信息来源:企业网D1net
我们提取了30份致力于2020年网络安全和网络犯罪预测的独立报告,并汇总了本帖子中最有趣的5个最令人感兴趣的发现和预测。
疲劳在安全人员中蔓延
作为持续争议和辩论的根源,《加利福尼亚消费者隐私法案》(CCPA)于2019年1月1日最终定稿。
旨在保护个人数据,防止不道德实体滥用或未经允许的使用的可颂扬目标的驱动下,每项故意违法行为最高可处以7500美元的罚款,每起非故意违规行为可处以2500美元的罚款。
该法对处理或处理居民个人数据的组织具有强制性,无论该居民的地理位置如何。类似于欧盟GDPR,数据主体被赋予了一系列权利来控制其个人数据及其最终使用。
迅速发展的地区,国家和跨国法规加剧了这一趋势,2020年可能成为网络安全合规性受到侵蚀并开始迅速崩溃的一年。
鉴于一方面司法系统运行缓慢,另一方面网络安全技能不足且预算不足,网络安全专业人员可能会开始无视所有繁琐的法规。
第三方数据泄露主导威胁
赛门铁克表示,2019年供应链攻击上升了78%。竞争和成功的企业通常以较高的专业水平和专业水平而著称,他们集中所有可用资源以在特定市场中实现卓越,从而超越竞争对手。
因此,他们将大多数辅助业务流程外包给了熟练的供应商和经验丰富的第三方,从而降低了成本,提高了质量并加快了交付速度。
可悲的是,供应商也在动荡,竞争激烈的全球市场中运作,因此很少能为他们的客户提供像样的网络安全和数据保护。
IBM表示,2019年识别违规事件的平均时间高达206天。甚至更糟的是,由于攻击的复杂性和受害人缺乏技能,因此很少能检测到此类攻击,最终安全研究人员或新闻工作者突然报道了这些攻击,并对数据所有者大为震惊。
网络犯罪分子非常了解这种低垂的成果,并将继续有目的地锁定这一最薄弱的环节,以获取您的数据,商业秘密和知识产权。
外部攻击面扩大
根据IDG的CSO Online,2019年有61%的组织经历了IoT安全事件。物联网和连接设备的全球扩散,公共云,PaaS和IaaS的使用极大地促进了业务发展并实现了快速增长。组织的外部攻击面的增加是伴随而来的,通常是未被注意到的。
简单地说;外部攻击面由攻击者可以从Internet访问并属于您组织的所有数字资产(也称为IT资产)组成。
传统的数字资产(例如网络或Web服务器)通常都有很多库存,但是RESTful API和Web服务,混合云应用程序以及托管在外部平台上的关键业务数据-只是新兴的数字资产的几个例子,攻击面保持无人看管。
由于您无法保护自己所不知道的东西,因此这些数字资产中的绝大部分都没有以任何方式正确维护,监视或保护。
流氓移动应用程序,欺诈性网站,钓鱼网站和抢注网站加剧了这种情况,而通过适当实施的域安全监控可以检测到这种情况,现在开始为在网络安全专业人员中普及铺平道路。
总而言之,随着组织升级其IT并留下许多模糊的数字未知因素(无论是内部还是外部),侵入它的过程将变得更加轻松快捷。
云配置错误暴露数十亿信息
福布斯说,到2020年,将有83%的企业工作负载转移到云中。不幸的是,用于数据存储和处理的云的稳定增长大大超出了负责云基础架构的IT人员的安全技能和足够的培训。
Gartner报告说,大约95%的云安全故障是由客户而不是公共云基础架构的供应商造成的。
毫不奇怪,2019年重大数据泄漏的很大一部分来自错误配置的云存储,这暴露了最大的科技公司和金融机构的头号珠宝。
2019年7月,世界媒体报道称违反了Capital One,这可能是美国金融部门最大的数据泄露事件,这件事影响了美国大约1亿个人和加拿大600万个人。
据报道,攻击者利用配置错误的AWS S3存储桶下载了无人看管的极其敏感的数据。
尽管Capital One仅估计了因违规而造成的直接损失就达到了1.5亿美元,但联邦调查局后来披露,使用相同的AWS错误配置可能会危害多达30个其他组织。
可以预见的是,在2020年,云安全事件将始终是数据泄露根源的重中之重。
网络钓鱼攻击将激增
ImmuniWeb表示, 仅对于《财富》 500强中的全球最大公司而言,就有可能在2019年暗网中暴露超过2100万个有效凭据。
网络犯罪分子更喜欢快速无风险的突袭,而不是费时的APT攻击,昂贵的零日攻击或对SAP中复杂漏洞的连锁利用。
即使许多组织最终设法实现了具有强大的密码策略,MFA并持续监视异常情况的易耗品身份和访问管理(IAM)系统,受保护的范围也很少包含外部系统。
此类灰区系统范围从SaaS CRM和ERP到弹性的公共云平台。即使攻击者在Dark Web上找到或购买的密码无效,它们也为巧妙的社会工程活动提供了很多思路,有助于网络钓鱼和暴力破解攻击的预防。
从技术角度看,这些攻击通常乍一看很原始,它们显示出惊人的效率,无情地破坏和削弱了组织的网络安全防御能力。