人人都吃過辣椒
但是將威脅網絡安全的程度
用辣椒的“辣度”來表現
先聲君我還是頭一次見
一起來看看吧!
全文共1579字,閱讀時長約為3分鐘
圖片來源 | 網絡
翻譯 | 翻牆君
出品 | 先聲會
本文節選/編譯自Forbes平臺的文章A Scoville Heat Scale For Measuring Cybersecurity, 原文作者 Chuck Brooks.
史高維爾指標是用於評估辣椒或食物的辣度的測量圖表,它還可以用於衡量網絡安全威脅程度。
網絡威脅現在成為了亟待解決的大問題,到2022年,遭受襲擊的人群數量預計將超過60億。另外,到2021年,每年網絡犯罪造成的損失估計將高達6萬億美元。
網絡安全公司RiskIQ表示,每分鐘約有1861人正在遭受網絡攻擊,由此造成的損失價值114萬美元。看到這些令人震驚的統計數據,也許參考史高維爾指標,把不同程度的網絡威脅分門別類,能幫助我們更好理解目前網絡問題的嚴重性。
我們將用類似史高維爾指標的標準,來描述以下幾種網絡威脅的嚴重程度。
01
數據洩露
來自英國調查公司Juniper Research的數據顯示,在接下來的5年中,將會有超過一千四百多億起數據洩露。2017年年度數據洩露年終審查(身份盜竊資源中心)發現有1.94 億條包含個人和其他敏感數據的記錄,還有一些數據已經在當年1月被抹去。
由於還有很多受害人沒有及時報告信息,數據顯示的數量說不定只是冰山一角。據皮尤研究中心(the Pew Research Center,美國的一間獨立性民調機構和智庫機構)稱,大多數美國人(65%)已經親身遭受過嚴重的數據洩露。以我們的史高維爾指標來看,數據洩露由於其不斷攀升的危險程度,可以歸類為“斷魂椒”(Ghost Pepper)級別。
02
惡意軟件
根據弗雷斯特研究公司(Forrester Research )2017年的全球安全調查,在線惡意軟件有4.3億種,數量比三年前增加了40%。惡意軟件技術博客指出,2017年至少有150個國家的100,000個團體和超過40萬臺機器被Wannacry病毒感染,造成了約40億美元的損失(Wannacry是一種利用NSA的“永恆之藍”漏洞,通過程序透過互聯網,對全球運行Microsoft Windows操作系統的計算機進行攻擊的加密型勒索軟件兼蠕蟲病毒)。
惡意軟件無處不在,我們時時刻刻都在和它們做鬥爭。在我們的指標中,這約等於威力較為穩定的"墨西哥辣椒”(Jalepeno Pepper)。
03
勒索軟件
Cybersecurity Ventures預測,勒索軟件造成的損失將在2019年升至115億美元,每14秒就有一次攻擊發生。根據邁克菲實驗室2017年第四季度的威脅報告,2017年最後三個月,每秒都有8個新的惡意軟件樣本被發現。
思科發現勒索軟件攻擊次數每年增長超過350%。專家估計,有超過125個獨立的勒索軟件分支,而黑客已經成了隱藏惡意代碼的專家。可怕的勒索軟件有理由讓人恐慌,就像黃燈籠辣椒(Fatali Pepper)一樣危險。
分佈式拒絕服務(DDoS)指藉助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動攻擊,從而成倍地提高拒絕服務攻擊的威力。這種攻擊通過突破簡單的默認密碼,定位家庭監控攝像頭和路由器。DDoS就像“特立尼達辣椒”(Trinidad Pepper)一樣危險,因為它可以快速的進行大規模破壞,或是造成交易癱瘓。對於零售業,金融業和醫療服務社群來說,DDoS造成的危害尤其可怕。
04
網絡釣魚
網絡釣魚是一種感染惡意軟件,勒索軟件和DDoS的工具。2017年Ponemon Endpoint研究所的安全風險報告稱,在對1300名IT行業決策者進行調查後,發現有56%認為有針對性的網絡釣魚攻擊,是他們當前面對的最大的網絡安全威脅。
據分析,每天都會湧現4.6萬個新的網絡釣魚站點。Webroot稱,每個月平均出現138.5萬個新網絡釣魚網站。最可怕的是每個人都很容易上當,畢竟這些網絡釣魚很有針對性,而不是每個人都無懈可擊。在史高維爾量化表上,網絡釣魚會造成頻繁,持久的傷害。我們把它評為“哈瓦那辣椒”(Habanero Pepper)級別。
05
保護物聯網
隨著流動性,連接性的上升和網絡攻擊空間的擴大,保護物聯網的任務變得越來越困難。大多數分析師得出的結論是,到2020年互聯網設備將超過200億。美國戰略諮詢公司The Altman Vilandrie&Company於2017年4月進行的一項研究顯示,美國有一半使用物聯網的公司遭遇過物聯網襲擊。
去年,賽門鐵克公司指出,物聯網攻擊增加了600%。分析師預測2020年將有25%關於物聯網環境的網絡攻擊。我們將保護物聯網比作“卡羅萊納辣椒”( Carolina Reaper),每一環的鏈接看似無足輕重,但損壞任何一環後果都可能是毀滅性的。
缺乏熟練的網絡安全工作者:由於缺乏網絡安全人才,公共和私營部門都面臨著重大挑戰。隨著公司向數字業務的發展,擁有網絡安全技能的人才越來越難以覓得,而且公司用人和留人的費用也越來越高。
來自美國網絡安全公司Cybersecurity Ventures的一份報告估計, 到2021年,將有350萬個空缺的網絡安全工作。行業分析公司Enterprise Strategy Group(ESG)和信息系統安全協會(ISSA)的2017年研究項目發現,70%的網絡安全專業人士聲稱他們的組織受到網絡安全技能短缺的影響。在史高維爾指標上,我們將此評為“蘇格蘭博尼特”(Scotch Bonett)辣椒,雖然危險但有解決的方法,機器學習和人工智可以緩解這裡的辣勁。
06
內部威脅
內部威脅可能會影響公司的運營能力,造成重大財務損失並損害聲譽。 IBM網絡安全指數發現,60%的網絡攻擊都由內部而起。
根據埃森哲HfS研究報告,69%的企業安全管理人員報告說,內部人員在一年內遭遇企圖盜竊或數據損壞的行為。惡意內幕入侵可能涉及盜竊知識產權、社會工程、魚叉式網絡釣魚攻擊、惡意軟件、勒索軟件,以及在某些情況下的破壞。這樣的威脅常被忽略,因此評級為“薩維納紅椒”(Red Savina Habanero)。
07
身份盜竊
根據哈里斯民意調查的2018年在線調查顯示,近6000萬美國人受到身份盜竊的影響。身份欺詐率上升的原因很明顯。隨著我們的關聯程度日益提高,對於那些試圖竊取我們財務和信息的盜賊,我們也更容易受到攻擊,意圖破解賬戶並竊取我們的身份信息。
這些騙子經常通過社交媒體或電子郵件網絡釣魚來實施詐騙。數字欺詐和盜用身份密不可分,且都與數據洩露緊密相連,我們將它評級為“巧克力哈瓦辣椒”( Chocolate Habanero)。
08
加密和盜竊
加密對網絡安全生態系統構成了相對較新的威脅。黑客需要運用計算能力找到並“挖掘”硬幣,並在你一上線時劫持你的計算機處理器。黑客將算法腳本放在人們訪問的熱門網站上。你甚至可能都不知道自己被“黑”了。
趨勢科技透露,2018年上半年加密漏洞採集的惡意軟件檢測率與去年全年相比增長了956%。此外,以加密貨幣支付勒索軟件似乎是一種增長趨勢。
最近的WannaCry和Petya勒索軟件攻擊者要求用比特幣付款。在史高維爾指標上,我們認為它仍然算是加密的早期,威脅可能會發展,但目前的態勢仍然是“塔巴斯科辣椒” (Tabasco Pepper)。
潛在的補救措施:網絡安全的核心要素是風險管理:人員,流程,政策和技術。沒有什麼是完全無懈可擊的,但有一些潛在的補救措施可以幫助我們駕馭日益惡化的網絡威脅形勢。
其中一些包括:人工智能與機器學習、自動化和自適應網絡、生物識別和認證技術、區塊鏈、雲計算、加密/加密、網絡衛生、網絡保險、事故響應計劃、信息威脅共享、託管安全服務、預測分析、量子計算和超級計算……
最重要的是,無論我們如何努力跟上不斷上升的網絡安全威脅水平,都會感覺力不從心。但我們可以提前做好準備,面對或將發生的問題。跟蹤這些威脅,最終實現解決網絡安全的目標。
閱讀更多 先聲會 的文章
