由数字化和物联网(IoT)发展所提供的日益增长的互联性带来了巨大的发展机遇,但同时也带来了不可预见的风险和严重的漏洞,可能被利用成为新型网络犯罪形式。仅在德国,每年就有三分之二的公司遭受黑客攻击。TUV南德意志集团(以下简称“TUV南德”)关注并解析企业在2019年应该警惕的网络安全威胁。
TUV南德全球数据与网络安全服务总经理Andy Schweiger表示:“网络罪犯正在迅猛发展,并采用新的攻击形式侵入公司网络和关键基础设施。鉴于此,持续的网络安全投资对于紧跟技术发展至关重要。TUV南德是一家提供必要专业技术的第三方合作伙伴,可以帮助客户最大化利用数字化所带来的机遇。”据TUV南德的网络安全专家称,以下九大趋势已列入2019年议程:
1 - 数据保护与欧盟通用数据保护条例:一劳永逸
于2018年5月25日生效的欧盟《通用数据保护条例》(GDPR)的实施,仍对许多公司构成重大挑战。自2018年11月首例罚款案例后,各公司正面临增加对IT安全的投资的压力。然而如今,这些公司不应再依靠孤立的、基于面访的数据来保护审计,而是需要采用综合监测系统化的方法。因此,可持续数据保护需要可持续的IT安全投资。
2 - 社会工程:人员是最薄弱的环节
许多公司使用复杂的技术方法(如威胁情报服务和渗透测试)来识别IT漏洞,但遗憾的是,他们忽视了员工的IT安全培训。然而,“社会工程”早已成为每个网络罪犯武器库中的标准武器。其中“首席执行官欺诈”(CEO fraud)行为一定不会令人感到陌生,即,不法分子涉及冒充首席执行官,发送一封貌似真实的网络钓鱼电子邮件。TUV南德所提供的专业信息、教育和培训有助于最大限度的降低这种风险。社会工程诈骗相对容易建立,并将在2019年还会继续增加。
3 - “影子IT”的崛起:拔掉插头
新IT环境投资或公司收购代表了复杂且往往极具挑战性的项目。在这种情况下,公司经常忘记断开已经陈旧的或不再需要的设备。这种被称为“影子IT”的旧设备在不受支持的操作系统上和缺少安全补丁的情况下运行,为网络罪犯侵入公司网络提供了便利。通过持续监控IT基础设施的安全性和清除陈旧的设备和软件,可以最大限度地降低风险。
4 - 智能工厂:从一开始就将安全性纳入考虑范围
为了利用工业物联网(IIoT)提供的机会,各公司投资于互联生产设施。因为以后保护这些互联设施免受网络攻击是一个复杂和高成本的过程,TUV南德建议应从一开始就将安全性纳入该过程的考虑范围。根据德国联邦资讯安全局(BSI)的数据,在2017年,德国约70%的公司都成为黑客攻击的目标。漏洞扫描和深入的安全性评估(如TUV南德提供的评估)可帮助公司评估其工业设施的安全状态。
5 - 克服语言障碍:促进专家与高管之间的沟通
越来越多的公司正将网络安全上升至管理问题。鉴于此,网络安全不仅成为IT经理关注的焦点话题,也日益成为运营业务中C级管理层的焦点话题。但是,高管和IT专家经常使用不同的语言,并且在许多问题上采用截然不同的观点。在这种情况下,适合各自目标群体的沟通会有所帮助。否则,沟通问题可能会延迟对IT安全的必要投资。
6 - 加密货币挖矿与勒索软件:挖矿,而非破坏
据德国科技行业协会Bitkom的数据,在2016年和2017年,仅德国公司就遭受了恶意软件造成的430亿欧元的损失。在2019年,专家预计加密货币挖矿将有更大的发展趋势。与损坏或窃取数据不同,加密货币挖矿使用公司的IT基础设施在基础设施所有者不知情的情况下,对加密数字货币进行CPU密集型挖掘。设计安全性,即从设计和开发阶段开始就考虑软件和硬件的安全性需求,是避免以后出现安全漏洞的一种可能的解决方案。
7 - 网络罪犯也使用人工智能
网络攻击越来越多地使用机器学习和人工智能来实现。模式匹配,即根据已知模式检查值,已经不足以抵御这些攻击。鉴于此,公司应专注于异常识别,并在网络安全工作中使用人工智能(AI)。通过这种方法,他们可以在早期识别异常活动。
8 - 云安全:安全加密
据Bitkom的一项调查显示,57%接受调查的首席执行官和IT高管表示,他们认为将公司数据存储在公共云“非常安全”或“相对安全”。与TUV南德及其子公司Uniscon提供的加密云存储一样,加密云存储是提供最高级别安全性和符合数据保护法规的解决方案。数据传输和存储是加密的,无法访问,甚至云服务提供商也无法访问。
9 -国家攻击
由为政府工作的黑客发动的大规模专业网络攻击将在2019年继续增加。有鉴于此,软件供应商的原产地应成为网络安全软件购买决策的一个因素。TUV南德作为第三方合作伙伴,正协助企业寻求最佳解决方案。