视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
您负责公司的Internet安全吗? 你管理那些人吗? 然后,您应该阅读2014年Trustwave全球安全报告。 不要被它的大小(将近100页)所拖延。 该报告的格式就像一个巨大的信息图表,因此很容易掌握它所呈现的事实。 实际上,即使您与管理网站安全无关,您也可能想读一读。 这里是一些要点。
他们如何进入?
该报告的数据来自2013年近700次Trustwave违规调查,以及来自其运营中心,安全遥测和研究的数据。 85%的漏洞利用了第三方工具中的漏洞,其中包括Java,Flash和Adobe Reader。 85%! 仅使Windows Update处于自动模式是不够的,仅使Windows更新即可。 您必须修补所有应用程序。
研究人员发现,弱密码是导致所调查的违规行为的31%。 当您为Club Penguin帐户使用“猴子”或“ 12345”之类的密码时,这已经很糟糕了。 当您使用弱密码保护企业资源或将默认密码保留在原位时,您就会被黑。
谁受到打击?
如果您认为数据泄露越来越普遍,那是对的。 总交易量比Trustwave的先前报告增加了54%。 支付卡数据自然是最受欢迎的网络抢劫形式,因为骗子可以立即将这些数据货币化。 但报告指出,非卡数据(包括内部通讯和客户记录)增长了33%。
像去年的Target惨败一样,销售点违规事件占总数的33%。 至于违反事件发生的地方,美国在受害者组织和犯罪者所在地都是第一名。
内省至关重要
在Trustwave调查的违规事件中,有71%的受害组织没有发现违规行为。 银行,合伙人,监管机构或其他第三方做出了初始报告。 平均而言,攻击者在发现漏洞之前可以控制近三个月的时间。 同样,平均而言,公司在发现问题后一周内设法控制了该问题。
对于那些自己的政策和做法表明存在违规行为的组织来说,情况看起来更好。 更好,但仍然不是很好。 该组在感染和发现之间平均还有一个月的时间。 另一方面,它们的修复统计数据非常出色,平均只有一天可以包含检测到的漏洞。
做对了
显然,每个组织都需要制定适当的政策,以确保不会发现违规行为,并提供一条清晰的遏制之路。 但是,设计不当的政策可能比没有政策要糟糕,尤其是在特许经营型组织中。
在某些情况下,对一个专营权的攻击很容易传播到该组织的总部。 当然,总部的违规行为同样可能蔓延到任何或所有专营权。 所有特许经营者使用的第三方服务也可能破坏整个系统。
数据财富
您将在此报告中找到绝对大量的数据。 它列出了数据泄露的指标,以及对每个指标的正确响应。 它解释了恶意软件活动如何运行并赚钱。 完全没有Trustwave遇到过哪些利用漏洞(Java在骗子中非常非常流行)。
该报告列出了一组流行的服务器端软件,以及正在运行易受攻击的不受支持版本的安装百分比(百分比范围为2到70)。 我可以继续下去。 不过,确实,建议您阅读完整的报告。 如果您积极参与公司网站的安全性,那绝对是必须的。
