信息安全中的高水线每年都会变得更高。正如我们认为我们终于弄清楚了如何防御攻击,那么攻击者会拿出一些新的东西,我们马上回到试图弄清楚接下来要做什么。
例如,勒索沃特在去年飙升.尽管这类恶意软件已经存在多年,但目前加密用户文件以劫持数据的模式是最近才出现的。2016年感染人数翻了两番,FBI估计平均每天有4000起攻击。IBM最近对美国600名商界领袖进行的一项调查发现,二分之一的人在工作场所遭遇过勒索软件攻击,公司支付雷竞技比分赎金的比例为70%。因此,犯罪分子今年有望从勒索软件中获利近10亿美元,IBM X-Force说.
似乎没有结束黑客进入企业数据库。问问雅虎.或民主党全国委员会.即使联邦调查局也能找到坚定的东西侵入苹果iPhone 5c有一段时间,这似乎是无法攻破的。
对于它和安全专业人士而言,这种无尽的火灾战斗变得疲惫。旧威胁以新的形式回归,新的攻击继续让事情列表令人担忧更长时间。恶意单词宏回归。利用套件仍然喜欢闪光灯.SMS短信,具有用于二因子身份验证的一次性代码,证明可缓解。这一切都让你想放弃和蜷缩在黑暗的角落里。
但2016年不是企业安全的所有消息,都有一些胜利,为更安全的未来提供希望。
1.我们从更好的角度看待密码
身份验证,特别是我们如何使用密码,是每个数据漏洞的重复主题。是的,密码重用仍然是一个问题,像“password1”和“123456”这样的密码仍然是一件事,但我们正在看到更多的人使用密码管理器确保其在线帐户和指纹传感器以锁定其物理设备。“生物识别技术在2017年将在2017年被视为小说,但必要的是,”安全公司首席技术官丹尼尔·伊尼维尔斯森说轻松解决方案.
的re are fingerprint sensors on the market today with security features including TLS 1.2 and 256-bit encryption, anti-spoofing technologies, live-or-dead detection, and match-in-sensor architectures, said Anthony Gioeli, a vice president at Synaptics’s biometrics division. Apple has had硬件固定的指纹传感器在其移动设备上几年,现在在其最新的MacBook Pro.三星和谷歌在他们的谷歌使用类似的技术最新的智能手机.微软已经在Windows 10和在今年的Windows 10周年更新中加强了安全.
美国国家标准与技术研究所(National Institute of Standards and Technology)也在解决这个问题。的草稿版本的数字身份验证指南文档包括新的密码策略指导,比如允许设置较长的密码;允许空格和其他字符;删除特殊字符要求(例如必须使用字母、数字和非字母数字字符的组合);并取消密码提示。NIST还在草案中表示:“不能将通过短信发送唯一密码的方式作为双因素认证方案的一部分,应该采用更强有力的认证方案。”
尽管该指导意见仍处于草案阶段,官方的公开征求意见期要到2017年初才开始,但IT部门可以利用它来开始考虑如何提高认证,比如推出多因素认证和修改密码要求。
另一个好处是:NIST的玛丽·特奥法诺斯说强制密码更改没有意义,所以IT部门现在可以研究替代方法,不再折磨用户。
我们最终可能会认真地服用IoT安全
去年,我们可以看到赎金软件波来。今年,它是事情互联网(物联网)安全——或者说是极度缺乏——这显然即将出现。
今年秋天发生的分布式拒绝服务(DDoS)攻击通过家庭安全摄像头、录像机和其他连接设备传播,取下互联网,似乎是终于工作的行业唤醒电话。Mirai Botnet由IoT设备受到影响,Mirai Botnet向法国服务提供商OVH推出了大型攻击,安全博客Brian Krebs网站和网络公司Dyn。
DDOS最后一次是大故事,它是关于Hacktivists和针对金融网站和其他可见目标的在线恶作剧。这一次,僵尸网络推出大量的多名多名攻击,可以超过每秒1兆比特 - 以及千万的中断互联网接入。
安全专家一直警告一段时间关于数百万设备连接到互联网的设备,而无需最基本的安全功能,因此Mirai攻击不应该是一个惊喜。与Mirai的源代码公开可用,假设还有其他物联网等待在阴影中罢工是安全的。随着所有这些连接到互联网的设备,我们在Tridwire的安全研究和开发高级总监Lamar Bailey表示,我们是IoT蠕虫的成熟。修复问题将需要大量的协调,创造力和持久性,但也许人们实际上正在看到风险。
Micro Focus的解决方案策略副总裁Geoff Webb说,Mirai攻击是一个“相当廉价的教训,让我们知道在仍有时间采取措施的情况下,被妥协的物联网(威胁)会是什么情况”。但物联网供应商需要迅速认真对待安全问题,而消费者应该回避他们的产品,直到他们做到这一点。
3.我们对新安全技术的共产人获得了其他好处
如果出于安全原因采用了某种技术,结果却带来了其他好处,这总是一个好迹象。新的协议,如传输层安全(TLS) 1.3和HTTP2,将使网络更安全,但也有明显的性能改进。网络公司F5 Networks的首席技术官Ryan Kearny表示,tls1.3和HTTP2的采用很可能会受到协议速度提高的刺激。科尔尼说:“2017年,网络速度的提高将刺激tls1.3的快速采用,而这将反过来使网络更加安全。”
4.我们在安全问题上越来越现实
安全是人们从未真正理解的事情之一。电视节目和电影没有帮助,光滑的图形和幻想戏剧性的黑客奇观看起来像是这样的。然后,电视节目“先生来了”先生机器人,“和秀的明星,拉米Malek,为他的埃利奥特拉德森写下了一个艾美。“在所有尝试中,好莱坞已经使用网络讲述了一个引人注目的故事作为背景,机器人先生是最完整的,”网络安全公司Palo Alto Networks的CSO Rick Howard说。
至少,非安全专业人士现在对情况可能会变得多么糟糕有了更好的理解。它不再只是一个弱密码、一封邮件中的一个链接,或一个未更新的旧软件应用程序。没有必要过度炒作《奥巴马》中的安全问题。现实已经够糟糕的了。
更好的理解应该帮助用户了解为什么他们需要更多地关注至少安全基础知识。为什么他们一直到来来自雅虎和dailymotion的喜欢的违规通知.
但在安全专业人士和他们工作的公司之间,对于黑客入侵仍然存在一种沉默的文化,这一点也没有帮助。没有人喜欢谈论自己的失败或成为头条新闻。但是,因为没有人告诉我们犯了什么错误,同样的违规行为不断地发生。
这就是为什么新的信息共享和分析中心(ISAC)的形成是一个积极的——尽管是小的——发展,也是一个现实主义进入安全专业人员文化的标志。虽然现有的ISAC和商业信息共享平台正在扩展,以包括更多的企业,但它们需要变得更加广泛。
开发人员有很多地方可以发布代码片段并获得编程帮助。IT和安全专业人士应该有他们可以分享其安全故事的论坛,提出没有判断的问题,并了解Whitehat安全的安全战略家Jeannie华纳表示对同行的工作。“坏人有TOR,REDDIT和其他社交网络分享信息和工具。“良好的家伙需要像自由一样自由地采用他们的人。”
很容易将信息安全性视为永无止境的攻击流。也许关于这一年的中断和违规的最令人痛苦的事情是事实上,有一个不太了解的事情。安全专家经常警告这只是因为没有证据违规证据并不意味着没有违规行为。这对雅虎肯定是真的:互联网公司披露了两个巨大的违规行为,但最可怕的事情不是受害者的数量 - 这是他们发生的事实是,他们发生了几年年前,而且没有人甚至没有怀疑。
“我们多年来过去了很多记录,从我们的鼻子下吮吸,我们甚至没有知道它,”安全专家特洛伊·亨特写道.他称当前的心态“有意识的无能”,我们知道我们有一个大问题。这是一个比前一阶段更好的地方,普遍存在的态度是“它不会发生在我身上。”
大问题是了解下一个地方。“明年我们要多么发现更多?或者根本不发现?“狩猎问道。如果我们终于获得了安全性,并且从阴影中出来,我们终于应该开始实际进步。
5.我们可能最终会得到可靠的安全承诺
作为消费者,当我们对产品的表现或功能不满意时,我们会要求退款。但它通常不会通过安全产品获得该选项。根据最近由Endpoint Security Company Sentinelone的一项调查,只有25%的美国安全卖方认为他们的主要安全供应商愿意通过涵盖违规行为,包括诉讼和赎金的成本来保障其产品。但是,大多数IT安全专业人员在调查中表示,他们希望安全营商提供保证,他们的产品将提供其承诺 - 88%声称如果竞争对手提供此类保证,他们将改变提供者。
“该行业已达成一个小费点,安全供应商需要保证其产品将抵抗网络攻击,并担任责任,如果他们未能这样做,”Sentinelone的安全战略主管Jeremiah Grossman表示。“客户厌倦了支付额外费用来解决安全漏洞,特别是当他们首先支付安全防御时。”
现在有少数公司提供安全保障。如果在安装SentineLone的端点保护平台后,SentineLone的保证涵盖每位端点1,000美元,或每家公司支付100万美元。Cymmetria涵盖通知受害者,雇用律师,带来数字取证调查人员的费用,并在获得未经授权的访问的高级持续威胁的情况下修复损坏,通过网络横向移动,并窃取受损的受损系统中的受损信息deployed Cymmetria’s MazeRunner cyber-deception platform. Trusona and WhiteHat Security also have similar product guarantees.
正如我们在过去的几个月里看到的那样,即使是安全产品也可能有漏洞。但在几个案例中,错误似乎相当基础,甚至可以避免 - 完全没有安全提供者应该提供的水平。提供产品保证应从安全提供商中删除此类邋,因为他们终于为自己的疏忽支付了实际价格。“这是我们行业的高位时间开始将他们的钱放在他们的嘴里,并对他们销售的东西负责,保证他们所做的工作,”戈迪Evron,Cymetria的首席执行官说。
这篇文章,"我们终于在安全问题上团结一致的5个迹象"最初发表于信息世界 .