去年开始,并与一系列高调的网络安全攻击结束,从8000万社保记录在健康保险公司国歌顺手牵羊,并与浸润在喜达屋,希尔顿和凯悦连锁酒店达到高潮。预计数字攻击, - 从标准的恶意软件越来越复杂,秘密项目 - 继续领先企业品牌在2016年,据雷神公司Websense的业务。网络安全软件制造商,它从22,000多家客户分析威胁数据的155个国家,称黑客会变戏法针对新兴技术,如移动支付和顶级域名的攻击。
企业和消费者也可以期望在老化的互联网基础设施,以及对总统选举候选人的Facebook,Twitter和Instagram的帐户有针对性的攻击,说一个的Websense首席安全分析师和公司的2016年预测报告的作者卡尔•伦纳德。 CIO们,争先恐后地捍卫自己的企业资产,将继续投资于网络保险,但他们会发现它很难会随着保险公司对潜在客户的网络安全态势更加严格的审查。下面是五个最大的担忧CIO和CISO们需要关注在新的一年,据Websense的。
1、黑客移动支付等非传统支付系统。
随着智能手机的不断成为身份验证的许多金融交易的首选来源,恶意软件作者将作出更大努力,从消费者的苹果付费,谷歌钱包等移动支付系统盗取资金。
CIO们听好了:一旦攻击者已学会渗透到消费者的移动钱包,他们可能会打入你的企业网络为那些智能手机拥有者的工作。 “访问公司网络的手机能够成为知识产权,内幕信息等商业机密材料的现象来源的电子邮件,联系人,认证措施和应用程序变得容易获得,并且可以净赚攻击者相当大的宝藏,”伦纳德说。
2、从Heartbleed心痛。
开源漏洞,包括Heartbleed,Shellshock和贵宾犬,打恐成Akamai和其他公司在2015年的心中期望在摇摇欲坠的互联网基础设施发动更多的袭击。伦纳德指出,一个显著号码Alexa的1000顶级网站都没有达到最新的证明。 “我们观察到的相关问题,旧的散列方案,如SHA-1,以及相关密码的支持的版本证书的问题。如果一些”在互联网上大腕“都在努力跟上,怎么能较小的供应商应付?“
其他问题包括破烂不堪的Javascript版本;报废的挑战核心软件如Windows XP;和新应用,建立在旧的漏洞回收的代码。 “这是非常困难的系统迁移,因为你可能失去功能,或引入新的错误,”他说。
3、新顶级域名带来的网络钓鱼陷阱。
新兴通用顶级域名,其数量超过800,并且可以扩大在未来几年另一个1300,将在活跃垃圾邮件和其他恶意宣传活动中使用。伦纳德说,犯罪分子和民族国家的攻击者会引诱,通过社交媒体,电子邮件等工具,对恶意软件和数据被盗毫无戒心的用户。例如,犯罪分子可以操纵不知情的消费者对shop.apple,apple.macintosh或apple.computer去抢他们的信息。在几个顶级域名雷声公司Websense的样本集,数以百万计的不同的URL托管恶意内容。 “这些顶级域名也将使其显著更难捍卫者保护,因为许多人毫无准备的新景观,”伦纳德说。
4、总统选举的总理“黑客行动主义”的时间。
随着美国越来越接近美国11月总统大选中,所谓的“黑客行动主义者”将越来越多地喜悦劫持候选人和新闻媒体的Facebook,Twitter和Instagram的帐户,并试图传播误传。这种诱惑的样子政党或候选人的电子邮件,倡导网上请愿书,或调查有关具体选举问题,链接到一个所谓的新闻报道,或传送有关选民登记和辩论的信息。 “他们通常出于政治动机的黑客的喜悦吹嘘自己的成就之后,”伦纳德说。为了规避这种风险,伦纳德说,他设想了一些运动队聘请的首席信息官来保护他们的媒体资产。
5、网络保险更好地对准网络安全姿势。
网络保险保费收入在2015年大幅上涨,因为企业竞相购买保障覆盖面。为了保持盈利,保险公司将需要更多的威胁和保护情报和制定发布网络安全政策基本要求。这样的政策会考虑到公司的市值,国防和风险状况,发作频率,以及有能力阻止攻击和修复漏洞。
保险公司会派审计人员进行手把手的网络安全系统的评估,增强需要高级威胁检测,两者的周边,并在数据层面。 “这可以支配的保费,或者你甚至是否得到支付你的说法,”他说。 “我们希望看到一个日益复杂与网络漏洞相关的风险因素纳入政策成本的方式,就如同司机的安全记录和驾驶习惯被纳入汽车政策的成本。”
导致一些乐观
鉴于描述的这些威胁,网络安全防御似乎是,再次,实乃徒劳无益巨石推。但伦纳德罢工乐观的基调,并指出,CIO们可以通过建立一个团队值得信赖的顾问,包括内部和外部合作伙伴的提振他们的资产。这些团队将共享劳动监测技术的发展和引进新技术,以及网络罪犯的实践和不断变化的立法。
此外,企业必须将数据所有者和数据保管分发安全责任,并审核供应商,包括第三方公司与他们的工作。教育员工,往往是一个企业最薄弱的安全环节,是最重要的。 CIO们也应该致力于网络安全演习,纳入通信,威胁评估和风险缓解。