好吧,我们深入了安全报告季节。从RSA会议开始的毛毛雨开始变成了洪流。当然,Verizon数据泄露报告已成为安全报告的大狗,但远非孤独。这些报告中有许多包含一些出色的数据和指标。但是总的来说,阅读它们,我给人的印象是我不需要天气预报员来告诉我下雨了。我可以在外面看,然后自己看看。
如果我们能采取这些趋势并了解下一个大攻击向量将是什么,那不是很好吗?是的,但是不幸的是,除非我们在明年的报告中看到文章,否则我们大多数人都不会知道下一个大攻击媒介。
不幸的是,正如我的朋友迈克尔·法纳姆(Michael Farnum)发推文时:“打电话给所有没有想象力的Infosec演讲者!您的2014年材料已经准备好!今天就拿到Verizon #DBIR!”正如迈克尔后来所解释的那样,这并不意味着Verizon Dbir并没有充满大量信息,而只是意味着它并没有取代真正的安全和保持警惕。
随着Verizon的报告已进入第10年,过去十年中的违规行为有一些很棒的历史观点。我并不是说您不能在明年将这些数据投影。不过,我说的是安全的工作方式,明年我们可能会阅读一些坏人用来违反的新攻击向量或方法。
但是,我们不要选择Verizon报告,还有其他一些报告也很不错。一个是警报逻辑云安全报告,另一个良好的报告充满了一些出色的指标和研究,研究了针对基于云的基础架构与本地基础架构的不同类型的攻击。这是警报逻辑报告的第三年或第四年。每年它变得越来越好,并使我们对威胁以及云中的安全性如何与本地安全区别不同。
其他报告是PWC全球信息安全状态, 这Trustwave安全压力报告,,,,2014年思科年度安全报告,,,,Sophos安全报告, 这Firemon/Ponemon Institute报告我关于上周写的,和Symantec报告。
这些报告中的每一本书本身都很棒。他们可以武装您的所有事实和数字,以便您就安全团队需要更多预算的理由。正如迈克尔·法纳姆(Michael Farnum)所说,这是一个Infosec演讲者的梦想,具有足够的事实,图表和图表,可以使我们全年前进。
但是经过所有这些报告后,我觉得我正在看电视天气报告,告诉我下雨了,而我可以看着窗户。所有这些报告都非常一致。他们都说我们受到攻击。他们说,我们全面看到了比以往任何时候都更多的攻击。无论是在云中,在端点上还是在服务器上,我们都会看到更多的事件,更多的攻击,甚至更复杂的攻击。
另一方面,安全预算仍然不足,高管们对组织安全的真实状况没有清晰的了解,并且安全团队没有机会真正传达出真正缺乏准备的权力,是。
在阅读了很多这些报告已有足够多年之后,我觉得我知道自己应该拿出雨伞。我不需要有人告诉我正在下雨。
我想我的问题是,我们该怎么做才能改变预测?它只是更一样吗?我希望看到一些说明的东西是这些变化,新想法,有望改变方程式的新方法。我们已经掌握了安全漏洞数据报告。我们为下一个行为做什么?
下一个行为是我们如何获取这些信息并从根本上“改变天气预报”。在明年的报告中,我们可以申请什么经验教训,以避免避免安全的土拨鼠日?
我不知道答案是什么。如果我这样做,我会告诉你。但是,直到我们这样做之前,关于违规和安全指标的更严峻的统计数据都在充耳不闻。