Fahmida+Y.+Rashid

眾所周知的泄露事件只是冰山一角，很多從來沒有被發(fā)現(xiàn)或者披露——如果基礎(chǔ)設(shè)施沒有重大改變，只會變得更糟

索尼、Anthem、人事管理辦公室、Target、雅虎，過去兩年，大規(guī)模泄露事件接二連三——2017年將是最具災(zāi)難性的一年。

安全專家一直在提醒，大多數(shù)企業(yè)甚至不知道他們被攻破了。攻擊者依靠隱身來了解網(wǎng)絡(luò)，找到有價值的信息和系統(tǒng)，并竊取他們想要的東西。只是最近，企業(yè)才開始改進了他們的檢測工作，并開始投入時間、資金和人力去發(fā)現(xiàn)漏洞。當(dāng)他們這樣做時，結(jié)果往往令人警醒。

安全分析公司RedSeal的首席執(zhí)行官Ray Rothrock說：“我認為我們在2017年會找更多的漏洞，只多不少?！?/p>

到目前為止，所有大的泄露事件都有一個共同點：最初的惡意軟件感染或者網(wǎng)絡(luò)入侵讓攻擊者獲得了進入網(wǎng)絡(luò)的切入點，Rothrock說：“這使人想起了2013年。很多壞東西被釋放出來，然后進入企業(yè)和政府網(wǎng)絡(luò)?！?/p>

機器中的幽靈

三年最多四年前，企業(yè)開始聽說APT（高級持續(xù)威脅），知道普遍存在的零日攻擊。這讓攻擊者獲得了時間窗口，他們可以通過復(fù)雜的惡意軟件感染系統(tǒng)，或者把自己深深嵌入到網(wǎng)絡(luò)中，而不會觸發(fā)報警。如果認為已經(jīng)發(fā)現(xiàn)了所有主要的數(shù)據(jù)泄露，那就有些天真了。

Rothrock說：“在管理上意識到‘狐貍已經(jīng)在雞舍里，那么我們一定要采取措施，解決已經(jīng)知道的這些問題?！?/p>

換句話說，這些泄露事件多年前就發(fā)生了，但IT團隊還沒有檢測到它們。它們最終可能會被發(fā)現(xiàn)——原因是犯罪分子自己的錯誤，檢測系統(tǒng)改進了，等等。但我們可能永遠也不知道損害有多嚴重，因為絕大多數(shù)的事件從來沒有被報告過。

未報告的偷竊

企業(yè)被要求報告被盜或者暴露的數(shù)據(jù)——如果這包括個人身份信息或者個人健康信息，但大多數(shù)企業(yè)都置之不理。由于缺乏報告被盜的知識產(chǎn)權(quán)或者其他類型的敏感企業(yè)數(shù)據(jù)的監(jiān)管要求，因此，工業(yè)企業(yè)、制造公司、咨詢公司和法律組織通常會保持沉默。

敏感數(shù)據(jù)不僅包括財務(wù)信息。Rothrock說：“涉及到很多知識產(chǎn)權(quán)。對于建造或者設(shè)計核電廠的公司來說，攻擊者自己去攻擊他們的工廠是一回事，如果攻擊者有實際的圖紙，知道如何攻擊，則是另一回事?！?/p>

如果不是文件被泄露給記者，沒有人會知道去年法律公司Mossack Fonseca被偷走的巴拿馬文件。2015年ABA法律技術(shù)調(diào)查報告發(fā)現(xiàn)，在超過100名律師的公司中，23%的受訪者報告了安全泄露事件，但沒有公開受影響公司的名稱。如果航空航天公司新飛機或者新藥研究計劃被盜，那么只有受影響的企業(yè)、被招來進行評估和補救的顧問，以及執(zhí)法機構(gòu)（如果致電告訴了他們）知道泄露的詳細情況。

Rothrock說：“我們Red Seal公司在這方面接了很多業(yè)務(wù)，就是因為公司不必報告一些泄露事件。我們接到電話，去處理問題。我相信不光我們是這樣?！?/p>

網(wǎng)絡(luò)安全和隱私保護非營利性組織“在線信任聯(lián)盟（Online Trust Alliance OTA）”研究了初步年終數(shù)據(jù)，估計約有82，000起網(wǎng)絡(luò)安全事件影響了全球225家以上的企業(yè)。OTA說：“由于大多數(shù)事件從未向高管、執(zhí)法機構(gòu)或者監(jiān)管機構(gòu)報告，因此包括DDoS攻擊在內(nèi)的造成損失的事件的實際數(shù)量可能超過了25萬?！?/p>

計算成本

數(shù)據(jù)泄露的代價是昂貴的——而且與通知受害者以及聘請顧問和取證調(diào)查員來發(fā)現(xiàn)和解決問題的直接成本相比，還有更多的代價。

其他成本包括停機、生產(chǎn)力損失、客戶流失和收入損失等。如果在泄露事件發(fā)生多年后才被公司發(fā)現(xiàn)，就像雅虎最近那樣，他們還必須支付Rothrock所說的“工程服務(wù)”費用，這是恢復(fù)和補救成本的一部分。

如果花了很長時間才發(fā)現(xiàn)泄露事件，那么說明現(xiàn)有基礎(chǔ)設(shè)施存在問題，因此很難迅速發(fā)現(xiàn)漏洞。這要求重新設(shè)計基礎(chǔ)設(shè)施，這通常會是昂貴而且耗時的項目。但總是有人不理會其緊迫性。Rothrock說：“大多數(shù)人還搞不清楚他們有什么，而一直在添加更多的東西?！?/p>

重組我們的防御

隨著云部署、物聯(lián)網(wǎng)的出現(xiàn)，以及數(shù)據(jù)在多臺設(shè)備上的流動——我們的網(wǎng)絡(luò)越來越復(fù)雜，導(dǎo)致IT和安全團隊越來越難以在所有層面上進行探查。但是，對于攻擊者而言沒什么改變。惡意軟件會繼續(xù)感染這些新系統(tǒng)，攻擊者會繼續(xù)獵取數(shù)據(jù)。

Rothrock說：“當(dāng)草堆不斷變大時，在草堆里找到針頭會越來越難?！?/p>

與此同時，現(xiàn)在的安全防御比三年前要好很多。Rothrock使用建筑業(yè)作為比喻：想一想現(xiàn)代建筑是怎樣建成的，使用傳感器來檢測熱量、氣體泄漏和壓力的變化。墻體用防火材料制成，并且有防止火災(zāi)的防護措施。這就要求重新設(shè)計IT，以防止反復(fù)遭受攻擊。

Rothrock說：“有幾棟被燒毀后，我們就會知道老摩天大樓是容易被攻擊的目標(biāo)。新的摩天大樓幾乎從來沒有火災(zāi)。IT也應(yīng)如此。”

（作者Fahmida Y. Rashid是InfoWorld的資深作家，其寫作主題是信息安全。）

原文網(wǎng)址：

http：//www.infoworld.com/article/3163986/security/why-2017-will-be-the-worst-year-ever-for-security.html