Video: Flytende Propan og ELEKTROSJOKK-antenner (Oktober 2024)
Den årlige Black Hat-konferansen for informasjonssikkerhet er bare noen få uker unna. Sikkerhetsfagfolk, ledere, leverandører og hackere vil konvergere på Las Vegas for å lære og dele de aller siste sårbarhetene, forsvaret, sikkerhetshull og hackingsteknikker. I forkant av konferansen har Black Hat publisert resultatene fra en undersøkelse som spurte de beste sikkerhetseksperter om deres bekymringer og synspunkter. Du kan lese forskjellige betydninger i resultatene, men min egen takeaway er denne: Du er den svakeste lenken. (Ja, jeg mener deg.)
Respondentutvalget for undersøkelsen ble valgt for kompetanse og erfaring fra den virkelige verden. Av de 460 sikkerhetsfagfolk og ledere, kom nesten to tredjedeler fra selskaper med minst 1000 ansatte. Jobbtitler for over 60 prosent av dem inkluderer ordet "sikkerhet", og hele en fjerdedel av gruppen fungerer som organisasjonens sikkerhetssjef. Disse menneskene er i skyttergravene, og jobber utrettelig for å opprettholde sikkerheten til selskapene sine.
Bekymringer versus virkelighet
En stor del av undersøkelsen presenterte respondentene 15 sikkerhetstrusler og utfordringer. De ble bedt om å merke de tre utfordringene som bekymrer dem mest, de tre beste som tar tid og de tre som får den største andelen av budsjettet. Logisk sett skulle du tro at disse ville spore tett; i praksis er det ikke tilfelle.
Den største bekymringen av alle, 57 prosent, var å forsvare seg mot målrettede angrep, sofistikerte forsøk på å bryte sikkerheten. Imidlertid rapporterte bare 20 prosent av de spurte at de forberedte seg på og håndterer slike angrep forbrukere mye av sin tid.
Den neste mest bekymringsfulle utfordringen involverte phishing og andre sosialtekniske angrep. 46 prosent er langt over alle andre bekymringer i undersøkelsen, bortsett fra målrettede angrep. Det beste sikkerhetssystemet i verden vil ikke hjelpe hvis en uredelig melding overbeviser en av dine ansatte om å slå den av, og å rydde opp etter slike problemer kan være en virkelig bjørn. Så langt som sikkerhetsprofessorene bruker tiden sin, involverer to av de tre beste bekymringene menneskelige feil. Sosiale nettverk er en, men den aller viktigste tidssinken har å gjøre med sikkerhetsproblemer introdusert av interne utviklingsteam.
Andre bekymringer, som overvåkning fra myndighetene våre eller andre, innsideangrep og digitale angrep på Internet of Things (IoT) enheter, forbruker bare ikke den samme graden av mentale eller økonomiske ressurser. Faktisk innebærer den aller største kostnaden for respondentene i denne undersøkelsen tilfeldige lekkasjer av data fra slurvete brukere - folk, nok en gang. Også blant de få kostbare bekymringene er å håndtere menneskelige feil som setter selskapet ut av å overholde og reparere problemer forårsaket av ansatte som falt for angrep på samfunnsingeniører.
Blir vi smartere?
Respondentene ble også bedt om å ta det samme settet med 15 utfordringer og velge tre som ville være de største bekymringene om to år fra nå. Interessant nok kom alle de menneskebaserte bekymringene mye lavere på denne listen. Sikkerhetsproblemer introdusert av egenutvikling er på bunnen, med 7 prosent. Neste er feil som satte selskapet ut av samsvar, med 8 prosent. Og datatyveri av ondsinnede innsidere kommer på 9 prosent. Bekymringer for sosial ingeniørarbeid er fortsatt betydelige, men det er ikke i nærheten av toppen.
I løpet av to år føler ekspertene (36 prosent av dem) at IoT-angrep vil være den største bekymringen, etterfulgt av målrettede angrep (ned til 33 prosent fra dagens 57 prosent). Ingen av de seks beste bekymringene innebærer menneskelig feil. Det ser ut til at vi blir smartere!
Du er den svakeste lenken
Mye av resten av den omfattende undersøkelsen involverer sikkerhetsbemanning, ansettelser og karrierevekst, temaer av mindre interesse for de som ikke er direkte involvert i sikkerhetssamfunnet. Du kan lese hele rapporten her.
Et poeng fortjener definitivt oppmerksomhet. På spørsmål om hva som er den svakeste koblingen i dagens IT-sikkerhet, satte respondenter nettbaserte trusler, sikkerhetsverktøy som ikke snakker med hverandre og endepunktproblemer helt nederst på listen, og hver får bare 3 prosent av stemmene. Hva er i toppen? Over en tredjedel sa: "Sluttbrukere som bryter sikkerhetspolitikken og lett lar seg lure av angrep på sosialt teknikk."
Rapporten konkluderer med at de fleste organisasjoner ikke har nok sikkerhetspersonell, og ikke fokuserer personalets tid og budsjett på de viktigste problemene. Vurderer en karriere innen sikkerhet? Framtiden din ser rosenrød ut! Men du må finne ut hvordan du kan forhindre at ansatte utilsiktet eller avsporer din innsats.
