Equifax 是新的标准吗？

Equifax 是新的标准吗？

原文：https://medium.com/hackernoon/is-equifax-the-new-normal-3b4beb279efc

组织如何及时消除安全盲点

导致 1 . 43 亿人的财务和个人数据泄露的 Equifax 事件被称为历史上最严重的企业数据泄露。犯罪分子利用了其一个网络应用程序的漏洞，窃取了客户的敏感数据长达两个多月而未被发现。此次泄密事件的影响有多严重还有待观察。

鉴于形势的严重性，人们很容易指责 Equifax 公司搞糟了形势并未能保护其客户。当然，信用评分公司有办法更好地处理这种情况。然而，在当今网络犯罪分子和组织之间的不对称战争中，Equifax 在阻止所发生的事情方面处于不利地位。虽然攻击者只需找到一个薄弱点，但安全团队必须随时监控和保护一切，这在许多情况下只能决定一个几乎注定的战斗结果。

从雅虎到 LinkedIn，再到 Verifone，越来越明显的是，这些类型的破坏性网络攻击已经成为新的常态。虽然这一“不安全时代”始于 10 多年前，但近年来变得越来越极端，有三个主要因素加剧了当前的局势:

首先，组织已经对其流程和服务的很大一部分进行了数字化，扩展了内部和云中的攻击面并使其多样化。由于组织必须管理成千上万的服务器、应用程序和数据中心，因此及时持续监控和调试一切变得异常困难。

其次，当前的解决方案依赖于用户的输入，通常需要复杂的集成。由于组织通常不知道其网络上的各种资产，如相关的第三方资产、DevOps 组件和旧环境，因此盲点经常出现，并成为潜在的诱人目标，等待攻击者利用。

第三，攻击性扫描和利用变得更加便宜，自动化程度更高，黑客可以广泛获得。网络犯罪具有极高的投资回报率，罪犯很少被抓到，而当前的法律体系对这些犯罪没有明显的威慑作用。此外，鉴于一些国家的月收入中值低于 500 美元，网络犯罪呈高增长趋势也就不足为奇了。

要改变这种趋势，我相信首先要认识到攻击者实际上是如何操作的。为情报机构工作并帮助他们建立新的攻击性安全基础设施，我明白了，对于攻击者来说，通往荣耀的道路是阻力最小的道路。与渗透测试人员和安全研究人员不同，攻击者不为解决复杂的挑战而寻求奖章或奖金。对于国家一级的行为者和个人网络罪犯来说都是如此。他们的唯一目标是在追逐信息或金钱时，以一种划算、隐秘的方式行动。

显然，组织应该始终努力在网络杀伤链中尽早消除潜在威胁，甚至最好是在侦察和探测阶段之前。因此，组织必须投入大量资源，试图了解攻击者如何看待他们的攻击面以及他们实际上可以利用什么，而不是扫描他们已经知道的资产来寻找安全问题，即使找到了，攻击者通常也不会感兴趣。我认为，这可以被视为一种思维模式的转变，从关注 CVE 和漏洞分数的讨论转变为关注攻击载体的可发现性、吸引力和可利用性。并且这只能由外部行动者或系统执行，该外部行动者或系统没有从组织接收关于目标网络或合作的预先输入。

相应地，黑盒渗透测试，即组织付钱给白帽黑客，让他们尝试访问数据，确实开始在安全领域重新流行起来。CISOs 们现在越来越多地谈论外部红队的重要性，还有雅虎的 Bob Lord！甚至最近谈到利用前网络罪犯来更好地了解对手是如何行动的。

虽然这种趋势和思维方式指向正确的方向，但服务类型本身仍然涉及各种重大问题。高质量的渗透测试非常昂贵，并且组织网络中的每一个变化(新的应用程序、服务器、配置等)。)需要一个新的渗透测试过程，实际上是从零开始。它也完全不可扩展。

因此，只有以自动和可扩展的方式有效地结合了黑盒方法的产品，才能在攻击者和防御者之间固有的不对称竞赛中成为游戏规则的改变者，对后者有利。

尽管 Equifax 是一个极端的案例，但它是网络犯罪运作方式的经典范例，并且将继续运作，除非组织采取更具攻击性的思维方式。组织必须扪心自问，他们是否能够从攻击者的角度评估他们的攻击面，正在采取什么措施来持续识别和消除严重危及他们的盲点，以及相应地，今天可以采取什么措施来确保他们不会成为下一个 Equifax。

了解更多:【www.cycognito.com