人人都吃过辣椒
但是将威胁网络安全的程度
用辣椒的“辣度”来表现
先声君我还是头一次见
一起来看看吧!
史高维尔指标是用于评估辣椒或食物的辣度的测量图表,它还可以用于衡量网络安全威胁程度。
网络威胁现在成为了亟待解决的大问题,到2022年,遭受袭击的人群数量预计将超过60亿。另外,到2021年,每年网络犯罪造成的损失估计将高达6万亿美元。
网络安全公司RiskIQ表示,每分钟约有1861人正在遭受网络攻击,由此造成的损失价值114万美元。看到这些令人震惊的统计数据,也许参考史高维尔指标,把不同程度的网络威胁分门别类,能帮助我们更好理解目前网络问题的严重性。
我们将用类似史高维尔指标的标准,来描述以下几种网络威胁的严重程度。
01
数据泄露
来自英国调查公司Juniper Research的数据显示,在接下来的5年中,将会有超过一千四百多亿起数据泄露。2017年年度数据泄露年终审查(身份盗窃资源中心)发现有1.94亿条包含个人和其他敏感数据的记录,还有一些数据已经在当年1月被抹去。
由于还有很多受害人没有及时报告信息,数据显示的数量说不定只是冰山一角。据皮尤研究中心(the Pew Research Center,美国的一间独立性民调机构和智库机构)称,大多数美国人(65%)已经亲身遭受过严重的数据泄露。以我们的史高维尔指标来看,数据泄露由于其不断攀升的危险程度,可以归类为“断魂椒”(Ghost Pepper)级别。
02
恶意软件
根据弗雷斯特研究公司(Forrester Research)2017年的全球安全调查,在线恶意软件有4.3亿种,数量比三年前增加了40%。恶意软件技术博客指出,2017年至少有150个国家的100,000个团体和超过40万台机器被Wannacry病毒感染,造成了约40亿美元的损失(Wannacry是一种利用NSA的“永恒之蓝”漏洞,通过程序透过互联网,对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索软件兼蠕虫病毒)。
恶意软件无处不在,我们时时刻刻都在和它们做斗争。在我们的指标中,这约等于威力较为稳定的"墨西哥辣椒”(Jalepeno Pepper)。
03
勒索软件
Cybersecurity Ventures预测,勒索软件造成的损失将在2019年升至115亿美元,每14秒就有一次攻击发生。根据迈克菲实验室2017年第四季度的威胁报告,2017年最后三个月,每秒都有8个新的恶意软件样本被发现。
思科发现勒索软件攻击次数每年增长超过350%。专家估计,有超过125个独立的勒索软件分支,而黑客已经成了隐藏恶意代码的专家。可怕的勒索软件有理由让人恐慌,就像黄灯笼辣椒(Fatali Pepper)一样危险。
分布式拒绝服务(DDoS)指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力。这种攻击通过突破简单的默认密码,定位家庭监控摄像头和路由器。DDoS就像“特立尼达辣椒”(Trinidad Pepper)一样危险,因为它可以快速的进行大规模破坏,或是造成交易瘫痪。对于零售业,金融业和医疗服务社群来说,DDoS造成的危害尤其可怕。
04
网络钓鱼
网络钓鱼是一种感染恶意软件,勒索软件和DDoS的工具。2017年Ponemon Endpoint研究所的安全风险报告称,在对1300名IT行业决策者进行调查后,发现有56%认为有针对性的网络钓鱼攻击,是他们当前面对的最大的网络安全威胁。
据分析,每天都会涌现4.6万个新的网络钓鱼站点。Webroot称,每个月平均出现138.5万个新网络钓鱼网站。最可怕的是每个人都很容易上当,毕竟这些网络钓鱼很有针对性,而不是每个人都无懈可击。在史高维尔量化表上,网络钓鱼会造成频繁,持久的伤害。我们把它评为“哈瓦那辣椒”(Habanero Pepper)级别。
05
保护物联网
随着流动性,连接性的上升和网络攻击空间的扩大,保护物联网的任务变得越来越困难。大多数分析师得出的结论是,到2020年互联网设备将超过200亿。美国战略咨询公司The Altman Vilandrie&Company于2017年4月进行的一项研究显示,美国有一半使用物联网的公司遭遇过物联网袭击。
去年,赛门铁克公司指出,物联网攻击增加了600%。分析师预测2020年将有25%关于物联网环境的网络攻击。我们将保护物联网比作“卡罗莱纳辣椒”(Carolina Reaper),每一环的链接看似无足轻重,但损坏任何一环后果都可能是毁灭性的。
缺乏熟练的网络安全工作者:由于缺乏网络安全人才,公共和私营部门都面临着重大挑战。随着公司向数字业务的发展,拥有网络安全技能的人才越来越难以觅得,而且公司用人和留人的费用也越来越高。
来自美国网络安全公司Cybersecurity Ventures的一份报告估计,到2021年,将有350万个空缺的网络安全工作。行业分析公司Enterprise Strategy Group(ESG)和信息系统安全协会(ISSA)的2017年研究项目发现,70%的网络安全专业人士声称他们的组织受到网络安全技能短缺的影响。在史高维尔指标上,我们将此评为“苏格兰博尼特”(Scotch Bonett)辣椒,虽然危险但有解决的方法,机器学习和人工智可以缓解这里的辣劲。
06
内部威胁
内部威胁可能会影响公司的运营能力,造成重大财务损失并损害声誉。IBM网络安全指数发现,60%的网络攻击都由内部而起。
根据埃森哲HfS研究报告,69%的企业安全管理人员报告说,内部人员在一年内遭遇企图盗窃或数据损坏的行为。恶意内幕入侵可能涉及盗窃知识产权、社会工程、鱼叉式网络钓鱼攻击、恶意软件、勒索软件,以及在某些情况下的破坏。这样的威胁常被忽略,因此评级为“萨维纳红椒”(Red Savina Habanero)。
07
身份盗窃
根据哈里斯民意调查的2018年在线调查显示,近6000万美国人受到身份盗窃的影响。身份欺诈率上升的原因很明显。随着我们的关联程度日益提高,对于那些试图窃取我们财务和信息的盗贼,我们也更容易受到攻击,意图破解账户并窃取我们的身份信息。
这些骗子经常通过社交媒体或电子邮件网络钓鱼来实施诈骗。数字欺诈和盗用身份密不可分,且都与数据泄露紧密相连,我们将它评级为“巧克力哈瓦辣椒”(Chocolate Habanero)。
08
加密和盗窃
加密对网络安全生态系统构成了相对较新的威胁。黑客需要运用计算能力找到并“挖掘”硬币,并在你一上线时劫持你的计算机处理器。黑客将算法脚本放在人们访问的热门网站上。你甚至可能都不知道自己被“黑”了。
趋势科技透露,2018年上半年加密漏洞采集的恶意软件检测率与去年全年相比增长了956%。此外,以加密货币支付勒索软件似乎是一种增长趋势。
最近的WannaCry和Petya勒索软件攻击者要求用比特币付款。在史高维尔指标上,我们认为它仍然算是加密的早期,威胁可能会发展,但目前的态势仍然是“塔巴斯科辣椒”(Tabasco Pepper)。
潜在的补救措施:网络安全的核心要素是风险管理:人员,流程,政策和技术。没有什么是完全无懈可击的,但有一些潜在的补救措施可以帮助我们驾驭日益恶化的网络威胁形势。
其中一些包括:人工智能与机器学习、自动化和自适应网络、生物识别和认证技术、区块链、云计算、加密/加密、网络卫生、网络保险、事故响应计划、信息威胁共享、托管安全服务、预测分析、量子计算和超级计算……
最重要的是,无论我们如何努力跟上不断上升的网络安全威胁水平,都会感觉力不从心。但我们可以提前做好准备,面对或将发生的问题。跟踪这些威胁,最终实现解决网络安全的目标。
