随着新监管时代的到来,对电子邮件威胁、供应链和数据泄露风险的关注将占据主导地位

新年伊始,信息安全专业人士表示在过去的一年已发生了各种安全事故,观察和分析过去一年中明显的趋势和发生的事情将大有裨益,可以促使我们在新年伊始形成更具战略性的思维。

我们从2018年中学到了什么呢?以下是我们在经历2018年之后的一些分享:

通过电子邮件传播的威胁仍是排名第一的威胁类型

通过电子邮件传播的威胁仍是排名第一的威胁类型。据估计,在现实网络威胁中,通过电子邮件传播的威胁所占比例超过了80%。某公司表示其十分之一的电子邮件均属于恶意邮件,包括网络钓鱼、BEC诈骗、加密货币挖掘恶意软件和勒索软件等。梭子鱼网络对全球三分之一的企业进行主题为“2018年电子邮件安全趋势”的调研,报告指出他们均遭遇了钓鱼攻击。Verizon分析指出93%的网络入侵都含有钓鱼元素,这的确是一则坏消息。

如想降低风险,需将包括以人工智能为驱动的技术工具与以网络安全为主题的人性化的安全意识培训相结合,以便能更好地发现异常情况。遗憾的是,大多数公司通常忽略了后者的管理。实际上,企业需要可定制的工具,以帮助员工发现可疑的电子邮件、语音邮件、电话和短信。

云安全意识提升缓慢

同时,我们了解到的另一件事情是企业开始使用更多的云软件,但安全进展缓慢,举步维艰。梭子鱼网络的研究显示,虽然现在绝大多数(71%)人认为云安全是一项共同责任,但有超过一半(57%)的人认为其内部安全性优于云中提供的安全性。在需求不多的情况下,目前所拥有的工具皆可以部署云安全。然而据梭子鱼调研显示,仅有34%的企业部署了下一代防火墙,而SumoLogic found另外的研究发现,只有43%的欧洲公司正在使用内置的安全和合规工具,比如Amazon CloudTrail。

随着越来越多的企业地转向混合云环境、微服务和敏捷的DevOps方法,其需要安全地“向左移动”,需要尽早将其构建到应用程序开发生命周期中。因此,在部署前需要连续扫描图像并在运行时提供保护。

供应链风险

2018年的几份报告强调了第三方带来的供应链风险。国家网络安全中心(NCSC)预警:“即便企业拥有卓越的网络安全环境,也无法保证供应链中的承包商和第三方供应商采用相同的安全标准。攻击者会针对供应链中最脆弱的部分来攻击目标受害者。”近期,金融监管机构FCA的一份报告显示,该行业仍然缺乏对第三方安全性的可见性。鉴于金融机构是攻击者最喜欢的攻击目标,所以这也是值得关注的地方。

如果企业想要在2019年遵守GDPR和NIS指令监管机构的各项规定,还需要努力把安全做得更好才行。

勒索软件的高成本

尽管有报告声称网络犯罪分子正在避开勒索软件,转而采用通过加密采矿更容易的赚钱方式,但它仍是许多企业会面临的威胁。今年受影响者包括苏格兰Arran啤酒厂和布里斯托尔机场,后者迫使工作人员在周末需要手写离境登机牌。

欧洲刑警组织警告说,勒索软件仍是企业面临的最大恶意软件威胁,并且这一情况将会持续多年。

WannaCry今年造成的损失和IT加班费上预估花费了9,200万英镑。除了2017年备受瞩目的蠕虫之外,勒索软件在今天也变得越来越有针对性。近期美国、加拿大和英国的数家医院和地方当局都受到了攻击,过去3年的损失预估3,000万美元。

GDPR已正式生效

最后但同样重要的是数据泄露风险,去年发生了一些重大数据泄露事件:Facebook Cambridge Analytica丑闻、国泰航空公司和万豪国际数据泄露事件。2014年以来,万豪的数据泄露事件影响了大约5亿客户。由使用Magecart数字浏览代码的组织发起的几次攻击活动,一旦进入网站就会从网站上删除卡片详情。数百家电子商务公司受到了冲击,有些是像英国航空公司这样直接受到冲击,还有的是通过像Ticketmaster’s Inbenta Technologies第三方供应商受到冲击的。

IBM称,目前黑客入侵的成本接近390万美元,比2017年增加了6%。然而,随着GDPR和NIS指令规定的实施,这个数字可能很快就会过时。信息安全专家和数据保护官员(DPO)将密切关注监管机构的反应。英国的ICO今年已根据旧制度开出了50万英镑(Facebook和Equifax),38.5万英镑(Uber)和25万英镑(雅虎)的罚款。接下来发生的事情可能会导致2019年合规支出急剧增加。