Tech Republic的Karen Roby与身份窃资源中心首席运营官James E.Lee谈到了该组织的最新报告《2019年年底数据泄露报告》,以及人们和公司能够防止数据被黑客入侵和身份被盗的方法。以下是他们谈话的编辑记录。
詹姆斯·E·李:我们发布了我们的第15份报告,我们从2005年开始就一直这样做。特别是对企业来说,这是一份非常重要的报告。有几件事要指出。一个是,在2018年年底,我们实际上看到了数据破坏数量的减少,所以每个人都在等待着看2019年会发生什么。他们会继续下去吗?他们会保持平局,还是会像过去几年那样回去?
看:你被突破了:在接下来的48小时内要采取八个步骤(Tech Republic)
现在,我们知道了答案:2019年数据泄露率上升了17%,我们仍然有一些掉队者,刚刚被报道发生在2019年12月。对于企业来说,这些数字中有一些非常重要的趋势。一个是我们在2019年看到的一个大的新类别,它并不是一个真正的数据漏洞,而是我们所说的数据暴露,或者你可能也听过数据湖这个词,而这就是一些企业刚刚忘记在他们的云环境中设置密码的地方。
请参阅:前5名密码选择(免费PD F)(Tech Republic)
如果有人知道去哪里找的话,就会有很多非常大的公司在互联网上公开大量的数据。这是一个非常令人不安的趋势,因为在你的云上输入密码并不难。我们希望今年能有所改善,但这仍然是一个值得注意的重要趋势。
对企业来说,另一件事是,许多组织只是认为他们太小了:“坏人不会来找我,因为我是一家小企业。”我甚至可能是个“企业家”。”无所谓了。今天所有的数据都是有价值的,坏人会尽力得到它,并尽可能多地得到它。
他们做的一件事是他们会试图窃取登录和密码,他们会从任何地方得到它。然后,他们将把它加载到他们的自动化系统中,只要在他们可以在互联网上找到的任何地方开始ping帐户,看看这些凭据是否允许他们进入并访问帐户,这样他们就可以窃取更多的信息。
见:租用工具包:安全架构师(Tech Republic Premium)
无论你的业务规模如何,你都是一个目标,你需要有强大的网络安全和强大的数据卫生习惯来保护自己。超过六成的小企业表示,他们在2018年和2019年受到攻击,因此无论规模大小,企业都要注意这一点。
我们在2019年看到的第三件事,真正影响到企业的是我们所谓的供应链攻击。在那里,我的网络安全可能很好,我的数据可能是安全的,但我有一个供应商,或者我的供应链中有一个人是安全链中的薄弱环节。在我的供应商社区的人可能会受到攻击,因为他们可以通过他们的系统访问我的系统,这可能是坏人如何进入我的系统,并开始窃取我的客户数据或他们试图做的任何活动。他们可以使用赎金软件,也可以试图窃取有关个人的数据。
这些是今年报告中的关键发现,再次表明,数据泄露的数量在几年内首次回升,现在我们将拭目以待,看看这一趋势是否继续下去。
请参阅:密码管理器:如何和为什么使用它们(免费PD F)(Tech Republic)
凯伦·罗比:我知道你们谈了很多关于卫生和良好做法的事情,所以你会认为人们会知道我们必须把密码锁起来,诸如此类的事情,但这当然是值得重复的。给我们几个关于公司需要做些什么来保持安全的要点。
詹姆斯·E·李:特别是当我们谈论公司的时候,一切都是从开始到结束,在一天结束的时候,和人在一起。因为就像有数据漏洞时一样,这些数字中的每一个都代表一个客户或某人。数字背后有一个人。当数据被破坏时也是一样的。有一家公司发生了这种情况,该公司也是受害者,公司的员工、公司的团队成员以及公司本身都需要做的事情。
让我们再从那些密码开始。上班时不要使用个人密码..不要使用相同的密码不止一次,这在商业环境和个人生活中都是正确的。这是一个非常薄弱的安全实践,这就是为什么坏人今天试图窃取登录和密码,因为他们知道超过80%的人使用相同的密码不止一次。如果他们能得到密码和登录,他们就会意识到他们可能有王国的钥匙。
见:如何防止云计算的前11大威胁(免费PD F)(Tech Republic)
每次在商业账户和个人生活中使用唯一的密码。如果你跟不上所有的密码,使用密码管理器。今天写下那些密码是可以的。不要把它放在粘粘的纸条上放在显示器上,而是把它写下来,放在远离电脑的安全地方。如果你不想使用密码管理器,就可以这样做。密码本身不需要复杂,但要确保它们很长。
所以这种大写、小写、数字、符号的想法并不是真的必要的。最近围绕密码的思考更多的是,“你能记住密码吗,而且密码很长吗?”
打破一个有六个字符的密码,大约需要9秒,而如果你有一个10个字符的密码,可能需要9000天才能打破密码。所以更长的时间是更好的,并确保它是你能记住的东西-一个电影引文,一本书的引文,一些人说你的孩子和你一起传递给你,或者你从你的父母那里听到的。选择一些你能记住的很长的东西,并使用它作为你的密码。你不需要每30天重新设置一次,因为这迫使你养成那些坏习惯,“我只是要用密码1234。”我们不希望你那样做。它从家庭和工作开始,具有良好的密码安全性,良好的密码卫生。
对于企业来说,还有很多其他的事情需要他们去做。一,如果您有云环境,请确保您在云环境上有密码..没有什么比这更复杂的了。
见:IT专业人员有效补丁管理指南(免费PD F)(Tech Republic)
但你还需要做更多的事情。如果您已经将数据移动到云中,或者正在将数据移动到云中,您仍然负责安全,而不是云提供商-您是。公司认为,当我把数据转移到云端时,这是别人的责任,不,这不是......它仍然是你的责任。这仍然是您的责任,以确保您的软件,您已经投入云修补和更新。这将是企业需要采取的又一个步骤。保护你的云环境,第一。
第二,确保您的软件已经完全修补并且是最新的。这很难--我一点也不反对,但这是非常必要的。因为如果你看看攻击的根本原因,我们在2019年看到的数据破坏,数据破坏的唯一最大来源是网络攻击。网络攻击的最大原因是什么?修补已知软件缺陷的失败。非常重要的是,企业要快速修补并保持软件的更新。
凯伦·罗比:我确实喜欢这个想法,只是一些简单的东西,比如通过增加几个字符来扩展密码,听起来,真的会有很大的不同。
詹姆斯·E·李:是的,我们花了很长时间才意识到,我们给安全界和技术界的人的一些建议,我们给了人们坏的建议,因为我们告诉他们,你必须一直改变它。它一定是一系列非常复杂的数字,破折号,符号,随便什么。而来自NIST甚至主要软件制造商的最新建议,他们都在说,“你知道吗,考虑到人性,最好只需要稍微长一点(密码)和一些你能记住的东西。”实际上,这将比我们过去几年一直告诉人们的更安全。