防护 2012-01-13 15:03比特网H3C ...
  • qiushanjushi
  • qiushanjushi
  • 2014年01月26日 16:12
  • 1395

基于态势感知的网络安全事件预测方法分析

机器学习应用在安全领域,尤其是各种攻击检测(对外的入侵检测与对内的内部威胁检测)中,相信很多人早已习以为常。当前机器学习应用的焦点在于能够及时检测出系统/组织中发生的攻击威胁,从而缩短攻击发生到应急响...
  • xumesang
  • xumesang
  • 2016年05月18日 15:43
  • 2737

2018届各大互联网公司校招薪资曝光汇总

2018校招正在进行中,大家对各家企业的网申和内推都是非常积极的,各个公司的薪资情况又是什么样的呢,我来给大家透漏一下2017校招各个企业的薪资。 (*所有数据均来自网友)总的来说,去年的校招开始,...
  • u010321471
  • u010321471
  • 2017年11月11日 17:30
  • 2063

2018年全球网络安全威胁十大趋势

在即将过去的一年中,网络罪犯不断提升他们的专业技术,突破网络防御,在全球造成了多起重大的服务中断事件。2018年,由于攻击者或将使用机器学习和人工智能技术来发动更有力的攻击,这种趋势未来将会愈发明显。...
  • jHstGeWWubw
  • jHstGeWWubw
  • 2017年12月25日 00:00
  • 146

2014年企业面临六大主要网络安全威胁

  • 2014年06月25日 11:28
  • 49KB
  • 下载

计算机网络安全威胁因素与防范措施

  • 2015年09月06日 11:24
  • 215KB
  • 下载

中国地区2012年第一季度网络安全威胁报告

2012年第1季度安全威胁 本季安全警示: 网络钓鱼、欺诈,宏病毒,PE病毒,APT         2012年第1季度流行病毒概况 本季度趋势科技在中国地区发现新的未...
  • iqushi
  • iqushi
  • 2012年04月26日 14:37
  • 1799

中国区第一季度网络安全威胁报告

本季度趋势科技在中国区发现新的未知病毒约13万种。截止2011.3.31日中国区传统病毒码7.940.60可检测病毒数量已超过340万种。 新增的病毒类型最多的仍然为木马(TROJ),木马大部...
  • iqushi
  • iqushi
  • 2011年04月27日 09:40
  • 1601

2016年中回顾:网络安全威胁TOP6分析报告 20160811

本文是对2016年上半年网络安全威胁TOP6的回顾,对这方面有兴趣的有朋友可以仔细看看。 无处不在的勒索软件 勒索软件是一种恶意软件,感染后它会阻止你访问文件系统,以此来要挟你支付赎金。 ...
  • qq_27446553
  • qq_27446553
  • 2016年08月12日 13:31
  • 798

中国地区2012年第三季度网络安全威胁报告

2012年第3季度安全威胁 本季安全警示:   PE病毒,宏病毒 2012年第3季度安全威胁概况   本季度趋势科技中国区病毒码新增特征约60万条。截止2012.9.30日中国区传统病毒码9...
  • iqushi
  • iqushi
  • 2012年11月19日 18:13
  • 814
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【每日安全资讯】2018年,供应商预计将面临新的网络安全威胁
举报原因:
原因补充:

(最多只允许输入30个字)