回顾2014年

2014年顶部的信息安全问题

安全专家发现了几乎过去一年的趋势

还有时间的“2014顶级信息安全问题”的任何名单将过时。假日购物季节刚刚进入高挡,毕竟,大家都知道它是从十一月下旬至十二月中旬去年灾难性的目标断裂发生了。

但这份名单大约比攻击和破坏 - 它是关于信息安全更广泛的问题,或有可能塑造行业的未来发展趋势。

几位专家对他们的首选,我们能从他们是否是知识学习可以帮助企业提高在未来一年其安全状况提供CSO的一些想法。

网络威胁胜过恐怖主义

美联社故事联邦政府的$ 10十亿年的努力,以确保它的多个机构在过去的一周注意到,几乎路过,即,“情报官员说,网络安全已经胜过恐怖主义对美国的头号威胁”

这是有道理的萨拉·艾萨克斯,在Conventus管理合伙人。尽管网络攻击的规模不断扩大,并不断发展了几十年,艾萨克斯说出现了质的变化:它不仅是犯罪分子试图窃取金钱 - 这是使用它的间谍活动,甚至军事优势的民族国家。

今年五月,“在司法部起诉重罪黑客偷工业秘密的指控中国的解放军的五名成员,”她说。“我们从来没有看到过。”

然后,在9月,“北约一致认为,网络攻击可能引发军事事件,”她说。“这是关于超过保护信用卡。这是升级到新的水平。”

萨拉·艾萨克斯

莎拉·艾萨克斯,管理合伙人,Conventus

作者,安全专家和系统的Co首席技术官布鲁斯,可能会同意。在最近的博客岗位他写道,日益复杂的攻击,这是不是金融盗窃特别是高级持续性威胁(APT),从,来了“新整理的攻击者,这需要一个新的威胁模型。”

有这方面的证据在最近研究通过对APT的ISACA。首席执行官Rob克莱德的受访者称92%,“感觉的APT是一个严重的威胁,并有可能影响国家安全和经济稳定的能力。”

云量增加

- 私有,公共和混合 - 不是新的。但在使用云存储服务稳步增加威胁到企业更大的风险。

施奈尔,在他的博客中表示,继续移植到云的手段,“我们失去了我们的计算环境的控制。我们的数据更多的是持有其他公司云......”

虽然专家说,云服务提供商经常提供更好的安全性,这可能不是所谓的“影子”或“流氓”的真使用云工人谁相信这是做他们的工作不是通过IT去一个更简单的方法。

一切(IOE)的互联网 - 黑客前沿

物联网(IoT)在去年非常流行。现在是IoE。家庭、汽车、电子设备、机器以及个人穿戴的智能嵌入式设备现在已成为主流。他们已经有数十亿了他们的成长预估介于50十亿在2020年以前在未来十年内超过一万亿美元。

这意味着流向互联网,它可以用于营销目的出售或被盗的更恶毒的手段越来越多的数据海啸。

艾萨克斯,谁说,她是那些谁使用一个可穿戴的运动当中,说她用“伪数据”进行注册。“因此,没有人知道这是我的数据,”她说。“它不能被直接映射到我。”

但她说,总的来说,“每个人都在过度分享每件事。这些威胁是广泛的,可能是灾难性的。我对我看到的智能车感到很紧张。

这里似乎是越来越多的智能车的隐私问题的认识。美联社报道this week that 19 automakers that make most of the cars and trucks sold in the U.S. signed on to a set of principles, delivered to the Federal Trade Commission (FTC), that seek to reassure vehicle owners that the information gathered by those vehicles, “won't be handed over to authorities without a court order, sold to insurance companies or used to bombard them with ads … without their permission.”

“智能”设备的黑客攻击的漏洞已经证明这促使Identiv的高级副总裁Phil Montgomery呼吁,“一种更严格的基于标准的安全方法,减少对用户名/密码技术的过时处理的依赖,更多地依靠更强的身份验证形式。”

无党派的第三方

这一年,通过第三方承包商的入侵风险成为主流意识。塔吉特公司(Target)泄露了7000万张唱片,这只是通过外部供应商泄露的众多事件之一。

监管机构正试图保持这种意识。支付卡行业安全标准委员会(PCI SSC)的新任总经理斯蒂芬Orfei,在最近的注意访问即,“安全是唯一的好,因为你最薄弱的环节 - 这意味着你的业务合作伙伴的安全做法应该是尽可能高的优先级作为自己系统的完整性。”

恭马西亚诺

恭马西亚诺,总裁,网络数据风险管理

恭马西亚诺,网络数据风险经理的总裁,他说,除了审查供应商进行严格的安全标准,企业应该“,要求他们的供应商携带和购买网络/数据泄露保险,赔偿他们所造成的供应商的疏忽数据泄露相关的任何费用。”

漏洞百出,有时还带有恶意的人类操作系统

虽然第三方可以是安全链中的薄弱环节,这是不太可能由于技术和多因人的因素。

2013年,美国国家安全局(National Security Agency)前承包商雇员爱德华·斯诺登(Edward Snowden)让国际社会关注了恶意内部人士带来的风险,但对企业而言,纯粹的忠诚内部人士也可能带来同样巨大的危险“无能或不小心,”陷入社会工程骗局。

约瑟夫·卢米斯Cyber​​Sponse的创始人和首席执行官,他说是,“肯定有大公司有超过他们的员工和他们的访问权限控制一点。谁在观看谁,他们在做什么?”

这也是对员工的时候与不断更有说服力的社会工程攻击提出了控制自己。

联邦政府今年早些时候报道说,违反其在2013系统中的63%是由于人为错误。

据马西亚诺,“员工疏忽是在2014年的历史最高水平,”与从的问题“未能执行例行的安全程序缺乏安全意识,程序错误和不当行为。”

埃尔登Sprickerhoff,创始人和首席安全策略eSentire,指出,“钓鱼邮件是越来越好。我见过一些是如此有针对性的,所以做得很好,我无法分辨。”

而且它不只是普通工人谁是个问题。身份搜索CEO托德·费恩曼说,问题出一路到顶部。“许多管理者不知道他们的敏感数据,使他们不知道如何来保护它,”他说。

无处不在的BYOD

虽然自带设备现在是工作场所的主流,但艾萨克斯认为,人们越来越关注移动计算,“这非常可怕,而且还会变得更糟。”

BYOD现在带来了“公司内部极其不可靠的商业应用,”她说。“有很多软件漏洞。每一个免费或99美分的应用程序,可能都没有很高的安全级别。而且人们也不安装补丁。”

克莱德说:“现在世界上移动设备的数量是个人电脑的好几倍。事实上,在世界上的许多地区,移动设备是大多数用户连接互联网的唯一途径,”但安全问题仍然相对次要。

ISACA发现,“不到一半(45%)的人更改过网上密码或PIN码。

而现在,连穿装置(BYOW)正成为职场常见的,但是,“大多数专业人士说,他们的BYOD政策并没有解决可穿戴技术,有的甚至没有一个BYOD政策,”克莱德说。

事件响应的年龄(IR)

上述所有问题都导致了更加注重IR。据施奈尔,这不只是一年,但IR的十年中,以下的保护产品十年,另一个的检测产品。

在他的博客中,他提到了三个趋势:更多的数据存储在云端,更多的网络被外包;更多的APTs由国家和;在保护和检测方面继续缺乏投资,将大部分负担留给了应对。

汤姆·贝恩

汤姆·贝恩,副总裁,CounterTack

IR一直比较传颂在2014年,甚至比几年前。安全专家的口头禅是,它是不是一个是否的问题,而是何时,一个组织被破坏,而一个有效的IR计划(与检测相结合)可以使更多的滋扰比灾难的袭击。

正确的IR是至关重要的,但CounterTack的副总裁汤姆·贝恩(Tom Bain)称它为“安全领域最困难的工作”。你可以拥有所有的技术来检测、预防和分析,但如果你的工作流程被破坏,或者团队被事件调查淹没,你仍然很脆弱,”他说。

加强监管,请

通常谴责政府监管的行业 - 零售 - 现在唱相反的调,当涉及到网络安全。

11月6日44个代表零售商的州和全国性组织在致国会两院领导人的信中呼吁,“制定一项适用于所有被侵害实体的单一联邦法律,以确保向所有受影响的消费者发出明确、简明和一致的通知,无论他们住在哪里,也无论被侵害发生在哪里。”

斯普里克霍夫说,这样的法律将是“良好的第一步”。38个州对什么是违规有不同的定义,所以情况有点失控了。”“如果你对需要做什么有统一的描述,这不是一件坏事。”

但是,当然,通知是不一样的提高了安全性。并有限制到什么调节可在该区域完成。

理查德bejtlich

理查德Bejtlich,首席安全战略家,FireEye的

“我担心,遵守‘框架’,吸引了大量的关注,”理查德Bejtlich,在FireEye的首席安全战略家说。“我宁愿组织注重结果或输出,就像是从什么检测到围堵的时候?

“直到组织跟踪这些指标的基础上,结果,他们真的不知道,如果他们的安全状况正在改善,”他说。

要做什么吗?

当然,在安全方面没有灵丹妙药。艾萨克斯说,他指出,几乎不可能说什么是最大的威胁。她说,我听过一篇演讲,内容是“被千刀万剐”。

但专家确实有建议。Sprickerhoff说,更多的培训是至关重要的,不只是员工的安全意识,但下一代的IT安全专家。

他表示:“我认为,在it安全领域找到优秀人才从未像现在这样困难。”“大学水平的课程学习不多。”

LightCyber研究公司的副总裁Eyal Firstenberg说,提高安全性需要结合技术和培训。

“有一个需要快速,准确的警报和通知,这是最终确定这些网络交战的结果,”他说,但他补充说,“企业需要谁进行培训,以了解哪些威胁是真实的,需要对员工更专业的诊断者to be addressed, and which ones aren’t.”

阿什利·埃尔南德斯,用于指导软件的教练,要求组织之间更多的交流。“安全专家需要有一种方式来对模式或攻击类型他人在其行业或受信任的安全组的共享情报,”她说。

克莱德指出,ISACA,“有许多项目一样,来自风险管理框架COBIT 5网络安全关系(CSX公司),以确保网络安全专业人员的技能,他们需要从威胁的过多捍卫企业。”

最后,卢米斯提供的简短列表:

  • 改进采购流程。“这需要太长买新的工具,”他说。
  • 开始教育您的员工了解DHS和NIST框架到底是什么。阅读有关世界级SOC的10个策略的MITRE书。
  • 再迷信市场,并获得工具现实世界的反馈。“安全上投入了大量的资金投入市场营销,但是,这并不意味着该解决方案是正确的组织,”他说。
  • 运行模拟。“当最后一次跑了公司真正的网络钻?”他问。
  • 停止遵循纸面上的政策,“军事化你的团队,进行演习,使其成为第二天性,这将有助于反应过程,而不是遵循检查清单,”他说。

这个故事,“2014年信息安全最高的问题”最初发表CSO

加入对网络世界的社足球竞猜app软件区Facebook的LinkedIn对最重要的话题发表评论。

版权©2014足球竞彩网下载

IT薪资调查:结果是