为什么2017年将是安全最差的一年

索尼。国歌。人事管理办公室。目标。雅虎。在过去的两年里，接连发生了巨大的黑客入侵事件，而2017年有望成为迄今为止最具灾难性的一年。

安全专家早就警告说，大多数组织甚至不知道他们已经被攻破了。攻击者依靠秘密行动来了解网络，找到有价值的信息和系统，并窃取他们想要的东西。直到最近，组织才改进了他们的检测工作，并开始投入时间、资金和人员来发现漏洞。当他们这样做的时候，结果往往是令人担忧的。

安全分析公司RedSeal的首席执行官雷•罗斯罗克(Ray Rothrock)表示:“我认为，2017年我们将发现更多、而不是更少的入侵事件。”

迄今为止，所有的大规模入侵都有一个共同点:最初的恶意软件感染或网络入侵给了攻击者一个进入网络的切入点。“当时，很多坏东西被释放到世界上，它们进入了企业和政府网络。”

机器里的幽灵

三到四年前，组织才开始听说APTs(高级持续威胁)和了解零日攻击的流行。这给了攻击者一段时间，他们可以用复杂的恶意软件感染系统，或者在不引发警报的情况下深入网络。如果认为所有主要的数据泄露都已经被发现，那就太天真了。

“高管们意识到，狐狸在鸡舍里，我们必须采取行动，解决他们知道自己面临的问题，”罗斯罗克说。

换句话说，入侵发生在几年前，但IT团队还没有找到它们。由于坏人所犯的错误、改进的检测系统等等，它们最终可能会被发现。但我们可能永远不知道损失的程度，因为绝大多数事故从未被报道过。

未报告的盗窃

如果数据中包含个人身份信息或个人健康信息，组织必须报告被盗或暴露的数据，但大多数组织都不处理这两种信息。由于缺乏报告被盗知识产权或其他类型的敏感企业数据的监管要求，工业组织、制造公司、咨询公司和法律实体通常保持沉默。

敏感数据不仅仅是财务方面的。“很多知识产权都很重要。对于建造或设计核电站的公司来说，攻击者攻击他们的核电站是一回事，而攻击者有实际的图纸告诉他们如何攻击则是另一回事。

没有人会知道巴拿马的论文这些文件是去年从莫萨克·冯塞卡律师事务所被盗的，前提是这些文件没有泄露给记者。2015年美国律师协会法律技术调查报告发现，在拥有超过100名律师的公司中，23%的受访者报告存在安全漏洞，但受影响公司的名称没有公开。如果航空航天公司的新飞机或新药研究计划被盗，泄露的细节只会被受影响的组织、被雇佣来评估和补救的顾问知道，可能还会被执法部门知道——如果他们被要求的话。

“由于(公司)不需要报告，我们(红章)看到了很多业务。我们接到电话，我们进去解决问题。我确信我们并不孤单，”罗斯罗克说。

在线安全和隐私非营利组织在线信任联盟研究了年底的初步数据，估计全球约有82,000起网络安全事件影响了225家组织。OTA表示:“由于大多数事件从未报告给高管、执法部门或监管机构，结合包括DDoS攻击在内的所有媒介造成伤害的实际事件数量可能超过25万。”

计算成本

数据泄露是昂贵的——比起通知受害者、雇佣顾问和法医调查人员来发现和解决问题的直接成本，账单上的花费要多得多。

其他成本包括停机时间、生产力损失、客户流失和收入损失。当组织机构在数年后发现漏洞时，就像雅虎最近所做的那样，他们还必须支付Rothrock所说的“工程服务”，作为回收和补救成本的一部分。

如果一个漏洞花了很长时间才被发现，那么现有基础设施的某些方面就很难更快地发现弱点。这需要对基础设施进行重新架构，这通常是一个昂贵且耗时的项目。但这一要求并不总是得到重视。罗斯罗克说:“大多数人不会去弄清楚自己拥有什么，而是不断地添加更多的东西。”

重组我们的防御

随着云部署、物联网的出现以及数据在多个设备间的流动，网络的日益复杂使得it和安全团队越来越难以驾驭所有层。然而，对于攻击者来说，一切都没有改变。恶意软件将继续感染这些新系统，攻击者将继续寻找数据来窃取。

罗斯罗克说:“当大海捞针越来越大的时候，就很难在大海捞针了。”

与此同时，如今可用的安全防御比三年前要好得多。罗斯罗克使用了建筑业的一个比喻:想想现代建筑是如何建造的，用传感器来探测热量、气体泄漏和压力变化。墙壁是用防火材料建造的，并有适当的保护措施来防止火灾。这是它需要的一种重新设计，以防止堆栈上的攻击。

“旧的摩天大楼是活靶子，当一些大楼被烧毁时我们就知道了这一点。新的摩天大楼几乎从来没有火灾，”Rothrock说。“我们必须这样做。”

这篇文章，“为什么2017年将是有史以来安全最差的一年”最初发表于信息世界 。