压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2020年，數(shù)字空間危機四伏，灰犀牛與黑天鵝扎堆起舞，但也隱含著巨大的 “安全紅利”。野蠻生長和狼性文化驅(qū)動的數(shù)字經(jīng)濟已經(jīng)來到一個拐點，安全債、技術(shù)債、文化債到了總清算的關(guān)頭，那些能夠管理風(fēng)險、駕馭風(fēng)險，在數(shù)字化轉(zhuǎn)型過程中有效保護數(shù)據(jù)和隱私，建立 “安全自信” 和 “安全生態(tài)” 的公司，將浴火重生，引領(lǐng)下一個十年。

近年來數(shù)據(jù)泄露和隱私事故越來越普遍，而且代價高昂。Risk Based Security 的一項研究發(fā)現(xiàn)，數(shù)據(jù)泄露比去年同期上升了 54％ 以上。同時，IBM 的年度數(shù)據(jù)泄露成本報告發(fā)現(xiàn)，數(shù)據(jù)泄露的平均總成本接近 400 萬美元。

毫無疑問，數(shù)據(jù)安全已成為企業(yè)、消費者和監(jiān)管機構(gòu)的頭等大事。

12 月 20 日，全國人大法工委在記者會上宣布個人信息保護法、數(shù)據(jù)安全法將列入 2020 年立法工作計劃，拉開了數(shù)據(jù)安全保衛(wèi)戰(zhàn)的序幕。

為了幫助企業(yè)為日益增長的確定性風(fēng)險做好準(zhǔn)備，以下安全牛總結(jié)了企業(yè) 2020 年可能面臨的 20 種數(shù)據(jù)安全風(fēng)險。

01、疏忽意外導(dǎo)致的數(shù)據(jù)泄露

通常，人們總是將數(shù)據(jù)泄露和隱私事故與黑客攻擊聯(lián)系起來，是黑客們利用隱秘的漏洞來竊取信息。但是，出乎很多人的意料，我們最大的敵人似乎不是黑客，而是人員疏忽。數(shù)據(jù)泄露事故常常是疏忽和意外造成的，例如你的員工機場上了一個假熱點，不小心把含有敏感信息的郵件 CC 給了陌生人，離開時又遺失了未加密的筆記本電腦。

Shred-it 的一項研究發(fā)現(xiàn)，40％ 的高級管理人員和小企業(yè)主表示，疏忽和意外損失是他們最近一次安全事件的主要原因。

02、過勞的IT管理員

當(dāng)今的威脅形勢可能令人筋疲力盡，尤其是負責(zé)保護公司最重要數(shù)據(jù)的 IT 管理員。

黑客只需要正確一次就足以突破企業(yè)的防線，造成嚴重損失，而 IT 管理員則必須全力抵抗持續(xù)不斷的攻擊，不容有失，壓力之大可想而知。這可能就是為什么近 2/3 的網(wǎng)絡(luò)安全專家已考慮辭職或完全離開該行業(yè)的原因。

這種流失以及員工過度勞累不可避免產(chǎn)生效率下降和失誤，使公司容易受到數(shù)據(jù)安全或隱私事故的影響。

03、員工監(jiān)守自盜

在大多數(shù)情況下，員工和數(shù)據(jù)是公司最寶貴的資產(chǎn)，但個別員工，也會對企業(yè)的數(shù)據(jù)資產(chǎn)產(chǎn)生想法。

現(xiàn)任和前任雇員盜竊公司數(shù)據(jù)的情況非常普遍，國內(nèi)的案例暫且不表，國外的典型是加拿大信用合作社Desjardins ，2019年6月，一名前員工偷走了Desjardins近300萬客戶的個人數(shù)據(jù)，這成為該國歷史上最大的數(shù)據(jù)災(zāi)難之一。

04、供應(yīng)鏈“漏風(fēng)”

卡巴斯基在 2019 年發(fā)布的《 IT安全經(jīng)濟學(xué)》報告（安全牛網(wǎng)站下載地址）顯示，大企業(yè)和中小型企業(yè)涉及第三方供應(yīng)商（服務(wù)和產(chǎn)品）的數(shù)據(jù)泄露事件發(fā)生率分別為 43％ 和 38％。根據(jù) One Identity 的調(diào)查，大多數(shù)組織 (94％) 授予第三方訪問其網(wǎng)絡(luò)的權(quán)限，而 72％ 的組織授予特權(quán)訪問權(quán)限。但是，只有 22％ 的人確信第三方?jīng)]有訪問未授權(quán)信息，而 18％ 的人報告說由于第三方的訪問造成了違規(guī)。

卡巴斯基的研究表明，75% 的中小企業(yè)和 79% 的大企業(yè)都在強迫第三方供應(yīng)商簽署安全策略協(xié)議，在第三方對違規(guī)行為負責(zé)時，是否有協(xié)議的賠償結(jié)果會有很大不同。在已制定政策的企業(yè)中，有 71％ 的企業(yè)表示已獲得補償，而沒有第三方政策的企業(yè)中只有22％的企業(yè)獲得了補償。

05、危險的個人通訊

數(shù)字通信是我們?nèi)粘Ｉ钪袩o處不在的一部分，對于努力保護客戶隱私的公司而言，數(shù)字通信的漏洞和風(fēng)險無處不在（包括微信、QQ 等社交通訊和個人網(wǎng)盤等文件分享和協(xié)作工具）。

最令人恐懼的是，大量員工使用個人設(shè)備或個人帳戶來傳送敏感的客戶信息。

例如，在醫(yī)療行業(yè)，近 30％ 的醫(yī)療團隊成員承認使用個人設(shè)備來傳送私人患者的詳細信息。

06、網(wǎng)絡(luò)釣魚飆升

微軟的一項分析發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚詐騙今年增長了 250％。而且，這些技術(shù)正在變得越來越復(fù)雜，這使它們既難以識別，成功率不斷提升。被釣魚郵件突破的單個員工就可能會泄露大量公司數(shù)據(jù)。

07、魚叉式釣魚防不勝防

網(wǎng)絡(luò)釣魚活動令人討厭，但魚叉式網(wǎng)絡(luò)釣魚活動卻令人恐懼。這種特定的網(wǎng)絡(luò)釣魚攻擊使用以前被盜的數(shù)據(jù)來炮制格外逼真的電子郵件，難以阻止和防御。在安全牛之前報道的，仍在進行中的 “江南工業(yè)風(fēng)” APT 攻擊活動中，攻擊者使用的魚叉式釣魚郵件附有看上去非常專業(yè)的工廠設(shè)計報價單和圖紙，已經(jīng)有大量韓國化工企業(yè)和部分中國企業(yè)中招。

08、數(shù)據(jù)盜竊勒索贖金

過去幾年最知名的數(shù)據(jù)泄露 “撕票” 事件莫過于索尼影業(yè)數(shù)據(jù)泄露事件，這種慘烈的結(jié)果是很多企業(yè)不愿再看到的。如今黑客有很多方法可以從被盜數(shù)據(jù)中獲利。盡管 “暗網(wǎng)” 提供了廣闊的銷售渠道，但越來越多的網(wǎng)絡(luò)犯罪分子不是在網(wǎng)上出售數(shù)據(jù)，而是開始直接向 “失主” 收取贖金。

09、勒索軟件贖金

勒索軟件攻擊已經(jīng)獲得了新的生命，比去年同期增長了 500％，對企業(yè)、政府機構(gòu)和其他組織構(gòu)成了嚴重的數(shù)據(jù)安全風(fēng)險。

與數(shù)據(jù)盜竊不同，勒索軟件（以前）并不會拿走數(shù)據(jù)，而是就地加密鎖死用戶數(shù)據(jù)，直到用戶繳納贖金。勒索軟件面前 “人人平等”，無論是大型行業(yè)企業(yè)還是中小企業(yè)甚至政府執(zhí)法機構(gòu)，一旦中招，恢復(fù)數(shù)據(jù)最有效的措施往往就是乖乖交錢。

2019 年，勒索軟件相關(guān)的數(shù)據(jù)恢復(fù)成本增加了一倍以上，2020 年，帶有數(shù)據(jù)泄漏機制的勒索軟件將給企業(yè)帶來更加高昂的數(shù)據(jù)恢復(fù)成本。數(shù)天前，加拿大最大的醫(yī)療實驗室測試服務(wù)提供商 LifeLabs 發(fā)生大規(guī)模的數(shù)據(jù)泄露事故，近 1500 萬加拿大人的個人和醫(yī)療信息被泄露。LifeLabs 發(fā)出安全公告承認已經(jīng)向攻擊者繳納贖金。專家認為攻擊者采用了勒索軟件+數(shù)據(jù)泄漏的雙重手法，大大提高了贖金的 “征收” 力度。

10、員工被賄賂成為內(nèi)鬼

在過去的幾年中，多家知名企業(yè)的員工因收受賄賂泄露企業(yè)數(shù)據(jù)。

在 2018 年，亞馬遜調(diào)查了幾名員工在賄賂計劃中的角色，這些賄賂泄漏了大量公司數(shù)據(jù)。最近，有消息顯示，有 AT＆T 員工受賄并在公司網(wǎng)絡(luò)上植入惡意軟件，從而深入了解 AT＆T 的內(nèi)部工作原理。

可以肯定的是，賄賂員工是網(wǎng)絡(luò)犯罪常態(tài)化的常用手段，也是公司迫切需要解決的漏洞。

11、過于寬松的員工數(shù)據(jù)訪問權(quán)限

員工不分級別不受限制地訪問公司或客戶數(shù)據(jù)是一柄雙刃劍，企業(yè)應(yīng)當(dāng)在提高業(yè)務(wù)效率的同時最大程度地減少濫用或濫用機會。但是，太多的公司為員工分配了過于寬松的數(shù)據(jù)訪問權(quán)限，極大地增加了將來出現(xiàn)安全或隱私問題的可能性。此外，企業(yè)的特權(quán)賬戶權(quán)限過大且缺乏有效監(jiān)管也是企業(yè)安全目前面臨的重大問題。

12、員工買賣數(shù)據(jù)

員工泄露公司數(shù)據(jù)的原因有很多，但是最明顯的動機之一就是賺錢。Deep Secure 的一項研究發(fā)現(xiàn)，有 45％ 的員工會考慮將公司數(shù)據(jù)出售給外部人員，而且，令人難以置信的是，這些信息經(jīng)常被低價兜售。

研究發(fā)現(xiàn)，英國員工中有 15％ 的人會以 1,260 美元的價格出售信息，而 10％ 的人以 315 美元的價格出售數(shù)據(jù)。

對于這些不良員工來說，這些數(shù)據(jù)可能很便宜，但對于公司而言，可能意味著高昂的代價。

13、員工的無聊行為

令人難以置信的是，接近四分之一的數(shù)據(jù)泄露事件僅僅是因為 “好玩”。根據(jù) Verizon 的 “數(shù)據(jù)泄露調(diào)查報告”，令人驚訝一個事實是，近 24% 的數(shù)據(jù)泄露事件是由于員工的無聊所致。該報告發(fā)現(xiàn)，“純粹的樂趣” 是網(wǎng)絡(luò)安全或侵犯隱私事件的主要原因之一。

它印證了企業(yè)員工數(shù)據(jù)安全意識的極度淡漠，這種態(tài)度在許多組織中普遍存在，從整體上講，這種威脅將持續(xù)到明年。

14、員工竊取數(shù)據(jù)用于個人職業(yè)發(fā)展

數(shù)量驚人的員工愿意竊取公司數(shù)據(jù)以在就業(yè)市場上獲得優(yōu)勢。例如，蘋果公司秘密汽車項目的兩名前蘋果員工在竊取了與該項目有關(guān)的 2000 多個文件后，被控盜竊數(shù)據(jù)。無論員工是在掠奪知識產(chǎn)權(quán)、客戶數(shù)據(jù)還是其他有價值的信息，都可以在競爭激烈的就業(yè)市場中脫穎而出，這給 2020 年運營的公司帶來了數(shù)據(jù)安全風(fēng)險。

15、中小企業(yè)嚴重低估網(wǎng)絡(luò)安全的優(yōu)先級

新聞報道上看到的往往都是大公司的數(shù)據(jù)泄漏事故，但事實是中小型企業(yè)最容易受到網(wǎng)絡(luò)攻擊，而不幸的是，中小企業(yè)高管往往最不可能優(yōu)先考慮網(wǎng)絡(luò)安全計劃。Keep Security 進行的一項研究發(fā)現(xiàn)，有 66％ 的中小型企業(yè)不相信會造成數(shù)據(jù)泄露，這與 Ponemon Institute 的證據(jù)相反，后者發(fā)現(xiàn) 67％ 的中小型企業(yè)在去年遭受了嚴重攻擊。

16、數(shù)據(jù)泄露只是網(wǎng)絡(luò)欺詐的“第一滴血”

通常，數(shù)據(jù)泄露或侵犯隱私只是越來越多的網(wǎng)絡(luò)犯罪中的 “第一滴血”。Risk Based Security 的一份報告發(fā)現(xiàn)，電子郵件地址和密碼是在線數(shù)據(jù)中最受歡迎的，在所有數(shù)據(jù)泄露事件中有 70％ 包含電子郵件地址。郵件信息可以部署在其他更 “精妙” 的網(wǎng)絡(luò)攻擊中，成為安全事件連鎖反應(yīng)的導(dǎo)火索。

17、高管離職

組織的創(chuàng)始人和高級管理層往往能夠不受限制地訪問公司數(shù)據(jù)，這不是問題，但當(dāng)他們決定離開公司或被迫退出時，他們的 “不爽” 就會成為一個大問題。

特權(quán)賬戶的有效管理能夠大大降低數(shù)據(jù)丟失和隱私問題的發(fā)生幾率。

18、簡單得要命的密碼

谷歌的一項研究發(fā)現(xiàn)，互聯(lián)網(wǎng)上使用的所有登錄憑證中有 1.5％ 容易受到憑證填充攻擊，這些攻擊會遍歷以前被盜的賬戶信息，從而進一步損害公司的 IT 基礎(chǔ)架構(gòu)。

有趣的是，員工在得知信息泄露風(fēng)險后依然不愿更改或改進這些密碼。不能貫徹實施最佳密碼管理實踐，會使企業(yè)在現(xiàn)在和未來一年面臨巨大風(fēng)險。

19、聲譽攻擊

很多時候，黑客攻擊僅僅是為了撈取在圈子里炫耀的資本。7 月，信用卡公司 Capital One 遭受了一次漏洞的破壞，遭受了泄露 1 億條記錄的數(shù)據(jù)泄露。但攻擊者的目的卻不是為了錢，這名黑客一直在尋求提升自己在各種社區(qū)吹牛的資本。

對于某些黑客人而言，數(shù)據(jù)盜竊的目的與數(shù)據(jù)本身價值無關(guān)，而是與他們自己的惡名聲有關(guān)，這對于努力保護客戶數(shù)字隱私的企業(yè)來說是一個撓頭的問題。

20、放棄治療

當(dāng)今危險的數(shù)字環(huán)境威脅防不勝防。安全和隱私事件的頻發(fā)打擊了很多企業(yè)的信心，太多公司選擇聽天由命，而不是抓住機會加強防御能力。

消極抵抗、甚至放棄抵抗可能是所有漏洞中最嚴重的漏洞。企業(yè)沒有采取任何行動，而不是控制可控因素，解決風(fēng)險問題并實施確保整體數(shù)據(jù)安全性的安全策略。

Risk Based Security 研究報告地址：

https://www.riskbasedsecurity.com/2019/08/15/2019-on-track-for-another-worst-year-on-record/

IBM 的年度數(shù)據(jù)泄露成本報告地址：

https://www.ibm.com/security/data-breach