根据开放安全基金会,四分之三的所有时间最严重的安全漏洞,今年10月发生了。这包括从纽约市出租车及轿车委员会1.73亿条记录145万条记录,在易趣,并从韩国征信局1.04亿的记录。而这还不包括1.2十亿的用户名和据说俄罗斯黑客窃取密码,或220万条记录从游戏在韩国的网站最近发现被盗。
2014大步向,以取代2013年对暴露记录最高纪录的一年,根据开放安全基金会以及里士满,基于Vir.,基于风险的安全公司
如果我们从我们的错误中吸取教训,那么今年应该是安全教育的一个标志性的一年。
这里有一些教训。
1.它的时候采取人手严重
在信息安全方面最大的安全漏洞可能不会在所有的技术。
“安全角色的约40%是在2014年空置,”雅各布西,惠普的企业安全产品的CTO说。“当你看的高级安全角色,即空置率近49%。无论我们使用什么样的技术,无论我们如何努力,以确保我们的系统,如果我们要为这场战争几乎有一半我军无人值守的,我们要看到我们的对手是成功的“。
西指的是由Ponemon的研究所由HP,这也表明,70%的受访说,他们的安全组织人手不足公布今年春天和赞助的一项研究。的主要原因?根据43%的受访,该组织并没有提供有竞争力的薪酬。
公司可能要重新考虑他们的安全人员预算,另一个Ponemon的研究,由IBM赞助,发表在五月,这表明,数据泄露的平均总成本增加了15%,达到350万$,平均成本支付每个唤醒lost or stolen record containing sensitive and confidential information increased more than 9 percent from $136 in 2013 to $145 in this year’s study.
2.了解你的代码
在过去的10年里,许多企业已经采用了安全软件的最佳实践,建立在安全的基础层面。
然而,这仅适用于他们自己编写的代码。
“这就是一个真正败露今年大点的 - 确实指出了这一点,并像弹震和心脏出血漏洞漏洞 - 是,企业不写多数软件本身,”惠普的韦斯特说。“软件实际上是在组成,而不是写。我们把商业组件和开源组件,打造专属的一点点最重要的是“。
其结果是,一些企业花了几个星期 - 甚至几个月 - 试图库存他们的系统,并找出在那里他们会使用SSL的易受攻击的版本。
Organizations need to start with a thorough understanding of what applications they're using, where and how they're using them, and their relative importance. Automated scanning systems might help with some of this, but at the end of the day, “the rubber has to hit the road,” West said. “It takes human effort.”
3.笔测试是谎言
Penetration tests are a common part of security audits. In fact, they're required under the Payment Card Industry Data Security Standard.
“这是违反了每一个公司有过渗透测试报告说,人不能进去 - 或者,如果他们能得到它,这并不重要,” J·J说:汤普森,鲁克安全,渗透测试公司在印第安纳波利斯的CEO。
So why aren't penetration tests exposing potential security holes so that companies can fix them?
“这很简单,”汤普森说。“渗透测试报告一般都是谎言。”
或者说,是那么生硬,渗透测试人员更受限于他们所能做和不能做的,比实际的黑客。
“你不能模仿某人,因为这不是我们如何做的事情在这里,”汤普森说。“你不能建立一个Facebook的个人资料,因为这太离谱了相关的钓鱼网站。”
实际的黑客 - 谁已经触犯了法律,无论如何,通过黑客进入一家公司 - 可能不会反对打破其他法律,以及。白帽安全公司可能会不太愿意,比方说,其客户或供应商的系统后会进入一个公司。或假冒政府官员,或损坏设备,或劫持实际的社交媒体账户通过朋友或公司员工的家庭成员所拥有。
4.物理安全,网络安全相遇
外国组代理最近在东海岸的一个组织去后,绕过防火墙,它的领导中提取数据,并获得即将举办的活动 - 以及这些事件会发生的设施。
“当局相信这是该组的前期工作计划的一部分,”约翰·科恩,谁直到最近的反恐协调员,并在国土安全部代理部长为智能和分析说。
“有一个融合为一体的物理安全和网络安全,”科恩,谁现在是在位于得克萨斯州弗里斯科,安全厂商Encryptics LLC的首席战略顾问说。
It can go the other way, too, with a physical break-in opening the way to digital theft via compromised equipment.
企业安全必须成为更加全面。谁闯入了一个外地办事处的盗贼可能一直在寻找易于电子围栏,或者他们可能已经种植的键盘记录器。
5.失败的计划,第1部分
如果你知道与肯定,黑客将要进入你的系统,你会是什么不同?
今年的高调之后违反,很多人都在问自己这个问题,并开始在安全另眼相看。
“的方式,我看着它,我跟在日常工作中看看它的人,有一个在心态开关,”斯科特·巴洛,CompTIA的的IT安全共同体的主席和产品管理的副总裁在波士顿的反思Networks,Inc.的“企业假设其数据将被暴露,或者已经暴露,他们正在采取措施。”
斯科特·巴洛,CompTIA的的IT安全共同体的椅子
这些步骤包括对员工的桌面数据进行加密,在文件服务器,甚至是电子邮件。
而一个叫做标记化进程取代银行卡号码与随机生成的代码,或代币,他们离开销售点设备甚至之前。只有支付处理器知道真实的数字 - 零售商获得令牌,这是完全不值钱谁闯入他们的系统中的任何黑客的攻击。
它可以将付款处理器为目标 - 但是,他们一直都是。
“人是在我们之后已经走了,”保罗Kleinschnitz,高级副总裁和第一资讯网络安全解决方案总经理,占在美国支付处理的约40%的人说
同时,目标和家庭仓库将失去支付数据的风险隔离。
“我们正把这个负担远形成的客商和管理它,” Kleinschnitz说。
6.故障情况进行规划,第2部分
如果摩根大通可以攻破,每家公司是脆弱的。
“即使你有到位的最佳安全性,还是有一个机会,你可能会被攻破,”彼得·托伦,专业律师在华盛顿特区的律师事务所魏斯布罗德Matteis和科普利计算机犯罪说。托伦也是一个联邦检察官八年,在美国司法部计算机犯罪部门。
彼得·托伦,律师专门从事计算机犯罪在华盛顿特区的律师事务所魏斯布罗德Matteis - 科普利
How a company reacts to that breach can make a big difference.
这两个目标的CEO和CIO失去了工作今年春天作为该公司在其4000万支付卡的后果处理帐户违反去年年底的问题的结果。
“它在滴出来,”托伦说。“这是一个千所削减的死亡。”
公司需要做好准备,以透明和及时处理违反 - 和制剂有违反事也没发生之前就开始长。
“他们需要有到位和工作与一家公关公司事先计划,”他说。“不只是一个带来在后马是谷仓出来。”
这个故事,“我们从今年的安全漏洞学到东西6”最初发表CSO 。