CISO们注意了 医疗、金融、能源及基础架构已成网络安全4大攻击面

每个首席信息安全官 (CISO) 都面临着对其公司资产的持续威胁。尽管一些威胁适用于每个行业, 但医疗保健、金融服务、能源和公用事业部门的 IT 安全专家需要更加关注特定于行业的安全风险。尽管这些威胁在上述部门中最为普遍, 但所有行业的企业都容易出现类似的漏洞, 应遵守同样的安全准则。

卫生医疗风险 关键在于用户信息

电子病历 (emr) 是病人数据的标准, 并高度简化记录存储、更新和检索。与此同时, 网络犯罪领域出现了黑市,其中被盗医疗记录的售价高达每条10美元, 这是信用卡记录价值的10到20倍。医疗记录通常包括社会安全号码, 使用的药物和地址, 可以帮助攻击者进行各种非法的攻击,比例勒索软件攻击。

由于 EMR 的目的是为了方便广泛的访问, ciso负责保护这些医疗记录,防止从终端渗透,这包括医院、诊所、私人医生办公室、药店和药房等公共设施,还有数以百万计的个体患者。用户可以通过各种设备获得访问权限, 并且许多个人可能会因不同的目的,访问患者记录的各个方面。

这些变化为安全专家和网络窃贼的攻防游戏提供了一个迷宫。健康保险可携性和责任法 (HIPAA) 促使ciso 为这些数据环境负责, 并由美国卫生与福利部中的公民权利办公室 (OCR) 进行审计。

金融服务中的第四方威胁:数据连接

金融生态系统变得非常复杂, 因为数字交易将金融机构与他们的客户联系在一起, 这些客户与他们自己的客户和供应商进行数字连接。这种复杂性将 CISO 的潜在目标范围扩展到传统的第三方关系之外, 从而包括财务数据连接的第四方提供商。

随着关系的数量的增加, 监测和评估每个财务参与者脆弱性的难度也越来越多。处理第三方事务的服务提供商的安全功能,可能会影响客户的安全, 并可能会公开您的数据。

美国联邦贸易委员会 (FTC) 对一些未能向其客户提供充分保护的公司,进行了调查并采取了行动。ciso 需要了解他们的风险敞口, 并扩大他们评估金融链各个环节的能力。

能源和基础架构成为新兴的攻击面

能源部门正在大量投资于智能电表和智能配电系统。因此, 基础架构越来越依赖于智能计算服务,来管理从发电到消费的电网。对计算网络的依赖给 ciso 带来了新的挑战, 因为每个节点都代表了恶意活动的可能入口点。特别是, 诸如智能电表之类的物联网设备,可能不具备抵御持续攻击所需的强健安全保护, 并可能成为更大的电网管理系统的网关。

电网一旦出现故障, 带来的风险很大。据自然新闻, 专家估计, 美国能源网的崩溃所带来的 "饥饿, 疾病和社会崩溃",可能会杀死90% 的美国人。能源和公用事业部门的 ciso ,需要验证所有端点的安全保护, 并在其操作过程中构建复杂的智能入侵检测及防护体系。

所有 ciso 应注意特定于行业的安全威胁

在网络安全问题上, 每个行业都有各自的顾虑。上面这些例子,代表了一些最大的和最广泛使用的场景, 并扩展了网络攻击的最大目标。所有 ciso 即使他们的业务不属于这些宽泛定义的类别之一,也需要假设他们的环境在同样的程度上处于危险之中, 。

发表评论