Michael+Nadeau

工業(yè)和政府網(wǎng)絡安全專家針對在網(wǎng)絡威脅日益危險的環(huán)境中保護業(yè)務資產(chǎn)和聲譽提出了建議。

不要指望網(wǎng)絡威脅環(huán)境會在短期內(nèi)變得安全起來。這是最近兩起波士頓事件中評論人士所傳達的信息。白宮安全網(wǎng)協(xié)調(diào)員Rob Joyce在CNBC和Aspen研究所主辦的劍橋網(wǎng)絡峰會上說：“無論您采取什么措施，大方向都是錯的。不管是檢查違規(guī)行為，監(jiān)控犯罪活動、民族國家的活動，還是我們神圣的選舉，我們都心存憂慮?！?/p>

這一觀點得到了商業(yè)、網(wǎng)絡安全行業(yè)、政府情報和執(zhí)法機構(gòu)專家的認同。雖然他們描繪的畫面很糟糕，但所有發(fā)言者都樂觀地認為情況會隨著時間的推移而有所改善。然而，改善的速度取決于企業(yè)怎樣改變他們應對網(wǎng)絡安全的方式。

專家們都認為，應改變過程和態(tài)度。其實大部分企業(yè)都能夠掌握更有效的保護數(shù)據(jù)和資產(chǎn)的方法。他們提出如下建議。

做好網(wǎng)絡安全基礎工作

很多公司并沒有按照Joyce的建議去做——“應該有基本的安全阻斷和處理功能，特別是要打上補丁，有一個好的架構(gòu)，提前知道威脅會出現(xiàn)在哪里，有日志，對威脅進行監(jiān)視、觀察和處理?！彼推渌l(fā)言者都敦促各公司檢查其策略，并制定確保系統(tǒng)正常運行的流程。

至少，企業(yè)應遵循國家標準與技術(shù)研究所（NIST）的網(wǎng)絡安全框架。這樣做并不能保證不出現(xiàn)泄露事件，但它表明了已經(jīng)“盡職盡責”，如果出現(xiàn)了泄露事件，可以減輕責任。CA技術(shù)公司董事長兼首席執(zhí)行官Mike Gregoire在劍橋網(wǎng)絡峰會上說：“如果您做了所有應該做的工作來保護網(wǎng)絡，比如遵循了NIST框架，而仍然被攻破，那么被處罰的可能性不大?！?/p>

企業(yè)除非接受這個過程，否則做不好安全基礎工作。在劍橋網(wǎng)絡峰會，IBM安全總經(jīng)理Mark van Zadelhoff說，他注意到了一種“文化上的轉(zhuǎn)變，就像對待程序安全一樣，保證安全環(huán)境有類似的六西格瑪方法?！彼J為，這種方法能使企業(yè)更好地應對越來越復雜的黑客攻擊。

知道黑客最看重什么

聯(lián)邦調(diào)查局（FBI）網(wǎng)絡部門負責人Jeffrey Tricoli在InfoSecurity北美活動中說：“人們并沒有意識到公司最有價值的是什么，而黑客們更了解您資產(chǎn)的價值所在?！?/p>

例如，一家公司可能很好的保護了客戶數(shù)據(jù)，但并沒有保護好與客戶溝通的渠道。這些渠道可能成為訪問客戶系統(tǒng)和資產(chǎn)的手段。如果您知道攻擊者想要什么，就知道應該把安全工作重點放在哪里。

知道整個企業(yè)怎樣應對泄露事件

一旦出現(xiàn)泄露事件，大多數(shù)企業(yè)都有應對計劃，但并不是所有企業(yè)都經(jīng)歷過假冒攻擊。當出現(xiàn)了van Zadelhoff所說的“boom事件”時，每個人應如何應對——不僅僅是安全部門。

他建議在最壞的情況下，模擬運行一次真實的攻擊。這種經(jīng)歷不僅有助于在出現(xiàn)泄露事件時進行實際對抗，還能改善與客戶和其他受影響相關者的溝通過程。

養(yǎng)成良好的密碼安全使用習慣

密碼重用意味著如果一個帳戶被攻破，其他使用相同密碼的賬戶也處于危險之中。Joyce說：“最好不要重復使用密碼。當您聽到這些泄露事件時，說明您在那家公司也有可能成為受害者。但是攻擊者通常擁有的是您的帳戶和您使用的密碼。如果您在其他網(wǎng)站上重用這些密碼和賬戶，他們就可以在其他網(wǎng)站訪問您?！?/p>

另一個不好的做法是使用鍵盤模式作為密碼。雖然這種方法方便了密碼的使用，但黑客在其密碼數(shù)據(jù)庫中保留了這些密碼。這意味著可以使用“密碼”作為密碼，很容易進行破解。

采用雙重身份驗證（2FA）

所有發(fā)言者的共識是，傳統(tǒng)的用戶名/密碼身份認證不再是有效的威懾手段。他們敦促企業(yè)使用2FA，如果還沒有做好準備，那至少要向用戶手機發(fā)送一個驗證碼。Joyce說：“讓您擁有的一件東西與您知道的一件東西相對應，這是非常好的保護工具?！彼a充說，2FA成為政府的最佳措施。

消費者的惰性阻礙了2FA的廣泛使用。因為這增加了一個步驟才能進行訪問，不利于用戶體驗。Gregoire說：“雙重身份驗證是最低標準。這個過程感覺不太好，消費應用程序就是這種情況。保護人們的方式有很多種。問題是，客戶體驗很差，所以我們傾向于不使用2FA?！?/p>

不要使用社保號碼作為標識

Equifax泄露事件暴露了社保號碼（SSN），增強了人們對身份脆弱性的認識。Joyce說：“我真的認為，把SSN作為身份認證，或者更糟糕的是把它當成一種訪問控制手段，這是非常可怕的想法。它隨著時間的推移而不斷演變，使我們都處于危險之中。

SSN是一種標識符，當您使用它的時候，實際上是把自己置于更大的風險中，因為現(xiàn)在那些盜取身份的人有能力獲取您的錢財。您為什么一定要寫在表格上，讓第三方公開地發(fā)送，允許在全國各地，甚至整個世界范圍內(nèi)將其存儲在文件柜和記錄中——為什么要允許訪問您的財務記錄這類的東西呢？我們必須改變這一切?！?/p>

讓供應鏈/價值鏈合作伙伴有較高的安全標準

第三方組件和服務提供商成為越來越流行的攻擊途徑。它們中的許多都是小公司，防御能力比大客戶要弱，但他們經(jīng)常直接訪問客戶系統(tǒng)。這就帶來了問題，因為供應鏈上的薄弱環(huán)節(jié)往往被安全部門所忽視。

作為思科全球價值鏈的首席安全官，Edna Conway必須全面掌控思科價值鏈中的威脅態(tài)勢。首先要知道都有誰參與。她在Infosecurity北美活動上說：“如果您不知道價值鏈上都有誰，那您還有差距?！?/p>

知道都有誰參與進來，就更容易發(fā)現(xiàn)最大的風險在哪里，當出現(xiàn)供應鏈泄露事件時，找到哪一家供應商是源頭。Conway說：“對于數(shù)字化和虛擬化的產(chǎn)品而言，很難找到組件的源頭。”例如，一家ASIC供應商可能從別人的代工線那里拿貨。她說：“整個情形可能會讓人望而生畏。”

Conway還建議企業(yè)對第三方安全能力進行端到端評估。在風險容忍程度和第三方關系價值之間，您需要綜合考慮。例如，如果沒有人能替代某一供應商或者可供選擇的其他供應商也很少，那您就不得不接受較高的風險。endprint

準備好應對更多的勒索軟件攻擊

勒索軟件攻擊對于攻擊者而言實在是太有利可圖了，因此，其數(shù)量會越來越多，而且更加復雜，企業(yè)的損失也會越來越大。網(wǎng)絡犯罪現(xiàn)在更像是企業(yè)行為。專家們一致認為，遏制網(wǎng)絡犯罪最好的方法是使其付出高昂的代價。Joyce說：“我們應該從國家層面上知道怎樣改變網(wǎng)絡不法行為的成本效益?！?/p>

企業(yè)可以采取措施來抬高勒索軟件攻擊者的交易成本。勒索軟件正在成為網(wǎng)絡罪犯最大的收入來源之一，因為有太多的受害者支付了贖金。政府的指導是不要去支付贖金，因為很多人從來沒有把數(shù)據(jù)贖回來。然而，Joyce承認，最終這是“必須根據(jù)情況作出的個人決定。”

員工培訓也是關鍵。實際情況是，即使員工接受過培訓，他們有時也會點擊不應點擊的鏈接，但在這個主題上，所有發(fā)言人都認為，勒索軟件教育的確帶來了改變，應該繼續(xù)進行下去。

殺毒軟件在檢測大多數(shù)勒索軟件攻擊時表現(xiàn)非常差，而現(xiàn)在有了檢測和預防的新工具。在Infosecurity北美活動中，Cybereason首席信息安全官Israel Barak邀請與會者下載其免費的Ransomfree工具。

Ransomfree抓住了所有勒索軟件的共同點：加密的文件。該工具查找異常的文件加密過程，并聲稱保護成功率高達99%，而且它也適用于無文件攻擊。為什么它是免費的？Cybereason要求任何使用Ransomfree的人允許其系統(tǒng)把檢測到的所有勒索軟件代碼發(fā)送給Cybereason的服務器。換句話說，Ransomfree用戶成為Cybereason研究工作的數(shù)據(jù)收集器。

盡可能自動化

Palo Alto網(wǎng)絡公司的首席執(zhí)行官Mark McLaughlin在劍橋網(wǎng)絡峰會上說，網(wǎng)絡對手們使用高度自動化的策略，利用了低成本的計算能力和可用的復雜工具。他補充說，企業(yè)有很多可用的技術(shù)，但使用工具的人手不足。

要想和犯罪分子斗爭，McLaughlin敦促企業(yè)“實現(xiàn)自動化。力求采用高度自動化、精心策劃的解決方案。”

但說起來容易做起來難。McLaughlin估計，平均每家公司有來自多個供應商的64個安全解決方案。他預計未來幾年將出現(xiàn)更多的解決方案和供應商。不過，他也預見會出現(xiàn)平臺，幫助管理所有這些，并實現(xiàn)更多的自動化。

Michael Nadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢。

原文網(wǎng)址：

http：//www.csoonline.com/article/3232393/cyber-attacks-espionage/how-to-survive-the-worsening-cyber-threat-landscape.htmllendprint