嚴峻的事實是，全球58%的企業(yè)承認在過去的12個月里至少遇到過一次數(shù)據(jù)泄露事件，而其中一半的企業(yè)表示，它們至少遭遇了一次內部事件。超過三分之一的企業(yè)至少遭受了一次涉及商業(yè)伙伴或第三方供應商的攻擊。

而關鍵在于，根據(jù)Forrester Research的2017年全球安全調查報告顯示，已知的軟件漏洞為41%的外部攻擊打開了大門。

這意味著什么?舉個例子，美國國家安全局的“永恒之藍”漏洞發(fā)生之后的一系列事件，就是針對微軟這幾十年來，在每個Windows操作系統(tǒng)上默認啟用的服務器消息塊(SMBv1)服務。盡管微軟采取了緊急補救措施，但這個漏洞仍然被大規(guī)模用于WannaCry和NotPetya勒索軟件攻擊。在WannaCry爆發(fā)后的24小時內，超過150個國家的23萬多臺電腦被感染，總損失估計高達40億美元。大約一個月后，NotPetya病毒又造成了約3億美元的損失。

Forrester高級研究員Josh Zelonis表示，對于首席信息安全官員和網(wǎng)絡安全專業(yè)人士來說，真正令人感到震驚的是，這些攻擊是在微軟發(fā)布修復漏洞的60到90天之后進行的。這就是為什么他將無效漏洞管理列為2018年數(shù)據(jù)安全面臨的最嚴重威脅。

漏洞管理需要持續(xù)不斷地關注

Zelonis警告說：“知名度高的攻擊是系統(tǒng)未修補的結果，漏洞管理需要高度關注。雖然企業(yè)的安全性不應該依賴于補丁，但執(zhí)行強制性安全任務(如補丁管理)的能力是預估整體安全狀況的一個很好的指標。

以下是Zelonis公司根據(jù)2017年Forrester對全球604位網(wǎng)絡安全決策者的調查結果，確定的其他主要威脅，受訪者所在企業(yè)均為擁有至少1000名員工的公司。

不安全的云服務將繼續(xù)導致敏感數(shù)據(jù)泄漏

在過去的幾年中，由于MongoDB和亞馬遜的簡單存儲服務(S3)等錯誤配置的云服務，出現(xiàn)了大量的大規(guī)模數(shù)據(jù)泄露。Zelonis指出，僅在2017年第三季度，Time Warner、Verizon和Viacom等大公司就經(jīng)歷了這類數(shù)據(jù)泄漏，包括丟失加密密鑰，客戶賬戶細節(jié)和其他敏感數(shù)據(jù)。

數(shù)據(jù)安全專業(yè)人員需要深入了解如何配置面向公眾的服務。雖然這可以通過定期的對抗訓練或內部商議來完成，但Forrester建議與數(shù)字風險監(jiān)控公司合作，實時監(jiān)控業(yè)務的基礎設施。

Equifax的事故證實，基于知識的身份認證是無效的。根據(jù)Forrester的調查，42%的攻擊行為是針對個人身份信息，使其成為攻擊者最普遍針對的數(shù)據(jù)類型。隨著Equifax事故中數(shù)據(jù)被竊取，信息盜賊已經(jīng)擁有訪問個人病歷，銀行賬戶和納稅申報表所需的一切資料。

在這種情況下，Zelonis說，公司需要把身份信息作為一種基于信任的授權和聲明。平衡欺詐風險與限制摩擦間的關系，以確保完成交易，這是現(xiàn)在所有企業(yè)必須權衡的。例如，當購買模式發(fā)生變化時，貸方就會把信用卡上的欺詐行為擱置起來。所有公司都需要開始使用客戶驗證數(shù)據(jù)來進行基于行為的分析，以驗證某人的身份。

戰(zhàn)略妥協(xié)將使攻擊者破壞供應鏈。第三方風險往往是與合作公司和服務提供商共享數(shù)據(jù)的結果。通常，企業(yè)上游的供應鏈問題被忽視，事故發(fā)生也會沒能注意而且也沒有公開。

為了糾正這個問題，Zelonis建議進行供應鏈威脅評估。負責數(shù)據(jù)安全職責的人員應該定期審查供應商信任值以及如何部署軟件更新。

勒索軟件將暴露網(wǎng)絡安全和業(yè)務連續(xù)性弱點。它代表著從傳統(tǒng)的數(shù)據(jù)竊取轉向直接貨幣化的網(wǎng)絡犯罪分子的系統(tǒng)妥協(xié)。Forrester和Disaster Recovery Journal最近進行的一項聯(lián)合調查發(fā)現(xiàn)，每四家公司中就有三家記錄了數(shù)據(jù)篡改響應計劃，但每年只有四分之一的計劃對這些計劃進行一次以上的測試。

Zelonis指出，每天必須備份的數(shù)據(jù)應該更頻繁地進行測試，以便為可能發(fā)生的災難做好準備。

(新媒體責編：wb001)