為什么2017年將是安全最糟糕的一年

Fahmida+Y.+Rashid

眾所周知的泄露事件只是冰山一角，很多從來沒有被發現或者披露——如果基礎設施沒有重大改變，只會變得更糟

索尼、Anthem、人事管理辦公室、Target、雅虎，過去兩年，大規模泄露事件接二連三——2017年將是最具災難性的一年。

安全專家一直在提醒，大多數企業甚至不知道他們被攻破了。攻擊者依靠隱身來了解網絡，找到有價值的信息和系統，并竊取他們想要的東西。只是最近，企業才開始改進了他們的檢測工作，并開始投入時間、資金和人力去發現漏洞。當他們這樣做時，結果往往令人警醒。

安全分析公司RedSeal的首席執行官Ray Rothrock說：“我認為我們在2017年會找更多的漏洞，只多不少。”

到目前為止，所有大的泄露事件都有一個共同點：最初的惡意軟件感染或者網絡入侵讓攻擊者獲得了進入網絡的切入點，Rothrock說：“這使人想起了2013年。很多壞東西被釋放出來，然后進入企業和政府網絡。”

機器中的幽靈

三年最多四年前，企業開始聽說APT（高級持續威脅），知道普遍存在的零日攻擊。這讓攻擊者獲得了時間窗口，他們可以通過復雜的惡意軟件感染系統，或者把自己深深嵌入到網絡中，而不會觸發報警。如果認為已經發現了所有主要的數據泄露，那就有些天真了。

Rothrock說：“在管理上意識到‘狐貍已經在雞舍里，那么我們一定要采取措施，解決已經知道的這些問題。”

換句話說，這些泄露事件多年前就發生了，但IT團隊還沒有檢測到它們。它們最終可能會被發現——原因是犯罪分子自己的錯誤，檢測系統改進了，等等。但我們可能永遠也不知道損害有多嚴重，因為絕大多數的事件從來沒有被報告過。

未報告的偷竊

企業被要求報告被盜或者暴露的數據——如果這包括個人身份信息或者個人健康信息，但大多數企業都置之不理。由于缺乏報告被盜的知識產權或者其他類型的敏感企業數據的監管要求，因此，工業企業、制造公司、咨詢公司和法律組織通常會保持沉默。

敏感數據不僅包括財務信息。Rothrock說：“涉及到很多知識產權。對于建造或者設計核電廠的公司來說，攻擊者自己去攻擊他們的工廠是一回事，如果攻擊者有實際的圖紙，知道如何攻擊，則是另一回事。”

如果不是文件被泄露給記者，沒有人會知道去年法律公司Mossack Fonseca被偷走的巴拿馬文件。2015年ABA法律技術調查報告發現，在超過100名律師的公司中，23%的受訪者報告了安全泄露事件，但沒有公開受影響公司的名稱。如果航空航天公司新飛機或者新藥研究計劃被盜，那么只有受影響的企業、被招來進行評估和補救的顧問，以及執法機構（如果致電告訴了他們）知道泄露的詳細情況。

Rothrock說：“我們Red Seal公司在這方面接了很多業務，就是因為公司不必報告一些泄露事件。我們接到電話，去處理問題。我相信不光我們是這樣。”

網絡安全和隱私保護非營利性組織“在線信任聯盟（Online Trust Alliance OTA）”研究了初步年終數據，估計約有82，000起網絡安全事件影響了全球225家以上的企業。OTA說：“由于大多數事件從未向高管、執法機構或者監管機構報告，因此包括DDoS攻擊在內的造成損失的事件的實際數量可能超過了25萬。”

計算成本

數據泄露的代價是昂貴的——而且與通知受害者以及聘請顧問和取證調查員來發現和解決問題的直接成本相比，還有更多的代價。

其他成本包括停機、生產力損失、客戶流失和收入損失等。如果在泄露事件發生多年后才被公司發現，就像雅虎最近那樣，他們還必須支付Rothrock所說的“工程服務”費用，這是恢復和補救成本的一部分。

如果花了很長時間才發現泄露事件，那么說明現有基礎設施存在問題，因此很難迅速發現漏洞。這要求重新設計基礎設施，這通常會是昂貴而且耗時的項目。但總是有人不理會其緊迫性。Rothrock說：“大多數人還搞不清楚他們有什么，而一直在添加更多的東西。”

重組我們的防御

隨著云部署、物聯網的出現，以及數據在多臺設備上的流動——我們的網絡越來越復雜，導致IT和安全團隊越來越難以在所有層面上進行探查。但是，對于攻擊者而言沒什么改變。惡意軟件會繼續感染這些新系統，攻擊者會繼續獵取數據。

Rothrock說：“當草堆不斷變大時，在草堆里找到針頭會越來越難。”

與此同時，現在的安全防御比三年前要好很多。Rothrock使用建筑業作為比喻：想一想現代建筑是怎樣建成的，使用傳感器來檢測熱量、氣體泄漏和壓力的變化。墻體用防火材料制成，并且有防止火災的防護措施。這就要求重新設計IT，以防止反復遭受攻擊。

Rothrock說：“有幾棟被燒毀后，我們就會知道老摩天大樓是容易被攻擊的目標。新的摩天大樓幾乎從來沒有火災。IT也應如此。”

（作者Fahmida Y. Rashid是InfoWorld的資深作家，其寫作主題是信息安全。）

原文網址：

http：//www.infoworld.com/article/3163986/security/why-2017-will-be-the-worst-year-ever-for-security.html