在过去的一年中,安全和IT高管们需要注意并在很多情况下防范新出现的或持续的威胁。
+也在网络世界有个足球雷竞技app2013年最大的互联网安全挑战+
[随着比特币价格飙升,Cryptolocker降低了赎金要求]
我们要求安全管理人员和行业分析师对他们认为是2013年最大的威胁,以及为什么组织应该关心这些可能的入侵。以下是他们引用的一些威胁。
 |
|
 |
2013年最大的互联网安全挑战 |
|
2013年最热门科技新闻:老大哥、可穿戴设备和老科技巨头的挣扎 |
|
2013年十大最佳考试 |
|
技术报价的年份 |
|
2013年最差的IT项目灾难 |
|
回顾2013年在技术产业的故事清单。 |
|
|
|
更复杂的DDoS
攻击变得越来越复杂,这包括增加分布式拒绝服务(DDoS)攻击的带宽方面的进步。大型支付处理公司Heartland Payment Systems的首席技术官约翰•南(John South)表示,近几个月来,这种趋势有所加速。
“以前的DDoS攻击利用了成千上万的个人电脑,一个典型的僵尸网络群体可能利用这些电脑作为他们的攻击引擎,”South说。“然而,在最新的努力中,巨大的倍增器是僵尸网络,它们由容量和马力都大得多的受影响的服务器级设备组成。”
South说,在2012年,典型的DDoS攻击可能会达到每秒3或4 Gbps,而新的攻击则会达到每秒100 Gbps以上。他说:“许多安全专家围绕较低的数字设计DDoS策略,认为这足以阻止DDoS威胁。”“许多机构不得不在新的威胁所构成的带宽下重新设计他们的网络安全策略。”
普华永道(PricewaterhouseCoopers)安全咨询业务负责人马克•洛贝尔(Mark Lobel)表示,今年DoS继续成为网络武器。“坏人不一定非要偷你的产品或服务,”洛贝尔说。“他们只需要确保你不能向客户提供产品或服务,这比进去、找到数据、干净利落地离开要低得多。”
僵尸网络的攻击
南方说,与DDOS攻击有关的是一直通过系统传播的僵尸网络的“杀伤力”。
“使用具有更高水平的复杂程度的网络钓鱼技术,他们已经能够将恶意软件删除到大量的个人和服务器级设备上,”南德说。
尽管几年前的钓鱼尝试可能充满了拼写和语法错误,“今天的钓鱼者已经提高了他们的社会工程技能,加上这些更可信的信息,”South说。“2013年越来越多的账户盗窃事件表明,他们成功侵入电脑系统,进而窃取个人身份、信用卡和银行账户数据。”
尽管钓鱼式网络攻击已经存在多年了,但它们仍然是“一种持久的、令人讨厌的、但往往是有效的方法,[为了]在组织中获得一个立足点,”洛杉矶县公共卫生局的信息安全官员理查德·格林伯格说。
“安全意识培训项目可以解决这个问题,但不是安全从业人员的人不能真正被期望成为王国的捍卫者,”格林伯格说。
公司可以努力提高认识,“但是如果我们认为每个员工永远不会在电子邮件中点击链接或附件,我们就开玩笑,”格林伯格说。“只需一个成功的点击即可注入rootkit,keylogger [或]特洛伊木马,允许黑客非法进入您的环境。显然这是一个留在我们网站的问题。”
忽略内部威胁
来自组织内部的攻击不是什么新鲜事。但社会隐私咨询公司(social Privacy Consultants)总裁迈克尔·考克斯(Michael Cox)表示,来自这些看似可信的团体的威胁正在增加。
“许多面向网络的组织都严格关注外部威胁,包括间谍、破坏分子和网络罪犯,”考克斯说。“然而,企业经常会对员工和第三方服务提供商造成的违规行为感到意外。”
Cox表示,由于这些可信任的缔约方最大限度地获得最大的敏感信息,因此受信任方造成的违规行为的平均成本大于外部威胁造成的违规行为。“安全组织的虚假感应者与可信任的缔约方有违约,这些行动者的违规行为比外部威胁的那些更快地增长。”
对于员工来说,违规的主要原因是意识不足、培训计划、基于角色的访问控制和活动监控,考克斯说。对于第三方服务提供商来说,不充分的尽职调查和监控程序是主要原因。
不安全的应用程序
另一个在2013年流行并将在2014年流行的威胁是不安全应用程序的生产和分发。
“电子商务和移动应用的扩散使许多公司与客户有更大的连接,”南方说。但我们尚未解决过去10年来营养的结果问题:注射和跨地脚本威胁。“
South说,考虑到攻击者的复杂程度,安全专业人士继续编写容易被攻破的代码。他说:“随着NOSql数据库及其相关的注入攻击的出现,危害面向互联网应用程序的能力可能会继续增加而不是减少。”
医疗技术集成商FEi Systems的首席安全和隐私官贾森•陶勒(Jason Taule)表示,对网络安全的担忧“已经理所当然地超过了对网络上运行的应用程序和服务的担忧”。“内部开发团队和商业软件市场都越来越关注对安全代码的需求。”
Taule说,应用程序的安全性和用于访问的凭据的安全性只与用户身份一开始被审查的过程一样强。他说:“要求用户将PIV卡插入读卡器,提供生物识别信息,并输入密码,如果这些凭证没有提供给正确的个人,则无济于事。”
随着信息的日益敏感和应用程序功能的日益重要,“需要我们在考虑后续访问控制的同时考虑身份验证,”Taule说。
数据供应链威胁
克尔咨询解决方案的网络调查实践董事总经理蒂莫西·瑞安表示,数据供应链违规是一种新兴威胁。联邦调查局的前监督专家。
“我们过去一年中看到的是,许多公司都没有完全了解正在处理或处理数据的所有不同各方,”Ryan说。“一些公司向分包商外包了一些数据处理,只是找不到供应商没有适当的安全措施,或者他们不知道如何处理事件,或者公司没有通知他们当有一个问题时马上。“
451 research的安全研究主管Wendy Nather说,在多租户环境中,系统管理员有时会走捷径。
“他们可能会为每个租户使用相同的特权帐户密码,他们可能会坚持广泛的网络访问,而这通常是企业不允许其他互联网用户访问的,”纳瑟说。“通过这种方式,第三方就成为了想要攻击特定企业的攻击者的起点。”
前雇员的未授权访问
Ryan说,对许多公司来说,未经授权的网络访问,尤其是前雇员的网络访问,仍然是一个安全问题。
瑞安表示:“我们发现,有些公司并没有完全切断前员工获得的所有访问权限。”他的公司经常在解雇员工之前被要求确保公司有效地终止了对该员工的访问。
瑞安表示:“也曾发生过这样的事件:我们被叫去调查一名访问权限没有被正确终止的员工,帮助评估什么东西被偷了,以及如何补救这个问题。”
[随着比特币价格飙升,Cryptolocker降低了赎金要求]
Ryan指出,这些员工访问这些信息的原因各不相同。有时,这可能是为了窃取知识产权——比如源代码——个人可能有兴趣出售或个人使用。他说:“或者他们可能通过网络试图保护未决诉讼的信息。”“他们可能会成为诉讼的对象,并试图收集有关他们被解雇或相关问题的信息。”
嵌入式系统漏洞
陶勒说,如今许多非传统设备越来越多地接入网络,包括具有互联网功能的摄像头、数字视频记录器、徽章阅读器和其他具有IP地址的非pc设备。
”,对于那些认为物联网——或者“网络漏洞的,我最近听到一个同事讽刺——仍在年,问问同行的人在医院工作,处理不计其数的网络启用/医疗设备相连,“Taule说。
“如果我们认为仅仅通过管理传统网络设备的威胁就能很好地控制风险敞口,那我们就是在欺骗自己,”陶勒说。“我们必须扩大我们的态势感知能力,为所有与网络相连的事物提供全面覆盖。”
比特币的成长
Bitcoin,使用加密的开源电子货币和支付网络来保护交易,自身咨询Ciso独立咨询公司Ariel Silverstone表示自己的安全风险。
银石表示,比特币是更数字化经济的先兆,但它的漏洞——从主机网站遭黑客攻击到纯加密攻击——才刚刚被发现。
“对比特币的多次攻击如此成功,我怀疑这将导致对货币和交易转移机制的新一轮攻击,”Silverstone说。贝宝(PayPal)、Swift,以及由商业和银行发起的环境,每天转账数万亿美元。它们中的许多几乎不依赖安全,(而且)容易受到攻击。”
这篇文章“2013年的8大安全威胁”最初由CSO .