行業(yè)動(dòng)態(tài)

2020年網(wǎng)絡(luò)犯罪&安全的預(yù)測有哪些?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-25    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)D1net

我們提取了30份致力于2020年網(wǎng)絡(luò)安全和網(wǎng)絡(luò)犯罪預(yù)測的獨(dú)立報(bào)告,并匯總了本帖子中最有趣的5個(gè)最令人感興趣的發(fā)現(xiàn)和預(yù)測。

疲勞在安全人員中蔓延

作為持續(xù)爭議和辯論的根源,《加利福尼亞消費(fèi)者隱私法案》(CCPA)于2019年1月1日最終定稿。

旨在保護(hù)個(gè)人數(shù)據(jù),防止不道德實(shí)體濫用或未經(jīng)允許的使用的可頌揚(yáng)目標(biāo)的驅(qū)動(dòng)下,每項(xiàng)故意違法行為最高可處以7500美元的罰款,每起非故意違規(guī)行為可處以2500美元的罰款。

該法對(duì)處理或處理居民個(gè)人數(shù)據(jù)的組織具有強(qiáng)制性,無論該居民的地理位置如何。類似于歐盟GDPR,數(shù)據(jù)主體被賦予了一系列權(quán)利來控制其個(gè)人數(shù)據(jù)及其最終使用。

迅速發(fā)展的地區(qū),國家和跨國法規(guī)加劇了這一趨勢,2020年可能成為網(wǎng)絡(luò)安全合規(guī)性受到侵蝕并開始迅速崩潰的一年。

鑒于一方面司法系統(tǒng)運(yùn)行緩慢,另一方面網(wǎng)絡(luò)安全技能不足且預(yù)算不足,網(wǎng)絡(luò)安全專業(yè)人員可能會(huì)開始無視所有繁瑣的法規(guī)。

第三方數(shù)據(jù)泄露主導(dǎo)威脅

賽門鐵克表示,2019年供應(yīng)鏈攻擊上升了78%。競爭和成功的企業(yè)通常以較高的專業(yè)水平和專業(yè)水平而著稱,他們集中所有可用資源以在特定市場中實(shí)現(xiàn)卓越,從而超越競爭對(duì)手。

因此,他們將大多數(shù)輔助業(yè)務(wù)流程外包給了熟練的供應(yīng)商和經(jīng)驗(yàn)豐富的第三方,從而降低了成本,提高了質(zhì)量并加快了交付速度。

可悲的是,供應(yīng)商也在動(dòng)蕩,競爭激烈的全球市場中運(yùn)作,因此很少能為他們的客戶提供像樣的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)。

IBM表示,2019年識(shí)別違規(guī)事件的平均時(shí)間高達(dá)206天。甚至更糟的是,由于攻擊的復(fù)雜性和受害人缺乏技能,因此很少能檢測到此類攻擊,最終安全研究人員或新聞工作者突然報(bào)道了這些攻擊,并對(duì)數(shù)據(jù)所有者大為震驚。

網(wǎng)絡(luò)犯罪分子非常了解這種低垂的成果,并將繼續(xù)有目的地鎖定這一最薄弱的環(huán)節(jié),以獲取您的數(shù)據(jù),商業(yè)秘密和知識(shí)產(chǎn)權(quán)。

外部攻擊面擴(kuò)大

根據(jù)IDG的CSO Online,2019年有61%的組織經(jīng)歷了IoT安全事件。物聯(lián)網(wǎng)和連接設(shè)備的全球擴(kuò)散,公共云,PaaS和IaaS的使用極大地促進(jìn)了業(yè)務(wù)發(fā)展并實(shí)現(xiàn)了快速增長。組織的外部攻擊面的增加是伴隨而來的,通常是未被注意到的。

簡單地說;外部攻擊面由攻擊者可以從Internet訪問并屬于您組織的所有數(shù)字資產(chǎn)(也稱為IT資產(chǎn))組成。

傳統(tǒng)的數(shù)字資產(chǎn)(例如網(wǎng)絡(luò)或Web服務(wù)器)通常都有很多庫存,但是RESTful API和Web服務(wù),混合云應(yīng)用程序以及托管在外部平臺(tái)上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)-只是新興的數(shù)字資產(chǎn)的幾個(gè)例子,攻擊面保持無人看管。

由于您無法保護(hù)自己所不知道的東西,因此這些數(shù)字資產(chǎn)中的絕大部分都沒有以任何方式正確維護(hù),監(jiān)視或保護(hù)。

流氓移動(dòng)應(yīng)用程序,欺詐性網(wǎng)站,釣魚網(wǎng)站和搶注網(wǎng)站加劇了這種情況,而通過適當(dāng)實(shí)施的域安全監(jiān)控可以檢測到這種情況,現(xiàn)在開始為在網(wǎng)絡(luò)安全專業(yè)人員中普及鋪平道路。

總而言之,隨著組織升級(jí)其IT并留下許多模糊的數(shù)字未知因素(無論是內(nèi)部還是外部),侵入它的過程將變得更加輕松快捷。

云配置錯(cuò)誤暴露數(shù)十億信息

福布斯說,到2020年,將有83%的企業(yè)工作負(fù)載轉(zhuǎn)移到云中。不幸的是,用于數(shù)據(jù)存儲(chǔ)和處理的云的穩(wěn)定增長大大超出了負(fù)責(zé)云基礎(chǔ)架構(gòu)的IT人員的安全技能和足夠的培訓(xùn)。

Gartner報(bào)告說,大約95%的云安全故障是由客戶而不是公共云基礎(chǔ)架構(gòu)的供應(yīng)商造成的。

毫不奇怪,2019年重大數(shù)據(jù)泄漏的很大一部分來自錯(cuò)誤配置的云存儲(chǔ),這暴露了最大的科技公司和金融機(jī)構(gòu)的頭號(hào)珠寶。

2019年7月,世界媒體報(bào)道稱違反了Capital One,這可能是美國金融部門最大的數(shù)據(jù)泄露事件,這件事影響了美國大約1億個(gè)人和加拿大600萬個(gè)人。

據(jù)報(bào)道,攻擊者利用配置錯(cuò)誤的AWS S3存儲(chǔ)桶下載了無人看管的極其敏感的數(shù)據(jù)。

盡管Capital One僅估計(jì)了因違規(guī)而造成的直接損失就達(dá)到了1.5億美元,但聯(lián)邦調(diào)查局后來披露,使用相同的AWS錯(cuò)誤配置可能會(huì)危害多達(dá)30個(gè)其他組織。

可以預(yù)見的是,在2020年,云安全事件將始終是數(shù)據(jù)泄露根源的重中之重。

網(wǎng)絡(luò)釣魚攻擊將激增

ImmuniWeb表示, 僅對(duì)于《財(cái)富》 500強(qiáng)中的全球最大公司而言,就有可能在2019年暗網(wǎng)中暴露超過2100萬個(gè)有效憑據(jù)。

網(wǎng)絡(luò)犯罪分子更喜歡快速無風(fēng)險(xiǎn)的突襲,而不是費(fèi)時(shí)的APT攻擊,昂貴的零日攻擊或?qū)AP中復(fù)雜漏洞的連鎖利用。

即使許多組織最終設(shè)法實(shí)現(xiàn)了具有強(qiáng)大的密碼策略,MFA并持續(xù)監(jiān)視異常情況的易耗品身份和訪問管理(IAM)系統(tǒng),受保護(hù)的范圍也很少包含外部系統(tǒng)。

此類灰區(qū)系統(tǒng)范圍從SaaS CRM和ERP到彈性的公共云平臺(tái)。即使攻擊者在Dark Web上找到或購買的密碼無效,它們也為巧妙的社會(huì)工程活動(dòng)提供了很多思路,有助于網(wǎng)絡(luò)釣魚和暴力破解攻擊的預(yù)防。

從技術(shù)角度看,這些攻擊通常乍一看很原始,它們顯示出驚人的效率,無情地破壞和削弱了組織的網(wǎng)絡(luò)安全防御能力。


 
 

上一篇:2019年12月24日 聚銘安全速遞

下一篇:特朗普被追蹤、1200萬美國人被精準(zhǔn)定位,刷屏事件背后的危機(jī)隱患