在过去的一年里,我们看到了一些新出现的或持续存在的威胁,安全和IT高管需要意识到这些威胁,并且在许多情况下需要加以防范。
+也在网络世界足球竞猜app软件2013年最大的互联网安全挑战+
(随着比特币价格飙升,Cryptolocker降低了赎金要求]
我们要求安全管理人员和行业分析师在权衡他们认为是最大的威胁在2013年,为什么组织应该关心这些可能的入侵。下面是一些他们列举的威胁。
 |
|
 |
2013年最大的互联网安全挑战 |
|
2013年十大科技故事:老大哥,可穿戴设备,以及老化科技巨头的挣扎 |
|
2013年十大考试 |
|
在高科技行情的一年 |
|
2013年最糟糕的IT项目灾害 |
|
故事看在科技行业在2013后面的完整列表。 |
|
|
|
更复杂的DDoS
攻击继续变得更加复杂,其中包括分布式拒绝服务(DDoS)攻击带宽的增加。大型支付处理公司Heartland Payment Systems的首席技术官约翰•索斯(John South)表示,这一趋势在最近几个月有所加速。
“以前的DDoS攻击利用了成千上万的个人电脑,一个典型的僵尸网络集群可能利用它们的攻击引擎,”South说。“然而,在较新的努力中,巨大的倍增是僵尸网络,它由具有更大容量和马力的折衷服务器级设备组成。”
South说,2012年典型的DDoS攻击可能会达到3或4 Gbps,而新的攻击可能会超过100 Gbps。“许多安全专家围绕较低的数字设计了他们的DDoS策略,认为这将足以阻止DDoS威胁,”他说。“在新威胁所带来的带宽下,许多机构不得不重新设计他们的网络安全策略。”
普华永道(PricewaterhouseCoopers)安全咨询业务负责人马克•洛贝尔(Mark Lobel)说,今年DoS作为网络武器的地位持续上升。“坏人不一定要偷你的产品或服务,”罗贝尔说。“他们只需要确保你不能向客户提供产品或服务,这比进入公司、找到数据然后干净利落地离开的门槛要低得多。”
僵尸网络的攻击
与DDoS攻击相关的是已经通过系统传播的僵尸网络的“杀伤力”,南说。
“使用网络钓鱼已经获得了成熟的更高水平的技术,他们已经能够放下恶意软件到大量的个人用户和服务器级设备,”南说。
几年前的钓鱼尝试可能充斥着拼写和语法错误,“今天的钓鱼者已经提高了他们的社会工程技能,并结合了更可信的信息,”South说。“他们成功侵入电脑系统,进而获取个人身份、信用卡和银行账户数据,2013年越来越多的账户接管事件就是明证。”
洛杉矶县公共卫生信息安全官员理查德·格林伯格说,尽管钓鱼攻击已经存在多年,但它们仍然是“一种持久的、令人讨厌的、但经常是在组织中获得立足点的有效方法”。
“安全意识培训项目可以解决这个问题,但不能真正指望那些不是安全从业者的人成为王国的捍卫者,”格林伯格说。
公司可以试着在意识温和上涨,“但我们欺骗自己,如果我们认为每一个员工永远不会点击他们的电子邮件链接或附件上,”格林伯格说。“只要有一个成功的点击注入一个rootkit,键盘记录[或]木马,允许黑客非法进入您的环境。显然,这是保持我们网站的一个问题。”
忽略内部威胁
来自组织内部的攻击并不是什么新鲜事。但SoCal隐私咨询公司总裁迈克尔•考克斯(Michael Cox)表示,来自这些看似可信的当事人的威胁数量正在上升。
“许多面向网络的组织严格地专注于外部威胁,包括间谍特工、破坏分子和网络罪犯,”Cox说。“然而,企业经常对员工和第三方服务提供商造成的违规行为感到惊讶。”
考克斯说,由于这些受信任方对敏感信息的接触最多,受信任方造成的入侵的平均成本要高于外部威胁造成的损失。“安全组织对受信任方的错误认识,使得这些行为者的入侵比外部威胁增长得更快。”
考克斯说,对员工来说,违规的主要原因是意识和培训项目不足、基于角色的访问控制和活动监控。对于第三方服务提供商来说,不充分的尽职调查和监控程序是主要原因。
不安全的应用程序
另一个在2013年和2014年普遍存在的威胁是不安全应用程序的生产和分发。
“电子商务和移动应用的激增,使许多企业有更大的连接与他们的客户,”南说。但是,我们还没有解决已经存在了超过近10年来所产生的问题:注入和跨站脚本攻击的威胁”
考虑到攻击者的复杂程度,安全专业人员继续编写容易被攻破的代码。“随着NOSql数据库及其相关注入攻击的出现,危及面向internet应用程序的能力可能会继续增加而不是减少,”他说。
医疗技术集成公司FEi Systems的首席安全和隐私官贾森•陶勒(Jason Taule)表示,对网络安全的担忧“完全被对网络上运行的应用和服务的担忧所取代”。“内部开发团队和商业软件市场都越来越关注对安全代码的需求。”
陶勒说,应用程序和用于访问的凭证的安全性只有在一开始对用户身份进行审查时才有保障。他说:“要求用户在读卡器中插入PIV卡,提供生物特征,并输入密码,如果这些凭证没有提供给正确的个人,那就没有任何作用。”
随着信息的日益敏感和应用程序功能的日益重要,“我们需要像考虑访问控制一样考虑身份验证,”Taule说。
数据供应链威胁
蒂莫西·瑞恩,克罗尔咨询解决方案的网络调查实践的常务董事和前监督特别代理人与联邦调查局局表示,数据供应链漏洞是一个潜在的威胁。
“我们已经在过去一年看到的是,许多公司并不完全了解所有正在处理或处理他们的数据不同的当事人的,”瑞恩说。“一些企业已经外包数据处理,以分包商的某些部分,才发现该供应商没有足够的安全措施到位,或者说他们不知道如何处理事件,或者说,公司没有通知他们就当是一个问题“。
451 research的安全研究总监Wendy Nather说,在多租户环境中,系统管理员有时会走捷径。
纳瑟说:“他们可能会为每个租户使用相同的特权账户密码,而且他们可能会坚持企业通常不会允许互联网上其他任何人使用的宽网访问权限。”“通过这种方式,第三方就成为了攻击者进入某个特定企业的一个起点。”
前雇员未经授权的访问
Ryan说,未经授权的网络访问,特别是前雇员的未经授权的网络访问,仍然是许多公司的安全问题。
瑞安说:“我们发现,有些公司没有完全切断前雇员获得的所有访问权限。”他的公司通常会在员工离职前通知他,以确保公司有效地终止该员工的访问权限。
瑞恩说:“也有这样的情况,我们会被叫去调查没有恰当终止访问权限的员工,帮助我们评估被窃取的内容以及如何补救。”
(随着比特币价格飙升,Cryptolocker降低了赎金要求]
瑞恩指出,这些员工获取这些信息的原因各不相同。有时,它可能是窃取个人可能有兴趣出售或个人使用的知识产权(如源代码)。“或者,他们可能正在访问网络,试图确保未决诉讼的信息安全,”他说。“他们可能会成为诉讼的对象,并试图收集有关终止合同或相关问题的信息。”
嵌入式系统漏洞
陶勒说,如今越来越多的非传统设备进入网络,包括可上网的相机、数字录像机、徽章阅读器和其他具有IP地址的非pc设备。
”,对于那些认为物联网——或者“网络漏洞的,我最近听到一个同事讽刺——仍在年,问问同行的人在医院工作,处理不计其数的网络启用/医疗设备相连,“Taule说。
“如果我们认为仅仅通过管理对传统网络设备的威胁就可以很好地控制风险,那我们就是在愚弄自己,”Taule说。“我们必须扩大我们的形势感知能力,为连接到网络的一切提供全面覆盖。”
比特币的发展
碧浪银,独立咨询CISO说,比特币,开源电子货币和支付网络使用加密来保护数据,配备有自己的一套安全隐患。
西尔弗斯通说,比特币是更数字化的经济的先兆,但它的弱点——从主机站点的黑客攻击到纯加密攻击——刚刚被发现。
“对比特币的多次攻击如此成功,我怀疑这将导致对货币和交易转移机制的新一轮攻击,”西尔弗斯通说。“这些,如贝宝、Swift,以及企业和银行发起的环境,每天转移数万亿美元。他们中的许多人几乎不依赖安全,很容易受到攻击。”
这篇文章,“2013年最严重的8大安全威胁”,最初由CSO 。