去年,我们发布了一份指南,重点介绍了当时最令人担忧的网络安全统计数据和趋势。 但是,科技世界瞬息万变,网络安全是一场威胁巨大的战争,事关数十亿美元的利益。 是时候重新审视今天的战场了。
世界对技术和互联网的依赖比我们上次讨论这个问题时更甚。 再加上国际紧张局势加剧,更庞大的数据库(政府和私人)正等待着成为攻击目标,以及更多拥有经验和资源的坏人。
结果是一场迫在眉睫的网络安全灾难。
为了解2020年的重要因素和网络安全趋势,我们将首先讨论数据泄露问题。
turbo v
自上次发布有关 "恢复隐私 "的报告以来,又有多起大规模数据泄露事件被报道,其中包括
- 资本一号黑客获取了超过1亿条信用卡相关记录。 他们利用这些信息获取了大约80,000个银行账户以及大量额外的个人信息。 针对这一"网络事件该公司为受影响的个人提供免费的信用监控和身份保护服务。 (我们还为您提供身份盗窃和欺诈.)
- 土坯 发现其Creative Cloud套件存在大规模漏洞。 这些数据用于超过700万用户是外露.
- 滴滴打车(DoorDash) 发现有人入侵其系统并获得了约490万人.
这数据泄露的平均成本也在不断增长。 IBM2018年的一份报告显示,全球数据泄露的平均成本为8600万美元。 数据泄露2019年报告列出了每起违规事件的全球平均成本为92万美元。
尽管工程师、技术人员和科学家们竭尽全力,但危险的漏洞仍不断被发现,即使是像蓝牙这样已经使用了几十年的 "古老 "系统。 不信? 看看《黑客新闻》(The Hacker News)的这篇文章。
它讨论了斯文牙一打套装潜在的严重漏洞影响数以百万计的蓝牙设备。 这些漏洞可使黑客禁用设备,甚至读取其中的用户数据。 据报道,至少有480种不同的产品受到这些问题的影响。
在此背景下,让我们更详细地了解一下当前最大的网络安全问题领域。
ture tosb
多年来主要攻击向量网络犯罪分子已经电子邮件. 特别是各类钓鱼攻击(网络钓鱼、鱼叉捕鱼、捕鲸、克隆网络钓鱼)。
从2017年到2018年,网络钓鱼攻击的数量明显开始下降--但攻击的复杂程度和威力似乎在不断增加。 两种日益流行的信息类型是假冒的浏览器更新和活动目标信息。
根据保点几乎90%的组织国际经验丰富有针对性的网络钓鱼攻击在2019年。 报告还强调,许多员工未能应用基本的安全技术,特别是重复使用密码,以及将业务设备用于个人目的,通常是在未受保护的家庭网络上使用。
幸运的是,网络钓鱼攻击的乌云也有一线希望。 由于网络钓鱼攻击已经持续了很长时间,人们已经制定了有用的准则来防御网络钓鱼攻击。 如果企业中的每个人都能遵循我们在下文中列出的简单步骤,就能大大消除此类攻击可能造成的损害。 使用电子邮件时:
- 切勿打开您不希望收到的附件。 攻击者可能会在这些附件中嵌入恶意软件,从而控制您的设备。 如有疑问,您还可以使用病毒库(VirusTotal在打开之前。
- 避免点击电子邮件中的链接。 网络钓鱼邮件中的链接可能看起来合法,但可能会将您引向一个试图诱骗您提供个人信息或试图向您的系统注入恶意软件的网站。 将鼠标指针悬停在链接上,查看其指向。 如果它指向一个合法的目的地,您可以自己在浏览器中手动输入地址。
- 合法机构绝不会要求您发送用户名和密码。 如果有信息要求您提供用户名和密码,您可以确定这是一个网络钓鱼企图。
当坏人发送网络钓鱼信息试图将恶意软件植入您的系统时,他们最喜欢的有效载荷之一就是勒索软件。
ture tosb
正如我们上次所指出的、勒索软件是一个巨大且日益严重的问题.
个人和企业一直是勒索软件的攻击目标。 去年,发送勒索软件的变态开始攻击更大的目标。 数十个城市成为目标据估计,去年勒索软件攻击给全球造成的损失高达数十亿美元。
这种对更大目标的关注可能有助于解释为什么康维明最近报道了这一令人震惊的消息:
在2019年第四季度,平均赎金支付增加了104%,达到,116从,198在2019年第三季度. 虽然第四季度勒索软件支付的中位数为179美元,但平均值的翻倍反映了积极攻击公司的威胁行为体的多样性。 一些变种,如琉克和索迪诺基比他们已进入大型企业领域,并将攻击重点放在大型公司上,试图勒索该组织7位数的赔偿金......
分析师超越信任 这表明勒索软件骗子可能会转向更大的目标,包括地方和国家基础设施. 不幸的是,去年的预测似乎是正确的。
2020年2月初、勒索软件攻击导致的运行技术(OT)网络上的控制和通信资产。天然气压缩设施. 据当局称美国网络安全和基础设施安全局(U.S. Cybersecurity and Infrastructure Security Agency)中联社),攻击者无法控制运行系统。 然而,他们能够阻止设施读取继续运行所需的实时数据,迫使他们停工两天.
袭击者能够迫使设施关闭这一事实令人不安,但这还不是最糟糕的。 根据CISA警报攻击者使用的软件是商品勒索软件. 换句话说,这并不是某个秘密实验室里的天才黑客所为。 该事件是通过一家公司提供的标准软件完成的。鱼叉捕鱼电子邮件
我不清楚这种软件的名称。 但根据这个技术评论》报道其中一个勒索软件程序被命名为EKANS。
请注意:美国基础设施也遭受过非勒索软件攻击。 去年9月我们了解到的细节美国西部一家未公开的电力公司3月份遭到攻击。 攻击者利用防火墙软件中的一个已知漏洞,导致美国西部一个未公开的电力公司在3月份受到间歇性攻击。拒绝服务(DoS)类型关闭各种设备的通信。 据报道,这是远程黑客首次成功干扰美国电网。
ture tosb
目前,尚不清楚当前的冠状病毒(又名COVID-19)是否会演变成大流行病,还是会在为时已晚之前得到控制。 然而,该病毒已经明确的一点是世界经济高度从属在其全球供应链. 世界各地的公司已经开始停产,因为他们已经用完了来自中国的零部件。
但是,全球供应链的物理功能并不是唯一的风险。 全球供应链面临巨大的网络安全风险在美国国防部的支持下。 因此,今年晚些时候,希望获得美国国防部合同的公司将需要
资料来源:网络安全成熟度模型认证,1.0版
延误和中断很容易导致数百万美元的成本。 由于全球物流的及时性,风险仍然非常高。
ture tosb
各国政府私营公司在爱与生物识别身份系统. 指纹、声纹,尤其是面部识别系统正随处可见。 撇开无处不在的机器监控所带来的 "老大哥 "影响不谈,另一个问题也让我噩梦连连。
turbo v
当一些不法分子侵入传统数据库并获取我的用户名和密码时,更改用户名和密码是一件令人头疼的事情。 但是,当坏人拿到我们的生物识别数据时,我们该怎么办?
你不可能在每次数据泄露时都改变你的声音、指纹和面孔。 别以为这种事不会发生在您身上? 您可以通过英国已经有超马灾难因此印度Aadhaar(阿达哈卡系统. 希望在黑客获得人类大部分生物识别数据之前,有人能对这类系统做出一些限制。
turbp安卓
几年来,利用自动化技术保护系统免受网络攻击的情况日益增多。 2020年版的自动化时代的IT安全职能人员配备 指出:
大多数公司(77%)继续使用或计划在未来三年内使用自动化。 今年研究的最大收获是,大多数受访者(51%)现在认为自动化将减少IT安全职能部门的员工人数,这一比例比去年研究中的30%有所增加。
使用自动化工具肯定会有所帮助。 但这并不是我们要讨论的。
许多资料建议攻守兼备将使用人工智能(人工智能(AI)系统的优势在网络安全战争中。 虽然我们不可能在短期内看到T-800(或其他任何类型)终结者攻击企业IT部门,但现在随时可能部署的在线系统已经足够可怕。
也许您想知道如何使用这项技术反对像你我这样的普通人
ture tosb
人工智能系统可以用于探测企业和政府网络,分析其结果并试图发现新的漏洞. 杰克-沃伦Tech Republic网站上的一篇文章指出,有人编写了一个 "人工智能黑客机器人",并将其推向世界,这只是时间问题。 在他的设想中,这个系统将自主攻击网络,尝试不同的方法,从失败中学习,直到成功入侵。
turbp安卓
当涉及到保护我们的系统人工智能系统具有巨大的潜力。 确保系统安全的最重要方法之一就是引入第三方 渗透测试 (PENTEST)公司来探测您的系统是否存在漏洞。 虽然五重测试非常有效,但它需要技术熟练、经验丰富的渗透测试人员来完成工作。 目前,有资格从事这项工作的人员日益短缺。
有趣的是,渗透测试人员所做的工作与他们试图阻止的攻击者所做的工作非常相似。 只是目标不同而已。 因此,人们对渗透测试人员所做的工作并不感到惊讶。从事人工智能渗透测试系统。 AGS Alpama全球服务公司网络安全分析师哈维尔-阿维拉(Javier Avila)在以下网站的文章中解释道。风险意识,
标准渗透测试包括七个阶段。 人工智能和ML可从目标系统上运行的服务中提取信息,从而协助进行漏洞分析和利用。
虽然人工智能不可能完全取代人类在五项测试领域的作用,但这些智能系统极有可能很快帮助提高关键网络和基础设施的安全性。
turbp安卓
如上次所述物联网在以令人难以置信的速度扩张的同时,风险也随之而来。
例如报告MarketsandMarkets研究公司预测,全球物联网医疗保健市场规模将以年均20%的速度增长。年复合增长率为27.6从2019年到2024年。 这意味着仅医疗保健领域的物联网设备价值就将从2019年的.5亿美元增长到2024年的.5亿美元。2024年达到80亿美元.
我不知道这意味着有多少离散的物联网医疗设备。 打开这个领域,我看到的估计数字是416亿至640亿台物联网设备预计将在全球部署到2025年. 这包括从最新的5G智能手机到与互联网连接的家用电器,再到您孩子的玩具。 在未来几年内,这一大堆物联网设备在上市时不存在可利用漏洞的可能性有多大? 我猜大约为零。
请记住,与互联网连接的部分物联网设备通常功率较低,速度较慢,并且可用于"次要 "功能,如网络安全. 更糟糕的是,制造 "智能 "家电的大型跨国公司肯定会在固件和安全更新方面落后。 保持不断增长的设备更新和安全基本上是一项不可能完成的任务,特别是随着旧型号的淘汰。
每台 "智能 "设备都是攻击和利用网络的潜在媒介,这将使您面临严重风险。
在可预见的未来,物联网设备仍将是网络安全的噩梦,尤其是随着 "智能 "设备在我们生活各方面的不断扩展。
turbo v
去年,我们曾讨论过网络攻击的目的不是窃取数据,而是破坏数据。 虽然从网络攻击中恢复的成本可能足以让企业倒闭,但这并不是大多数攻击的主要目标。 然而,今年我们可能出现大幅增长专门通过破坏数据来损害或摧毁企业的攻击数量增加。
在美国总统奥巴马上台后,成为此类袭击目标的可能性骤增。伊朗圣城部队指挥官卡西姆-苏莱曼尼. 伊朗发誓要对这次袭击进行报复,许多人预计他们将像过去一样通过有针对性的网络攻击进行报复。
该威胁的严重程度足以中联社网络安全和基础设施安全局已经出版的警报 警告网络报复的可能性,并包括一份组织可采取的降低风险的行动清单。
要更好地了解可能发生的情况,以及您的特定业务是否可能成为目标,请查阅本采访与网络安全顾问Mark Rasch的对话,或这篇福布斯文章作者:韦恩-拉什
turbo v
我们的上一份报告谈到了危险的公共WiFi由于黑客可以轻而易举地入侵这些网络,因此酒店WiFi网络可能会成为黑客攻击的目标。 报告还讨论了网络攻击者如何通过入侵酒店WiFi网络来寻找更大的目标。 坏人还喜欢设置“邪恶双胞胎.”也就是说,他们设置一个接入点,诱使您登录该接入点,而不是酒店或咖啡店的路由器。 一旦您的设备连接到假路由器因此,黑客将能够读取您的设备与互联网之间的任何未加密通信。
虽然对这些问题的认识有所提高,但核心问题并未消失。 如果说有什么变化的话,那就是问题越来越多了。
但是,如果您避免使用公共WiFi,而只使用家中的WiFi路由器连接,您也不应该感到自鸣得意。 有很多方法可以入侵家庭WiFi网络。 许多家用路由器仍在使用出厂时设置的原始密码。 旧密码WEP加密现在,许多家庭路由器安装的易破解.这MAC地址过滤您可以在家用路由器上启用以下功能脆弱对任何拥有无线数据包嗅探器的黑客来说都是如此。
除了这些基础知识外,还有许多其他技巧。 事实上,您可以种族关于WiFi黑客!
在这个危险的时代,任何WiFi接入点都存在风险。 也有黑客入住酒店以攻击网络和住在那里的客人. 这个问题在咖啡馆和机场也日益严重。
让我们再次强调在所有设备上一直使用VPN的价值。 在使用公共WiFi时,VPN是确保流量安全的重要工具。 所有流量将在您的设备和VPN服务器之间保持加密,进一步保护您在可疑网络中的安全。 请参阅我们的指南2020年最佳VPN服务开始。
虽然可能会很麻烦,但使用有线以太网连接和完全抛弃无线网络这是一个非常明智的主意--既安全又快捷。 (也可查看我们的指南控制通信渠道.)
turbo v
网络安全的阴霾和厄运到此为止。 幸运的是,您可以做很多事情来保证安全。 我假设您还没有准备好丢弃所有的电子产品,搬到偏远的野外小屋,那么最后让我们来谈谈您在个人和职业生活中可以做些什么来降低风险。
ture tosb
首先,不要点击陌生邮件中的链接或打开附件。 不要回复任何要求您登录账户解决问题或向匿名技术支持人员发送个人信息的邮件。 看在上帝的份上,也不要回复那个需要您帮助将钱转移出国的尼日利亚王子!
我们的安全电子邮件本指南讨论了在隐私和安全两方面都做得很好的提供商。 其中许多提供商的安全功能超过了一般的电子邮件服务。
turbe安卓
并保持它们最新最新的软件和安全补丁。 任何连接到互联网的设备都存在漏洞,这些漏洞会定期被发现并打补丁。 尽管可能很烦人,但您还是要仔细检查更新是自动安装还是需要手动安装。
ture tosb
由于任何连接到互联网的设备都是网络攻击的目标,因此在连接更多设备之前,请深思熟虑。 您真的需要可以在办公室打开的家用咖啡机吗? 那些流行的 "助手 "能全天候监听您厨房(或卧室)里的每一个声音,并将谁也不知道的信息反馈给公司母机吗? 那么,您真的需要您的5台电脑都随时开机并连接到互联网上吗?
借鉴加密货币社区的安全提示,只有在需要的时候才打开电源并与网络连接。 无论黑客有多厉害,您都无法利用断电和断开连接的设备中的漏洞。
turbe安卓
无线连接真是太棒了。 如今,几乎没有人离得开它。 但是无线连接比有线连接更容易成为网络攻击的目标。 这就是我重新使用有线(以太网)连接的原因之一。 它比WiFi更安全,速度也更快。
turbe安卓
如今,似乎大多数人都会在新款手机和电脑上市时迅速更换。 但我们中的一些人仍然坚持使用旧产品,只要它还能用。 (你知道有多少人还在使用Windows 7?) 这样做的问题是,总有一天制造商会宣布旧产品过时(如Windows 7)并停止支持。 此时,您的旧技术就会成为安全隐患。 如果发现了新的漏洞,没有人去修补它,从而给攻击者永远敞开大门。
在一些令人毛骨悚然的黑客或人工智能Hackbot利用过时的技术渗透您的防御系统之前,考虑更换过时的技术。
turbo v
确保您选择的产品还尊重您的隐私. 虽然这些产品都不能100%地防范可能的攻击,但肯定有助于降低风险。
turbo v
一个好的VPN将在您使用的设备上加密您的互联网连接并确保其安全。 它还可以隐藏您的IP地址和位置,大大提高您的网络隐私。 我强烈建议您在所有电脑、智能手机和平板电脑上安装VPN软件,因为它们中的任何一台都可能成为网络攻击的目标。 我们的指南2020年最佳VPN服务 突出了最佳选择,包括迅捷网络(ExpressVPN)是我们目前的最爱(查看此49%折扣优惠券).
VPN是一个重要的工具,如果您想真正地在线匿名尽管还需要采取许多其他预防措施。
turbe安卓
使用独特的强密码为每台设备和应用程序设置密码,这大大增加了网络攻击者的难度。 这也使得您几乎不可能记住您的密码。 答案是使用可靠的安全密码管理器为您记忆。 我目前最喜欢的是比特维登. 它是一款免费的开源密码管理器,包括适用于大多数流行浏览器的安全扩展。
ture tosb
鉴于数据泄露呈增长趋势,而且公司正在努力收集您的更多数据(用于营销和广告),最安全的解决方案是限制您与第三方共享的数据。 大型企业数据库将继续遭到黑客攻击,这是您无法控制的。 但您可以限制您共享的数据量,或在网上使用各种角色(见如何在网上真正做到匿名).
本网站的宗旨是保护您的个人数据,并为您提供所需的工具和解决方案--这个问题涉及多个方面:
- 使用一个安全私密的浏览器不会收集您访问的每一个网站以发布有针对性的广告。
- 一个私密安全的电子邮件它采用了强大的加密技术,同时还能防止广告进入您的收件箱。
- 私人搜索引擎不为广告商收集您的数据。
- 广告拦截器可阻止监控您在线浏览习惯的跟踪和广告。
- 这谷歌替代产品该指南也是一个很好的概述,可帮助您沿着正确的方向前进。
当然,我们的主页直接链接到我们的许多其他指南和资源,让您在2020年及以后的发展中更上一层楼。
本期网络安全趋势报告到此结束。 在2020年保持安全可靠!
turbo v