仍然有时间进行“2014年”的“2014年”最新信息安全问题“的列表。假日购物季节毕竟,毕竟,每个人都知道它是从11月下旬到12月中旬的灾难性的目标违规行为发生。
但这份清单不仅仅是关于攻击和入侵——它是关于更广泛的信息安全问题或趋势,这些问题或趋势可能会塑造行业的未来。
几位专家提供了关于其顶级选秀权的一些思考,可以从他们那里学到的东西,以及该知识是否可以帮助组织在来年提高他们的安全姿势。
网络威胁特朗普恐怖主义
美联社故事在过去的一周上,联邦政府的100亿美元的年度努力,以确保其多个机构指出,几乎在通过,即“情报官员表示,网络安全现在胜过恐怖主义作为对美国的第1号威胁。”
Conventus的执行合伙人萨拉•艾萨克斯(Sarah Isaacs)认为这是有道理的。几十年来,网络攻击一直在扩大和发展,艾萨克斯说,网络攻击已经发生了质的变化:不仅仅是犯罪分子试图窃取资金,国家利用这些资金从事间谍活动,甚至是军事优势。
5月,“司法部起诉她说,中国人民解放军的五名中国人民解放军的重罪收费,“她说。“我们以前从未见过。”
然后,在9月,“北约一致认为,网络攻击可能会引发军事活动,”她说。“这是超过保护信用卡。这升级到新的水平。“
萨拉伊萨克斯,管理伙伴,召集伙伴
作者、安全专家、Co3系统公司首席技术官布鲁斯·施奈尔可能会同意这一观点。在最近的一篇博客中帖子他写道,这是越来越复杂的攻击,特别是高级持续威胁(APT),这些威胁不是关于金融盗窃,来自“一种新的攻击者,这需要一个新的威胁模型。”
在最近的一次学习由ISACA在APTs。首席执行官罗布·克莱德表示,92%的受访者“认为apt是一个严重的威胁,有能力影响国家安全和经济稳定。”
越来越多的云
云- 私人,公共和混合动力车 - 不是新的。但云存储服务使用的稳步增加是对企业的巨大风险。
在他的博客文章中,施奈尔表示,继续迁移到云手段,“我们已经失去了对我们计算环境的控制。我们的更多数据由其他公司举行云中......“
尽管专家表示云服务提供商经常提供更好的安全性,但所谓的“影子”或“流氓”可能并非如此。使用云层他们认为这比通过IT更容易完成工作。
一切(IOE)的互联网 - 黑客边疆
事物互联网(物联网)是去年的。现在是ioe。家庭,汽车,电子,机器和个人佩戴的智能,嵌入式设备现在是主流的。他们已经在数十亿里数量,他们的增长估计从2020年的500亿美元到未来十年的1万亿美元。
这意味着越来越多的数据会流向互联网,在那里,这些数据可能会被用于营销目的,也可能会被以更恶意的方式窃取。
艾萨克斯说,她是那些使用可穿戴运动设备的人之一,她说她使用“虚拟数据”来注册它。“所以没人知道这是我的数据,”她说。“它不能直接映射到我身上。”
一般来说,她说,“每个人都过分了一切。威胁是广泛且可能的灾难性的。我对我看到的智能汽车非常紧张。
智能汽车对隐私的影响似乎越来越引起人们的关注。美联社报道本周19日汽车制造商,使大部分的汽车和卡车在美国销售签署了一系列原则,交付给美国联邦贸易委员会(FTC),试图安抚信息收集的这些车辆的车主,“不会交给当局没有法院命令,卖给保险公司或在未经保险公司允许的情况下用广告轰炸他们。”
“智能”设备漏洞到黑客攻击展示众多次,促使Idendiv的高级副总裁Phil MontgoMery呼吁“更加团制的基于标准的安全方法,依赖于用户名/密码技术周围的过时过程,更多的是更强大的身份验证。”
没有第三方的缔约方
这是通过第三方承包商的违规风险使其成为主流意识。暴露7000万次记录的目标违规行为只是通过外部供应商的许多人之一。
监管机构正试图保持这种意识。支付卡行业安全标准理事会(PCI SSC)的新总经理斯蒂芬·奥尔菲(PCI SSC)最近指出面试这句话的意思是:“安全只有在你最薄弱的环节才能发挥作用——这意味着你的业务伙伴的安全实践应该和你自己系统的完整性同等重要。”
Christine Marciano, Cyber Data-Risk Managers总裁
Chertine Marciano(Cyber Data-Risker Managers)总裁Christine Marciano表示,除了审查厂商的严格安全标准之外,公司应该,“要求他们的供应商携带和购买网络/数据泄露保险,以补偿因供应商疏忽造成的数据泄露所产生的任何费用。”
多孔,有时是恶意的人类操作系统
虽然第三方可能是安全链中的一个薄弱环节,但这不是由于技术原因,更多是由于人为因素。
它是前国家安全机构承包商爱德华斯诺登在2013年带来了恶意内部人士对国际关注的风险,但企业的危险可能与简单的忠诚内部人一样伟大“独领风骚”或粗心,和社会工程诈骗落下。
Cyber Ponse的创始人和首席执行官Joseph Looomis表示,他是,“肯定有各大公司在员工及其访问权限度上有很少的控制权。谁在看谁和他们在做什么?“
当呈现更有说服力的社会工程袭击时,它还有关控制自己的员工。
联邦政府今年早些时候报告称,2013年63%的系统入侵是由人为失误造成的。
根据Marciano的说法,“员工疏忽于2014年历史新高,”由于缺乏行动,“未能履行常规安全程序,缺乏安全意识,常规错误和不当行为。”
eSentire联合创始人兼首席安全策略师埃尔登·斯普里克霍夫(Eldon Sprickerhoff)指出,“网络钓鱼邮件正变得越来越好。我见过一些目标非常明确,做得非常好,我都看不出有什么区别。”
这不仅仅是普通工人的问题。Identity Finder首席执行官托德·费曼(Todd Feinman)表示,这个问题会一直影响到高层。“许多高管不知道他们的敏感数据在哪里,所以他们不知道如何保护它们,”他说。
无处不在的Byod.
虽然BYOD现在在工作场所主流,但ISAACS称之为焦点对移动计算,“非常可怕,它会变得更糟。”
BYOD现在带来了“公司墙壁内极度不可靠的商业应用,”她说。“有很多软件漏洞。每一个免费或99美分的应用程序可能没有很大的安全水平。人们也没有安装补丁。“
根据Clyde的说法,“现在有多次移动设备比世界上的PC。事实上,在世界的许多地区,移动设备是大多数用户连接到互联网的唯一方式,“安全性仍然是一个相对的事后。
ISACA发现,“少于一半(45%)更改了在线密码或密码。
现在,连接的可穿戴设备(BOWow)在工作场所变得普遍,但“大多数专业人士表示,他们的BYOD政策没有涉及可穿戴的技术,有些人甚至没有达到BYOD政策,”Clyde说。
事件反应时代(IR)
所有这些问题都导致了对IR的关注。根据Schneier的说法,这不仅仅是IR的一年,而是十年,在防护产品和检测产品的十年之后。
在他的博客文章中,他引用了三个趋势:在云中持有的更多数据以及更多网络外包;国家和国家的更多APTS;继续缺乏对保护和检测的投资,留下了对响应的大部分负担。
汤姆·贝恩,反tack副总裁
但IR.这个话题在2014年甚至比几年前都要热议。安全专家的口头语是,一个组织是否会被攻破不是问题,而是何时会被攻破的问题,一个有效的IR计划(结合检测)可以使攻击变得更麻烦,而不是灾难。
获得IR右边是至关重要的,但汤姆贝恩是福克斯特拉克副总裁,称为它,“安全的最艰难的工作。您可以拥有所有技术来检测,防止和分析,但如果您的工作流程被打破,或者团队因事故调查淹没,您仍然脆弱,“他说。
更多规定,请
一般减少政府监管 - 零售业的行业 - 现在在网络安全方面唱反调。
11月6日信由44个代表零售商的国家和国家组织签署,向国会大会的领导人签署,呼吁“适用于所有违反实体的单一联邦法律(往期)确保在所有受影响的消费者内清楚,简洁,一致的通知,无论在哪里他们生活或违规地发生的地方。“
Sprickerhoff表示,这样的法律将是“良好的第一步。有38个州,什么是违规者的不同定义,所以事情有点掉了出来,“他说。“如果你慷慨描述所需的描述,那就不是坏事。”
但是,当然,通知与提高安全性不同。在该地区有什么规定可以实现的限制。
理查德·贝特利希,火眼公司的首席安全策略师
FireEye首席安全策略师理查德•贝特利希(Richard Bejtlich)表示:“我担心‘遵守框架’会吸引很多关注。”“我更希望组织关注结果或产出,比如从检测到遏制需要多长时间?
“直到组织跟踪这些指标,基于结果,他们并不真正知道他们的安全姿势是否正在改善,”他说。
该怎么办?
当然,有安全性没有魔法子弹。Isaacs说,并指出这几乎不可能说出什么是最大的威胁。“我听到了一个讲话,其中被描述为”一千条削减的死亡“,她说。
但专家确实有建议。Sprickerhoff表示,更多的培训是至关重要的,而不仅仅是员工的安全意识,而是下一代IT安全专家。
“我不认为在IT安全中找到善良的人难得越来越难以努力,”他说。“在大学层面的课程中没有多少工作。”
莱蒂宾副总裁研究总裁Eyal Firstenberg表示,提高安全性将采取技术和培训。
“需要快速和准确的警报和通知,最终确定这些网络活动的结果,”他说,但他补充道,“组织需要对员工进行更专业的诊断训练知道威胁是真实的,需要解决,哪些不是。”
Ashley Hernandez是指导软件的讲师,呼吁在组织之间进行更多沟通。“安全专业人士需要有办法将智能分享到其行业或信任安全群体中的其他人的模式或攻击类型,”她说。
克莱德指出ISACA,“拥有一些程序,来自风险治理框架COBIT 5到了网络安全Nexus(CSX),以确保网络安全专业人员拥有从威胁中捍卫企业所需的技能。“
最后,Loomis提供简短列表:
- 改进采购流程。“购买新工具花费的时间太长了,”他说。
- 开始教育您的员工真正的DHS和NIST框架。阅读世界一流的SoC的10个策略上的斜线书。
- 不要再相信市场营销了,要在工具上获得真实的反馈。“安全部门在营销上投入了大量资金,但这并不意味着该解决方案适合该组织,”他说。
- 运行模拟。“公司最后一次运行真正的网络训练是什么时候?”他问。
- 他说,“奔跑的练习,运行练习,跑步练习,沿着检查清单,”奔跑的练习训练练习,使其成为第二种自然,这将有助于响应过程。“
这篇文章,“2014年信息安全最重要的问题”最初是由方案 .
