技术迅速吞噬了我们周围的世界。我们所做的一切,无论是在企业层面还是个人层面,似乎都以一种或另一种方式涉及技术。然而,随着这种情况的发生,小企业仍然是黑客的首要目标,受到网络犯罪打击的组织数量每年都在增加。根据ponemon Institute的《2017中小企业网络安全状况》报告,有61% 的企业经历了网络攻击2017年,比上一年的55% 增长了6%。数据泄露从2016年的50% 上升到54%。
今年有望实现更快的互联网,更多的连接性,以及更多的网络安全威胁。来自非营利协会信息安全论坛 (ISF) 的威胁地平线系列的威胁地平线2018表明,随着连通性的增长,信息安全威胁格局将会增加。
1.物联网 (IoT) 泄漏。
随着实时数据收集变得越来越重要,物联网也在增长。从监控流量和收集实时患者信息到优化工业设备的正常运行时间,组织正在大规模获取物联网设备。但是,这些设备并不总是安全的。ISF警告说,这为组织创造了潜在的后门。
物联网之所以如此出色,是因为它由数十种隐藏在视线中的设备组成。无论是警报系统,GpS,网络摄像机,HVAC还是医疗设备 (例如起搏器),都很难猜测其中哪些设备甚至首先连接到internet。但是,由于物联网设备缺乏内置安全性,因此它们通常很容易成为黑客的目标。
攻击者通常使用自动化程序来定位物联网设备。找到后,攻击者尝试使用默认的管理员凭据连接到设备。而且由于大多数用户不会更改它们,因此对于攻击者而言,这通常是成功的。一旦进入,黑客就可以轻松安装恶意软件,基本上可以控制系统。
EyeOnpass首席执行官Daniel Soderberg建议在购买新设备时立即更改所有密码。“我不会使用默认密码操作任何设备,” 他警告说。“默认密码通常是打印出来的,可以免费获得,使用户面临各种网络危险。”
2.不透明的算法。
威胁地平线2018报告还警告了越来越多的算法使用。报告称,随着组织继续完全信任算法与关键系统的操作和决策,它们失去了对系统功能和交互的可见性。
算法之间缺乏适当和透明的交互会带来安全风险,以防算法之间的意外交互造成事件-例如美国国债2014年10月的 “闪电崩盘”,在算法自我纠正之前,债券收益率急剧下降。
ISF董事总经理史蒂夫·德宾 (Steve Durbin) 表示: “我们知道他们会不时地做一些古怪的事情。”“你需要了解你对算法系统的一些了解。我们在算法之上构建越来越多的系统 -- 工业控制和关键基础设施。在这个领域,我们需要解决的风险越来越大。“
为了能够管理这些风险,组织需要有一个人来监控通常留给算法的操作和决策的执行。该报告建议组织了解算法控制系统带来的风险,并知道何时让人类参与。此外,他们必须更新其代码维护策略,并确定处理与算法相关的事件的替代方法,尤其是在无法选择保险的情况下。
3.安全研究人员正在保持沉默。
安全研究人员通常是举报人。他们传授有关数字漏洞的知识,确保系统安全并且用户的数据保留在预期的手中。当他们被政府或私人公司沉默时,这通常是所有用户的损失。
在大多数主要行业中,随着软件取代硬件,用户和企业依靠研究人员发掘漏洞并将其公之于众,作为正在进行的提高安全性努力的一部分。然而,最近,制造商一直在通过采取法律行动来应对此类行为,而不是与研究一起修复这些漏洞。ISF预测,这种趋势只会增长; 将客户暴露在制造商决定隐藏而不是修复的漏洞中。
为了保护自己,ISF建议包括小型企业在内的技术购买者在采购过程中坚持透明度。它建议制造商在系统中发现漏洞时,通过奖励研究人员而不是试图惩罚他们来更加积极地对待它。
考虑到研究人员可能会在工具2018年中发现漏洞而不报告,因此小企业主必须进一步保护自己,即使这意味着与其他企业合作以提出负担得起的解决方案。
透明度是关键。
在安全方面,透明度可以发挥很大的作用。但是这部分早就留给了安全专业人员。如果所有用户都反映出某种程度的透明度,那么网络空间的安全性将更容易实现。如果非技术经理和领导者了解良好和不良保护的影响,他们将更负责任地使用他们拥有的网络资产。员工会更加小心他们引入网络的设备。
作为企业主,您的工作是仔细管理连接的IoT设备的库存。“有些东西有互联网功能,你没有要求也永远不会使用,” SolarWinds的利昂·阿达托说,任何不需要连接到互联网的设备都应该断开。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。