在信息安全方面的高水位线每年获得更高。正如我们想我们已经找到了如何抵御攻击,然后攻击者拿出新的东西,我们是右后卫,试图找出下一步该怎么做。
例如,勒索激增在过去的一年。虽然这类恶意软件已经存在多年,但目前的加密用户文件以劫持数据的模式是最近才出现的。2016年病毒感染增加了四倍,FBI估计平均每天有4000起攻击。IBM最近对美国600名商业领袖进行的调查发现,每两个人中就有一个人在工作场所遭遇过勒索软件攻击,而公2020欧洲杯夺冠热门司在70%的情况下支付了赎金。因此,犯罪分子今年有望从勒索软件中获利近10亿美元,IBM X-Force的说。
黑客入侵公司数据库的行为似乎没有止境。只要问问雅虎。要么民主党全国委员会。甚至联邦调查局也找到了一家公司攻入苹果iPhone 5C,这一会儿似乎牢不可破的。
对于IT和安全专业人士来说,这无休无止的救火会让人筋疲力尽。旧的威胁会以新的形式卷土重来,而新的攻击会让你更加担心。恶意字宏回来了。开发工具包仍然喜欢Flash。与第二因素认证一次性代码短信证明容易被破解。这一切都让你想放弃,并在黑暗的角落里蜷缩起身体。
但2016不是企业安全全是坏消息,也有一些胜,让一个更加安全的未来的希望。
1.我们正在从一个更好的角度来看待密码
身份验证,特别是我们如何使用密码,是每次数据泄露时都会重复出现的主题。是的,密码重用仍然是一个问题,像“password1”和“123456”这样的弱密码仍然是一个问题,但我们看到越来越多的人使用它使用密码管理器以确保他们的在线账户和指纹传感器锁定其物理设备。“生物识别技术将不再被视为小说在2017年,但必要的,”丹尼尔Ingevaldson,安全公司首席技术官简单的解决办法。
该re are fingerprint sensors on the market today with security features including TLS 1.2 and 256-bit encryption, anti-spoofing technologies, live-or-dead detection, and match-in-sensor architectures, said Anthony Gioeli, a vice president at Synaptics’s biometrics division. Apple has hadhardware-secured指纹传感器在移动设备领域已经有好几年的时间了,现在在its领域最新的MacBook Pro。三星和谷歌也使用了类似的技术最新智能手机。而微软已经内置生物学支持在Windows 10和在今年的Windows 10周年更新加强了安全性。
美国国家标准与技术研究所也标本兼治。该数字认证指南文件草稿包括密码政策的新指导如从而允许更长的密码;允许空格和其他字符;去除特殊字符的要求(如必须使用什么的字母,数字和非字母数字字符的组合);与密码提示做了。NIST也在草案说,通过短信将独特的通行码不应该被用来作为,以及更强的身份验证方案应采用双因素认证方案的一部分。
虽然指导仍是草案形式,并正式公开征求意见期间,不启动,直到2017年年初,IT部门可以使用它来启动有关如何改进认证,比如推出多重身份验证和更改密码要求的思想。
另一个好处:NIST的玛丽Theofanos说强制更改密码没有意义,所以IT部门现在可以研究其他的方法——并且停止折磨用户。
2.我们或许终于可以认真对待物联网安全了
去年,我们可以看到勒索浪潮的到来。今年,它的物联网(IoT)安全- 或极端缺乏它们 - 这显然是在地平线上。
分布式拒绝服务(DDoS)攻击,今年秋天,这通过家庭安全摄像机,录像机和其他连接设备传播,记下了互联网,似乎成为业界警醒的是最后的工作。取得妥协物联网设备组成,在未来的僵尸网络发动对法国服务供应商OVH,安全博客布赖恩·克雷布斯的网站和网络公司的Dyn的袭击。
上次DDoS大新闻是关于黑客分子和网络恶作剧者针对金融网站和其他可见目标的。这一次,僵尸网络正在发动大规模的多机攻击,攻击速度可能超过每秒1tb,并中断数百万人的互联网访问。
一段时间以来,安全专家一直在警告,数百万连最基本的安全功能都没有的联网设备,因此Mirai的攻击不应令人感到意外。Mirai的源代码可以公开获得,可以肯定地说,还有其他的物联网僵尸网络在暗处等待攻击。Tripwire安全研发高级总监拉马尔•贝利表示:“随着所有这些设备都接入互联网,物联网蠕虫出现的时机已经成熟。”解决这个问题需要大量的协调、创造力和毅力,但也许人们实际上已经看到了风险。
一线希望是,未来的攻击是“在什么折衷物联网[威胁]会是什么样子,同时还有时间做一些事情相当便宜的教训,”杰夫·韦伯,在微距对焦解决方案战略的副总裁。但是,物联网厂商需要认真对待安全快速 - 和消费者应避免自己的产品,直到他们这样做。
3.我们对新的安全技术燕尾服获得其他好处
它总是一个好兆头的时候采用什么出于安全原因缠有其他好处。像传输层安全(TLS)1.3和HTTP2新协议将会使网络更安全,但也有明显的性能改进为好。这是非常有可能在采用TLS 1.3的上扬和HTTP2 web开发者将通过增加速度的协议使被刺激,瑞安卡尼,网络公司F5 Networks公司的首席技术官。“2017年,在网络速度的增加将刺激迅速采用TLS 1.3 - 这将反过来,使网络更加安全,”卡尼说。
4.我们得到有关安全性的更现实
安全是这些东西的人从来没有真正理解的。电视节目和电影没有帮助,用油滑的图形和什么黑客据称样子花哨的戏剧化。随后,来了电视节目“先生机器人“,而该节目的明星,雷米·马利克,赢得艾美奖他埃利奥特奥尔德森的写照。“了所有的努力,好莱坞已经取得使用网络为背景,讲述动人的故事,机器人先生是最完整的,”里克·霍华德,网络安全公司Palo Alto的网络CSO说。
如果不出意外,与安全无关的专业人士现在有一个更好的事情是多么糟糕得到理解。它不再只是一个弱口令,在一封电子邮件中一个链接,或尚未更新的一个旧的软件应用程序。有没有必要在oversensationalize“先生的安全问题机器人” - 现实是够糟糕的。
更好的理解应该帮助用户了解为什么他们需要更多地关注到至少安全基础。为什么他们总是收到雅虎(Yahoo)和Dailymotion等公司的违约通知。
但它并没有帮助,还是有沉默有关安全专家之间的漏洞和他们工作的企业文化。没有人喜欢谈论他们的失败或者是一个标题。但是,因为没有人分享过失误的东西,同样的违规行为保持发生一遍又一遍。
这就是为什么新的信息共享和分析中心(ISAC)的形成是一个积极的 - 虽然小 - 发展,现实主义蔓延到了安全专家文化的标志,也是。虽然现有的ISAC和商业信息交流平台扩展到包括更多的企业,他们需要变得更加普遍。
开发商有充足的地方,他们可以张贴代码片段,并获取编程帮助。IT和安全专业人员应该有论坛,在那里他们可以分享他们的故事的安全,提出问题没有判断,并了解他们的同龄人什么工作,珍妮华纳,在WhiteHat安全公司安全战略家说。“坏人有Tor的,reddit的,和其他社交网络分享信息和工具。好人需要采用他们一样自由,”华纳说。
人们很容易看到信息安全作为攻击一个永无止境的流。也许,对今年的中断和破坏最苦恼的事情是,有一个可怕的很多发生的事情,它不知道。安全专家警告说频繁,仅仅是因为没有违反证据并不意味着没有违反。这是绝对真实的,在雅虎:互联网公司披露的两种巨大的破坏,但最可怕的事情是不是受害者人数 - 这是他们几年前发生的事情,没有人甚至怀疑的事实。
“我们去年,数十亿条记录从我们鼻子底下的权利被吸出,我们甚至不知道它,”写安全专家特洛伊·亨特。他称目前的心态“自觉无能,”我们知道我们有一个很大的问题。这是一个更好的地方比以前的阶段,那里的普遍态度是,“这不会发生在我身上。”
最大的问题是知道下一步该去哪里。“在接下来的一年里,我们还会发现多少?”还是根本没有发现?”亨特问道。如果我们终于真正开始考虑安全问题,走出阴影,我们应该终于开始取得真正的进展。
5.我们可能会最终得到安全的承诺,我们可以在银行
作为消费者,当我们对产品的性能或功能不满意时,我们就会要求退款。但对于安全产品,它通常没有这样的选择。根据终端安全公司SentinelOne最近的一项调查,只有25%的美国IT安全决策者表示,他们的主要安全供应商愿意通过支付违约成本(包括诉讼和赎金)来保证他们的产品。但大多数接受调查的IT安全专业人士表示,他们希望安全供应商能保证他们的产品能够兑现承诺——88%的人表示,如果有竞争对手提供这样的保证,他们会更换供应商。
SentinelOne的安全策略主管耶利米•格罗斯曼(Jeremiah Grossman)表示:“这个行业已经到了一个临界点,安全供应商将需要确保自己的产品能够抵御网络攻击,并在未能做到这一点的情况下承担责任。”“客户已经厌倦了为解决安全漏洞而支付额外费用,尤其是在他们已经在一开始就为安全防御付费的情况下。”
现在有公司,提供安全保证的屈指可数。SentinelOne的担保安装SentinelOne的端点保护平台后覆盖每个端点1000 $,或者$ 100万粒公司支出,在成功勒索软件感染的事件。Cymmetria覆盖在具有组织通知受害者,聘请律师,将在数字取证调查,并修补了先进的持续威胁的情况下,损害获得未经授权的访问,通过网络横向移动,并窃取受害系统保护信息所产生的费用deployed Cymmetria’s MazeRunner cyber-deception platform. Trusona and WhiteHat Security also have similar product guarantees.
正如我们在过去几个月看到的,即使是安全产品也可能存在漏洞。但在一些情况下,这些错误似乎是相当基本的,甚至是可以避免的——完全不在安全提供商应该提供的级别上。提供产品担保应该会让安全供应商变得如此草率,因为他们最终会为自己的疏忽付出真正的代价。Cymmetria的首席执行官Gadi Evron说:“现在是我们这个行业的人开始把钱花在他们的口上,对他们卖的东西负责,确保他们做的东西成功的时候了。”
这个故事,“5个标志我们终于把我们的共同行动安全”最初发表InfoWorld的 。