→產品訊息

新聞中心

 

如何將2019年的教訓應用於2020年的安全

是什麼使高階主管們晚上起床?根據世界經濟論壇(WEF)2019年執行意見調查,這是網路攻擊。在回顧2019年時,很清楚為什麼會這樣。從醫療保健,保險到製造業和電信業,網絡犯罪分子在其計劃中不遺餘力,其中一些關鍵行業在今年的襲擊中首當其衝。毫無疑問,金融服務,保險和醫療保健已成為受歡迎的目標,因為它們接近敏感且易於貨幣化的數據。然而,更令人驚訝的是跨行業和組織的違規行為之間的相似之處。下面,我將回顧2019年以來的重大事件,擴大它們的共性,並探索進入新的一年的一些經驗教訓。

不同行業,相同原因

儘管網絡安全事件很少完全源於一個故障,但在整個2019年出現了一些重要原因和趨勢。

應用程序配置錯誤

應用程序配置錯誤是導致2019年最突出的兩次數據洩露的原因。在今年最大的一次黑客攻擊中,一名前AWS員工利用配置錯誤的Web應用程序防火牆(WAF)竊取了超過1億資本第一客戶和信用卡申請人的社會安全號碼,銀行帳號和其他敏感信息。最初被標記為內部攻擊,這是因為Capital One將其數據託管在Amazon服務器上,而該漏洞是WAF接收到過多權限的結果,這使惡意行為者能夠訪問負責發放訪問憑證的後端資源。儘管很可能既沒有共享也沒有欺詐地使用了被盜信息,但Capital One估計該事件將使公司損失了超過3億美元

第一美國金融公司(First American Financial Corporation)遭受了更為簡單的錯誤配置,這比駭客多出的是徹底的過失。公司在線客戶門戶中的一個錯誤使擁有有效第一美國文件的URL的任何人都可以修改現有URL中的數字以查看其他敏感文件。由於此設計缺陷,可訪問到2003年的驚人的8.85億客戶財務記錄。儘管沒有證據表明有人實際發現或竊取了這些信息,但《第一美國人》現在既面臨政府調查,也面臨集體訴訟

利用第三方訪問

當然,組織必須密切注意自己的網絡安全準備,但是在當今高度互聯的數字世界中,他們還必須全面審核與之互動的第三方。在2019年,Quest Diagnostics和Sprint均未進行此項盡職調查。Quest是全球最大的臨床實驗室之一,它通過外部賬單收集機構AMCA引發的洩露事件,暴露了超過1190萬患者的個人信息,包括信用卡號和社會保險號。更糟糕的是,AMCA 幾乎整整一年都沒有檢測到該漏洞,從而使攻擊者能夠緩慢地從AMCA分支機構中汲取信息,並最終迫使AMCA的母公司破產。儘管Quest逃脫瞭如此戲劇性的命運,但它既是政府調查是集體訴訟的主題

當黑客通過三星網站上的漏洞訪問客戶數據時,Sprint今年面臨著類似的情況。三星和Sprint之間建立了數字連接,從而使客戶能夠通過與Sprint的運營商交易為三星手機融資,這種安排不僅使他們的客戶受益,而且還產生了另一種需要防禦的威脅。儘管三星漏洞的確切名稱尚不清楚,但此事件進一步證明了需要通過謹慎選擇合作夥伴來保護自己。

缺少敏感數據的適當身份驗證/憑據

第三種趨勢可能適用於這篇文章中的幾乎所有違規行為,但這是至少兩起2019年網絡安全事件的主要原因。今年8月,State Farm遭受了憑證填充攻擊,攻擊者利用其他數據洩露中的用戶名和密碼登錄到其他帳戶和站點。由於人們經常對多個帳戶使用相同的密碼,因此憑據填充是一種有效的策略,並且通過其Boost Mobile子公司在Sprint的第二次黑客攻擊中使用了憑據填充。在這種情況下,未經授權的人會使用Boost數字和PIN碼來破解未知數量的客戶帳戶。

2020年要採取的主要行動

如果要在2020年改善網絡安全,則必須防止這些錯誤,並且必須解決上述漏洞。首先,公司需要更好地了解當前部署的訪問控制,技術和系統。有了這種了解,他們可以填補空白,並利用最適合其情況的技術,從而幫助他們避免諸如First American那樣的情況,在該情況下可以隨時在線不受限制地獲取數據。對於許多人,尤其是那些與外部供應商對接的人來說,零信任模型是有意義的,因為它可以連續監視和認證訪問請求。例如,在零信任的情況下,很可能會在幾天而不是幾個月內檢測到Quest Diagnostics黑客。

但是,即使沒有零信任,連續且自動的監視也至關重要。有了適當的設置,安全團隊就會收到有關憑據填充之類的攻擊的警報,並且可以在攻擊者成功之前做出響應。對於更主動的方法,IT安全還應該實施一些策略,例如,防止一個人或IP提交多個登錄請求或要求重新認證才能訪問不同的應用程序。

除了審核自己並採取上述措施外,組織還必須審核合作夥伴的安全控制,以確保他們部署控制層和多協議防禦。這意味著它們具有重疊的防禦層(例如,連續監視和多因素身份驗證),從而在整個環境中創建了冗餘和深度。

最終,目標是對安全警報(無論它們來自何處)立即採取行動,以便及時遏制和補救威脅。這意味著可見性和集成對於避免延遲驗證警報以及在不同工具之間進行轉換至關重要。例如,當McAfee MVISION EDR通過其人工智能驅動的檢測功能發現威脅時,它將立即向所有相關係統和個人發出警報,而不僅僅是McAfee內置技術。同樣,MVISION Cloud利用機器學習來識別可疑行為和訪問請求。這種自動檢測,調查和通知的類型很容易就是幾個小時內補救的孤立漏洞與數週或數月傳播的整個系統災難之間的區別。

 資料來源:https://securingtomorrow.mcafee.com/blogs/enterprise/endpoint-security/how-to-apply-the-lessons-of-2019-to-the-security-of-2020/