疲勞在安全人員中蔓延
作為持續爭議和辯論的根源,《加利福尼亞消費者隱私法案》(CCPA)于2019年1月1日最終定稿。
旨在保護個人數據,防止不道德實體濫用或未經允許的使用的可頌揚目標的驅動下,每項故意違法行為最高可處以7500美元的罰款,每起非故意違規行為可處以2500美元的罰款。
該法對處理或處理居民個人數據的組織具有強制性,無論該居民的地理位置如何。類似于歐盟GDPR,數據主體被賦予了一系列權利來控制其個人數據及其最終使用。
迅速發展的地區,國家和跨國法規加劇了這一趨勢,2020年可能成為網絡安全合規性受到侵蝕并開始迅速崩潰的一年。
鑒于一方面司法系統運行緩慢,另一方面網絡安全技能不足且預算不足,網絡安全專業人員可能會開始無視所有繁瑣的法規。
第三方數據泄露主導威脅
賽門鐵克表示,2019年供應鏈攻擊上升了78%。競爭和成功的企業通常以較高的專業水平和專業水平而著稱,他們集中所有可用資源以在特定市場中實現卓越,從而超越競爭對手。
因此,他們將大多數輔助業務流程外包給了熟練的供應商和經驗豐富的第三方,從而降低了成本,提高了質量并加快了交付速度。
可悲的是,供應商也在動蕩,競爭激烈的全球市場中運作,因此很少能為他們的客戶提供像樣的網絡安全和數據保護。
IBM表示,2019年識別違規事件的平均時間高達206天。甚至更糟的是,由于攻擊的復雜性和受害人缺乏技能,因此很少能檢測到此類攻擊,最終安全研究人員或新聞工作者突然報道了這些攻擊,并對數據所有者大為震驚。
網絡犯罪分子非常了解這種低垂的成果,并將繼續有目的地鎖定這一最薄弱的環節,以獲取您的數據,商業秘密和知識產權。
外部攻擊面擴大
根據IDG的CSO Online,2019年有61%的組織經歷了IoT安全事件。物聯網和連接設備的全球擴散,公共云,PaaS和IaaS的使用極大地促進了業務發展并實現了快速增長。組織的外部攻擊面的增加是伴隨而來的,通常是未被注意到的。
簡單地說;外部攻擊面由攻擊者可以從Internet訪問并屬于您組織的所有數字資產(也稱為IT資產)組成。
傳統的數字資產(例如網絡或Web服務器)通常都有很多庫存,但是RESTful API和Web服務,混合云應用程序以及托管在外部平臺上的關鍵業務數據-只是新興的數字資產的幾個例子,攻擊面保持無人看管。
由于您無法保護自己所不知道的東西,因此這些數字資產中的絕大部分都沒有以任何方式正確維護,監視或保護。
流氓移動應用程序,欺詐性網站,釣魚網站和搶注網站加劇了這種情況,而通過適當實施的域安全監控可以檢測到這種情況,現在開始為在網絡安全專業人員中普及鋪平道路。
總而言之,隨著組織升級其IT并留下許多模糊的數字未知因素(無論是內部還是外部),侵入它的過程將變得更加輕松快捷。
云配置錯誤暴露數十億信息
福布斯說,到2020年,將有83%的企業工作負載轉移到云中。不幸的是,用于數據存儲和處理的云的穩定增長大大超出了負責云基礎架構的IT人員的安全技能和足夠的培訓。
Gartner報告說,大約95%的云安全故障是由客戶而不是公共云基礎架構的供應商造成的。
毫不奇怪,2019年重大數據泄漏的很大一部分來自錯誤配置的云存儲,這暴露了最大的科技公司和金融機構的頭號珠寶。
2019年7月,世界媒體報道稱違反了Capital One,這可能是美國金融部門最大的數據泄露事件,這件事影響了美國大約1億個人和加拿大600萬個人。
據報道,攻擊者利用配置錯誤的AWS S3存儲桶下載了無人看管的極其敏感的數據。
盡管Capital One僅估計了因違規而造成的直接損失就達到了1.5億美元,但聯邦調查局后來披露,使用相同的AWS錯誤配置可能會危害多達30個其他組織。
可以預見的是,在2020年,云安全事件將始終是數據泄露根源的重中之重。
網絡釣魚攻擊將激增
ImmuniWeb表示, 僅對于《財富》 500強中的全球最大公司而言,就有可能在2019年暗網中暴露超過2100萬個有效憑據。
網絡犯罪分子更喜歡快速無風險的突襲,而不是費時的APT攻擊,昂貴的零日攻擊或對SAP中復雜漏洞的連鎖利用。
即使許多組織最終設法實現了具有強大的密碼策略,MFA并持續監視異常情況的易耗品身份和訪問管理(IAM)系統,受保護的范圍也很少包含外部系統。
此類灰區系統范圍從SaaS CRM和ERP到彈性的公共云平臺。即使攻擊者在Dark Web上找到或購買的密碼無效,它們也為巧妙的社會工程活動提供了很多思路,有助于網絡釣魚和暴力破解攻擊的預防。
從技術角度看,這些攻擊通常乍一看很原始,它們顯示出驚人的效率,無情地破壞和削弱了組織的網絡安全防御能力。
京公網安備 11010502049343號