信息化觀察網(wǎng)

人人都吃過辣椒

但是將威脅網(wǎng)絡安全的程度

用辣椒的“辣度”來表現(xiàn)

先聲君我還是頭一次見

一起來看看吧！

史高維爾指標是用于評估辣椒或食物的辣度的測量圖表,它還可以用于衡量網(wǎng)絡安全威脅程度。

網(wǎng)絡威脅現(xiàn)在成為了亟待解決的大問題，到2022年，遭受襲擊的人群數(shù)量預計將超過60億。另外，到2021年，每年網(wǎng)絡犯罪造成的損失估計將高達6萬億美元。

網(wǎng)絡安全公司RiskIQ表示，每分鐘約有1861人正在遭受網(wǎng)絡攻擊,由此造成的損失價值114萬美元?？吹竭@些令人震驚的統(tǒng)計數(shù)據(jù)，也許參考史高維爾指標，把不同程度的網(wǎng)絡威脅分門別類，能幫助我們更好理解目前網(wǎng)絡問題的嚴重性。

我們將用類似史高維爾指標的標準，來描述以下幾種網(wǎng)絡威脅的嚴重程度。

01

數(shù)據(jù)泄露

來自英國調(diào)查公司Juniper Research的數(shù)據(jù)顯示，在接下來的5年中，將會有超過一千四百多億起數(shù)據(jù)泄露。2017年年度數(shù)據(jù)泄露年終審查（身份盜竊資源中心）發(fā)現(xiàn)有1.94億條包含個人和其他敏感數(shù)據(jù)的記錄，還有一些數(shù)據(jù)已經(jīng)在當年1月被抹去。

由于還有很多受害人沒有及時報告信息，數(shù)據(jù)顯示的數(shù)量說不定只是冰山一角。據(jù)皮尤研究中心（the Pew Research Center，美國的一間獨立性民調(diào)機構(gòu)和智庫機構(gòu)）稱，大多數(shù)美國人（65％）已經(jīng)親身遭受過嚴重的數(shù)據(jù)泄露。以我們的史高維爾指標來看，數(shù)據(jù)泄露由于其不斷攀升的危險程度，可以歸類為“斷魂椒”（Ghost Pepper）級別。

02

惡意軟件

根據(jù)弗雷斯特研究公司（Forrester Research）2017年的全球安全調(diào)查，在線惡意軟件有4.3億種，數(shù)量比三年前增加了40％。惡意軟件技術(shù)博客指出，2017年至少有150個國家的100,000個團體和超過40萬臺機器被Wannacry病毒感染，造成了約40億美元的損失（Wannacry是一種利用NSA的“永恒之藍”漏洞，通過程序透過互聯(lián)網(wǎng)，對全球運行Microsoft Windows操作系統(tǒng)的計算機進行攻擊的加密型勒索軟件兼蠕蟲病毒）。

惡意軟件無處不在，我們時時刻刻都在和它們做斗爭。在我們的指標中，這約等于威力較為穩(wěn)定的"墨西哥辣椒”（Jalepeno Pepper）。

03

勒索軟件

Cybersecurity Ventures預測，勒索軟件造成的損失將在2019年升至115億美元，每14秒就有一次攻擊發(fā)生。根據(jù)邁克菲實驗室2017年第四季度的威脅報告，2017年最后三個月，每秒都有8個新的惡意軟件樣本被發(fā)現(xiàn)。

思科發(fā)現(xiàn)勒索軟件攻擊次數(shù)每年增長超過350％。專家估計，有超過125個獨立的勒索軟件分支，而黑客已經(jīng)成了隱藏惡意代碼的專家?？膳碌睦账鬈浖欣碛勺屓丝只?，就像黃燈籠辣椒（Fatali Pepper）一樣危險。

分布式拒絕服務（DDoS）指借助于客戶/服務器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動攻擊，從而成倍地提高拒絕服務攻擊的威力。這種攻擊通過突破簡單的默認密碼，定位家庭監(jiān)控攝像頭和路由器。DDoS就像“特立尼達辣椒”(Trinidad Pepper)一樣危險,因為它可以快速的進行大規(guī)模破壞，或是造成交易癱瘓。對于零售業(yè)，金融業(yè)和醫(yī)療服務社群來說，DDoS造成的危害尤其可怕。

04

網(wǎng)絡釣魚

網(wǎng)絡釣魚是一種感染惡意軟件，勒索軟件和DDoS的工具。2017年P(guān)onemon Endpoint研究所的安全風險報告稱，在對1300名IT行業(yè)決策者進行調(diào)查后，發(fā)現(xiàn)有56％認為有針對性的網(wǎng)絡釣魚攻擊，是他們當前面對的最大的網(wǎng)絡安全威脅。

據(jù)分析，每天都會涌現(xiàn)4.6萬個新的網(wǎng)絡釣魚站點。Webroot稱，每個月平均出現(xiàn)138.5萬個新網(wǎng)絡釣魚網(wǎng)站。最可怕的是每個人都很容易上當,畢竟這些網(wǎng)絡釣魚很有針對性,而不是每個人都無懈可擊。在史高維爾量化表上，網(wǎng)絡釣魚會造成頻繁，持久的傷害。我們把它評為“哈瓦那辣椒”（Habanero Pepper）級別。

05

保護物聯(lián)網(wǎng)

隨著流動性，連接性的上升和網(wǎng)絡攻擊空間的擴大，保護物聯(lián)網(wǎng)的任務變得越來越困難。大多數(shù)分析師得出的結(jié)論是，到2020年互聯(lián)網(wǎng)設備將超過200億。美國戰(zhàn)略咨詢公司The Altman Vilandrie＆Company于2017年4月進行的一項研究顯示，美國有一半使用物聯(lián)網(wǎng)的公司遭遇過物聯(lián)網(wǎng)襲擊。

去年，賽門鐵克公司指出，物聯(lián)網(wǎng)攻擊增加了600％。分析師預測2020年將有25％關(guān)于物聯(lián)網(wǎng)環(huán)境的網(wǎng)絡攻擊。我們將保護物聯(lián)網(wǎng)比作“卡羅萊納辣椒”（Carolina Reaper），每一環(huán)的鏈接看似無足輕重，但損壞任何一環(huán)后果都可能是毀滅性的。

缺乏熟練的網(wǎng)絡安全工作者：由于缺乏網(wǎng)絡安全人才，公共和私營部門都面臨著重大挑戰(zhàn)。隨著公司向數(shù)字業(yè)務的發(fā)展，擁有網(wǎng)絡安全技能的人才越來越難以覓得，而且公司用人和留人的費用也越來越高。

來自美國網(wǎng)絡安全公司Cybersecurity Ventures的一份報告估計，到2021年，將有350萬個空缺的網(wǎng)絡安全工作。行業(yè)分析公司Enterprise Strategy Group（ESG）和信息系統(tǒng)安全協(xié)會（ISSA）的2017年研究項目發(fā)現(xiàn)，70％的網(wǎng)絡安全專業(yè)人士聲稱他們的組織受到網(wǎng)絡安全技能短缺的影響。在史高維爾指標上，我們將此評為“蘇格蘭博尼特”（Scotch Bonett）辣椒，雖然危險但有解決的方法，機器學習和人工智可以緩解這里的辣勁。

06

內(nèi)部威脅

內(nèi)部威脅可能會影響公司的運營能力，造成重大財務損失并損害聲譽。IBM網(wǎng)絡安全指數(shù)發(fā)現(xiàn)，60％的網(wǎng)絡攻擊都由內(nèi)部而起。

根據(jù)埃森哲HfS研究報告，69％的企業(yè)安全管理人員報告說，內(nèi)部人員在一年內(nèi)遭遇企圖盜竊或數(shù)據(jù)損壞的行為。惡意內(nèi)幕入侵可能涉及盜竊知識產(chǎn)權(quán)、社會工程、魚叉式網(wǎng)絡釣魚攻擊、惡意軟件、勒索軟件，以及在某些情況下的破壞。這樣的威脅常被忽略，因此評級為“薩維納紅椒”（Red Savina Habanero）。

07

身份盜竊

根據(jù)哈里斯民意調(diào)查的2018年在線調(diào)查顯示，近6000萬美國人受到身份盜竊的影響。身份欺詐率上升的原因很明顯。隨著我們的關(guān)聯(lián)程度日益提高，對于那些試圖竊取我們財務和信息的盜賊，我們也更容易受到攻擊，意圖破解賬戶并竊取我們的身份信息。

這些騙子經(jīng)常通過社交媒體或電子郵件網(wǎng)絡釣魚來實施詐騙。數(shù)字欺詐和盜用身份密不可分，且都與數(shù)據(jù)泄露緊密相連，我們將它評級為“巧克力哈瓦辣椒”（Chocolate Habanero）。

08

加密和盜竊

加密對網(wǎng)絡安全生態(tài)系統(tǒng)構(gòu)成了相對較新的威脅。黑客需要運用計算能力找到并“挖掘”硬幣，并在你一上線時劫持你的計算機處理器。黑客將算法腳本放在人們訪問的熱門網(wǎng)站上。你甚至可能都不知道自己被“黑”了。

趨勢科技透露，2018年上半年加密漏洞采集的惡意軟件檢測率與去年全年相比增長了956％。此外，以加密貨幣支付勒索軟件似乎是一種增長趨勢。

最近的WannaCry和Petya勒索軟件攻擊者要求用比特幣付款。在史高維爾指標上，我們認為它仍然算是加密的早期，威脅可能會發(fā)展，但目前的態(tài)勢仍然是“塔巴斯科辣椒”（Tabasco Pepper）。

潛在的補救措施：網(wǎng)絡安全的核心要素是風險管理：人員，流程，政策和技術(shù)。沒有什么是完全無懈可擊的，但有一些潛在的補救措施可以幫助我們駕馭日益惡化的網(wǎng)絡威脅形勢。

其中一些包括：人工智能與機器學習、自動化和自適應網(wǎng)絡、生物識別和認證技術(shù)、區(qū)塊鏈、云計算、加密/加密、網(wǎng)絡衛(wèi)生、網(wǎng)絡保險、事故響應計劃、信息威脅共享、托管安全服務、預測分析、量子計算和超級計算……

最重要的是，無論我們?nèi)绾闻Ω喜粩嗌仙木W(wǎng)絡安全威脅水平，都會感覺力不從心。但我們可以提前做好準備，面對或?qū)l(fā)生的問題。跟蹤這些威脅，最終實現(xiàn)解決網(wǎng)絡安全的目標。