全球攻击面
正如我们上面提到的,保险公司可以选择通过改变保单语言来限制风险,或者如果他们认为风险太大,则干脆不向您出售保险。他们可以简单地选择不参与设立这个险种,但你别无选择。无论您的保险公司不承保什么风险,您仍然要承担风险带来的责任。民族国家、有组织犯罪、黑客活动实体和内部威胁想要我们的秘密、我们的金钱和我们的知识产权,有些人希望我们彻底灭亡。这不仅仅是戏剧性的。如果您正在阅读这本书,您可能已经接受了情况的严重性。
是什么导致违规行为急剧增加以及预期会出现更多违规行为?它被称为“攻击面”。攻击面通常定义为信息系统各种暴露的总和。它将价值暴露给不受信任的来源。您无需成为安全专家即可获得此功能。您的家、您的银行账户、您的家人和您的身份都存在攻击面。如果您作为联邦雇员或大型零售商的客户获得了身份盗窃保护,那么您就会收到攻击面的礼遇。这些公司将数字化的“你”置于犯罪分子的掌控之中。互联网直接或间接地促进了这一点。这种演变发生得很快,而且并不总是在像您这样的所有相关方知情或直接许可的情况下发生的。
攻击面的各种定义考虑了进出系统的方式、该系统的防御,有时还考虑该系统中数据的价值。有些定义指的是系统的攻击面,有些定义指的是网络的攻击面,但即使对于给定的公司来说,这两种定义也可能过于狭窄。我们还可以定义一个“企业攻击面”,它不仅包含该组织中的所有系统和网络,还包含第三方的暴露。这包括企业生态系统中的每个人,包括主要客户、供应商,也许还有政府机构。正如我们在2013年大型零售商塔吉特(Target)的数据泄露事件中看到的那样,每一个可能的连接都很重要。该漏洞来自能够访问其HVAC系统的供应商。
也许涉及所有公民、消费者和政府的总攻击面是一种“全球攻击面”:我们在使用信用卡购物时都会面临的所有系统、网络和组织的全部网络安全风险、上网浏览、接受医疗福利,甚至只是就业。这种全球攻击面是一种宏观层面的现象,由至少四个宏观层面的增长原因驱动:全球用户的增加、全球用户的多样性、发现和利用的漏洞的增长以及组织之间更加联网,从而导致“级联故障”风险。
·上网人数不断增加。从2001年到2022年,全球互联网用户增长了10倍(2001年5亿到2022年50亿)。用户数量是某些攻击面中的一个维度可能并不明显,但攻击面的某些衡量标准还包括目标的价值,该价值部分是用户数量的函数(例如,获得更多的访问权限)个人记录)。此外,在全球范围内,它在以下方面发挥着重要的乘数作用。
·每个人在网上做的事情都更多。我们已经在网上做了很多事情,而疫情加速了这一过程。2020年,即疫情爆发的第一年,电子商务增长了43%。视频会议成为疫情期间会议新常态。人均联网设备数量不断增加也带来了另一种“流行病”。物联网(IoT)构成了个人使用互联网的另一种潜在方式,即使他们没有积极参与——2019年上半年针对物联网设备的攻击增加了两倍。
·漏洞增加。前两个因素的自然结果是此类用途的利用方式数量增加。根据Mitre CVE数据库,从2005年到2015年,已知漏洞总数以每年不到8%的速度增长,然后从2016年到2021年以每年20%以上的速度增长。发现并利用这些漏洞。
·重大违规“级联”的可能性。NotPetya攻击显示了攻击对其所攻击的组织的破坏性有多大,而SolarWinds则显示了攻击的范围有多大。但即使在2013年,像前面提到的Target那样的违规行为也表明,组织之间的日常联系也可能成为攻击媒介。Target等组织拥有许多供应商,其中一些供应商又拥有多个大型企业和政府客户。绘制这个网络连接生态系统几乎是不可能的,因为它肯定需要所有这些组织泄露敏感信息。对于此列表中的前三个因素,我们所拥有的公开可用指标并不存在。但我们怀疑大多数大型组织彼此之间可能只有一到两级的分离。
在这四种趋势中,较早的趋势放大了较晚的趋势,这似乎是合理的。如果是这样,重大违规“级联”事件的风险可能是增长最快的风险。
我们天真而明显的假设?攻击面和违规行为是相关的。我们正面临攻击面和漏洞的历史性增长,这将使迄今为止所见的情况黯然失色。考虑到这一切,伦敦劳合社等保险公司的评论还不算过时,不能被视为危言耸听。即使塔吉特(Target)、圣歌(Anthem)和索尼(Sony)的大规模违规事件已经过去,我们相信我们还没有看到“大事件”。
评论