2020年网络安全趋势:值得关注的9个威胁(3)
|
卡巴斯基公司在2019年发布的《IT安全经济学》报告中表示,大企业和中小企业都发现与第三方供应商(服务和产品)有关的攻击事件分别相似,分别为43%和38%。根据One Identity公司的一项调查显示,大多数企业(94%)授予第三方访问其网络的权限,而72%的企业授予特权访问的权限。但是,只有22%的企业对那些第三方没有访问未经授权的信息充满信心,而18%的企业报告说由于第三方的访问而导致数据泄露。 卡巴斯基公司的研究表明,很多企业都在迫使第三方供应商签署安全政策协议——75%的中小企业和79%的企业使用这些协议。当第三方对违约行为负有责任时,从第三方获得赔偿,这就产生了很大的不同。在签署安全政策协议的企业中,71%的企业表示获得了补偿,而没有签署安全政策协议的企业中只有22%获得了补偿。 2020年的预期:企业与供应商和合作伙伴之间的数字联系将更加紧密。这既增加了风险,也提高了人们对风险的认识。不幸的是网络攻击者变得越来越老练。 Galov说,“最近,我们发现诸如BARIUM或APT41之类的一些新组织对软件和硬件制造商进行了复杂的供应链攻击,以便渗透到全球安全的基础设施中。其中包括2017年和2019年发现的两种复杂的供应链攻击:CCleaner攻击和ShadowPad攻击,以及其他针对游戏公司的攻击。处理来自这些威胁参与者之一的妥协是一个复杂的过程,因为他们通常会留下后门,从而使他们在返回之后造成更大的破坏。” 2020年优秀建议:了解谁可以访问企业的网络,并确保他们仅拥有所需的特权。制定政策、沟通和执行第三方访问规则。确保为所有第三方供应商制定了安全政策,规定了责任、安全期望以及事故发生时的情况。 Galov说:“明智的企业可以保护自己免受此类攻击,要确保不仅他们自己,而且他们的合作伙伴都遵守高网络安全标准。如果第三方供应商可以通过任何方式访问内部基础设施或数据,则应在整合过程之前制定网络安全政策。” 5.DDoS攻击 卡巴斯基公司在2019年发布的《IT安全经济学》调查报告表明,2019年有42%的大企业和38%的中小型企业遭受了分布式拒绝服务(DDoS)攻击。这与勒索软件事件的发生率相当,勒索软件事件更受媒体关注。从财务角度来看,每次DDoS攻击将使中小企业平均损失138000美元。 攻击者不断创新以提高其DDoS攻击的效率。 例如,在今年9月,Akamai报告了一个新的DDoS向量:Web服务动态发现(WSD),这是一种用于在本地网络上定位服务的多播发现协议。使用Web服务动态发现(WSD),网络攻击者可以大规模定位和破坏配置错误的与全球互联网连接的设备,从而扩大DDoS攻击的范围。 2020年的预期:由于5G的兴起和物联网设备的数量增加,卡巴斯基公司Galov认为2020年DDoS攻击仍将相当突出。他说:“供水、电网、军事设施和金融机构等关键基础设施的传统边界将进一步扩展到5G世界中的其他前所未有的领域。所有这些都需要新的安全标准,而提高连接速度将在阻止DDoS攻击发生方面带来新的挑战。” 2020年优秀建议:Akamai的Seaman说,“企业需要检查其互联网连接设备是否配置错误和未修补的漏洞,这是基本的网络安全措施。” 不幸的是,这并不能帮助减少消费类设备的DDoS攻击风险。 6.应用程序漏洞 根据Veracode公司发布的软件安全状态第10卷调查报告,在该公司测试的85000个应用程序中,83%的应用程序至少有一个安全缺陷。很多应用程序都有更多的漏洞,因为研究发现总共有1000万个漏洞,20%的应用程序至少有一个严重性很高的漏洞。这就给网络攻击者留下了许多潜在的零日漏洞和可利用的漏洞。 2020年的预期:尽管安全和开发团队做出了较大的努力,漏洞仍将继续渗透到软件中。Veracode公司联合创始人兼首席技术官Chris Wysopal说,“当今大多数软件都是非常不安全的。这一趋势将在2020年持续,尤其是90%的应用程序使用开源库中的代码。我们在2019年看到了应用程序安全的积极迹象。企业越来越关注于不仅要发现安全漏洞,而且要解决这些漏洞,并优先考虑使它们最容易受到威胁的漏洞。我们的调查表明,发现和修复漏洞与改善功能一样,已成为整个过程的一部分。” 2020年优秀建议:正如Veracode公司研究显示的那样,更频繁地扫描和测试企业的应用程序是否存在漏洞,同时优先解决最严重的漏洞,这是一种有效的防御措施。Wysopal还敦促企业密切注意担保债务。他说:“应用程序安全性内日益增长的威胁之一是安全债务的概念,无论应用程序是累积的还是随着时间的推移消除了缺陷。越来越多的安全债务使企业容易受到攻击。 Wysopal表示:“就像信用卡债务一样,如果企业在开始时有大量余额,并且仅支付每个月的新支出,那么将永远不会消除余额。企业必须解决新的安全性隐患,同时又要消除旧的安全性隐患。” 7.云服务/托管基础设施泄露事件 根据卡巴斯基公司在2019年发布的《IT安全经济学》报告,2019年有43%的企业发生了影响第三方云服务的安全事件。虽然与云计算相关的泄露事件并没有成为中小企业最常见的列表,但对于通常更依赖托管服务的中小公司来说,这些事件代价高昂。影响中小型企业托管基础设施的泄露事件平均为162000美元。 在线支付欺诈是2019年欺诈活动增加的一个领域。去年,犯罪集团Magecart公司在过去的一年里相当忙碌。该组织使用代码,利用云中的错误配置修改购物车代码。使用在线电子商务服务的企业直到客户投诉欺诈性收费时才意识到这一事件。 企业仍然需要担心云服务的错误配置会导致数据暴露在互联网上。攻击者定期扫描互联网以获取公开数据。幸运的是,亚马逊和谷歌等云计算供应商在2019年推出了新的工具和服务,帮助企业正确配置其云计算系统,并发现导致数据不受保护的错误。 (编辑:ASP站长网) |
Redis未授权检测漏洞G
严峻Web对抗环境下的W
遭黑客盗走AMD GPU 部
企业级信息防泄漏大方