2014年明确表示网络犯罪影响每个人。从零售商到银行,消费商品公司和医疗保健,没有一个由网络犯罪分子的行业留下,希望扰乱,偷窃或尴尬。那么要改变什么?最近发生在索尼(Sony)的网络攻击事件以及无数其他例子表明,董事会成员和高管有必要在风险管理和业务弹性的概念下考虑网络安全问题。
毕竟,当谈到业务弹性时,大多数网络安全从业者传统上认为是连续性或灾难恢复。然而,在当今的在线世界中,术语“可用性”并不仅仅适用于具有IT功能的系统。它也适用于推动品牌资产的人员、流程和技术。简而言之,业务弹性是指一个组织识别并度过网络风暴的能力,是指处于能够减少组织暴露于伤害的位置,最重要的是,在必要时能够快速调整。
法律和责任景观也转向商业恢复运营状态,因为董事会的更多成员,风险委员会和风险管理人员对企业恢复力的负责人 - 通过与消费者,股东,监管机构和商业伙伴的监管努力或诉讼经过违规行为。
监管机构和保险公司并不指望企业能免受风险的影响,但尽职调查和应有的注意有望降低网络风险,这需要对企业面临的风险进行全面的了解。这包括对谁可能以你为目标(Actor)、他们想要什么(target)、如果他们成功了会有什么后果(Effect)以及他们将如何实施网络犯罪(Practice)的高级理解。让我们用索尼攻击来说明这些元素:
演员:民族国家赞助的“黑客行动主义”
和平卫士(GOP)和叙利亚电子军(Syrian Electronic Army)等组织代表了一种有趣的新趋势:得到民族国家支持的黑客行动主义。这些组织使用许多典型的黑客活动策略(数据泄露,网站破坏等),但直接和/或间接得到一个民族国家的支持。在索尼的案例中,似乎共和党(以及最终负责任的人)利用恶意软件、数据破坏和数据泄露来扰乱和破坏。
虽然索尼的反应行动没有完全披露,但在类似情况下,公司可以考虑的指标和对策的例子包括:
态势指标:
- 增加了对社交媒体或地下频道攻击的讨论和/或威胁
- 试图发起分布式拒绝服务攻击
- 公众面对网站的污损
- 威胁或行动暴露或组织窃取的信息
对策:
- 提高对组织行动的地缘政治和社会影响的情景意识
- 了解组织中的哪些资产有可能引发黑客活动主义者或民族国家行为者的负面反应
- 了解网络,品牌和公共关系的影响,并做好前期计划
- 部署反钓鱼技术
风险管理人员的主要经验教训:拓宽风险领域的知识范围,超越传统的基于it的学科。组织经常陷入只关注比特和字节的陷阱,但了解谁在攻击您以及为什么攻击您是至关重要的。请记住,网络攻击是由人进行的,他们被拥有你的数据的欲望所驱使。监控可能构成威胁的团体的社交媒体账户或声明。认真对待勒索威胁。据说,入侵索尼的恶意行为者有此行为发送高管们在最初泄露的三天前收到了一封电子邮件。
目标:员工数据、IP、文档和电子邮件
虽然金融漏洞和被盗的支付卡数据占据新闻头条,但大多数机构都有大量网络罪犯想要的其他数据。在索尼事件中,员工的个人信息被盗,包括银行信息、护照、社保号和医疗记录。知识产权也受到损害,包括几部尚未上映的电影、剧本和电视节目。公司文件显然也被盗,包括各种服务的数千个密码和大量电子邮件。
值得注意的是,窃取非公开数据,即使不是高度机密,也会导致问题。在索尼的案例中,泄露的内部电子邮件导致了声誉受损,并给未来的项目带来了其他潜在的麻烦。
态势指标:
- 网络罪犯和黑客活动人士经常在地下出售窃取的数据,或通过社交媒体泄露
- 法庭案件继续定义保护的程度,如围绕数据被盗和/或泄露的网络保险
对策:
- 保持对威胁状况的关注,以及哪些数据是针对与您类似的组织的
- 不要存储多余的数据
- 对您的所有数据进行分类,并了解法律和您的组织的风险容忍度要求的保护级别
- 理解,可以针对电子邮件等保护数据并用于损害组织的品牌
- 对员工进行各种数据类型的保护级别培训,这样他们就不会以不安全的方式意外地暴露关键数据
风险执行者的主要经验教训:对那些如果被破坏可能会对您的组织造成大量数字损害的主要记录系统进行分类,例如保存个人信息、健康记录、信用卡号码和知识产权的系统,并预先计划事件和违反响应行动。
影响:数据被盗/泄露,停机,财务损失
从高管到员工,所有人都受到了索尼泄密事件的影响。机密信息被泄露到网上,几名索尼员工正因此起诉公司。自从被攻击的消息传出以来,索尼的股价也大幅下跌。
态势指标:
- 读数据量激增
- 可疑的系统文件更改
- 不寻常的身份验证和网络流量
对策:
- 监视活动以捕获峰值或异常
- 通过增加对重要数据和服务的双因素身份验证等控制来控制访问
- 即使在被盗之后,加密数据以保护它
- 备份所有重要数据
风险执行的主要课程:确保您拥有事故响应(IRP)计划以及违反响应计划(BRP),他们应该是分开的和独特的。从IR到BR的过渡阶段应具有在作用和权威程度内包含的可识别决策点。在许多情况下,组织除了由违规行为造成的危害之外,他们的行为将对组织引入更多责任。
被认为用于索尼攻击的恶意软件被称为Destover或WIPER,它会删除和覆盖硬盘驱动器,破坏数据,使使用标准的取证方法恢复信息极其困难和昂贵,如果不是不可能的话。具体数字尚未公布,但索尼在硬件、软件和数据方面的成本可能是巨大的。
虽然恶意有效载荷的交付机制尚未公布发布,但它可能会归结为管理的访问权限和特权控制,允许内部人员对公司网络的访问不必要和危险程度。物理访问控制,敏感数据分类策略,数据加密和远程备份都可以为攻击中的企业恢复力贡献。
态势指标:
- 奇怪或改变的设备行为(前所未有的缓慢,不稳定的光标等)
- 网络流量和/或速度的变化可能指向数据外流或盗窃
- 钓鱼和垃圾邮件水平的增加可能意味着有针对性的攻击正在进行
- 在奇数或外部分配领域访问物理或数字资产的员工可能意味着被盗凭证被盗或内幕盗窃
对策:
- 培训员工注意和报告异常事件或设备行为
- 监视网络流量的源、目的和卷中的异常情况
- 保持软件补丁和更新
- 火车员工避免并报告网络钓鱼尝试,并定期跟进
风险执行人员的主要经验教训:仔细看看哪些IT服务应该由内部操作,而不是外包。当数据清除恶意软件或勒索软件被检测到时,通常已经来不及恢复数据了。保护公司数据最便宜、最可靠的方法是定期更新远程备份或转移到云提供商。核心业务应用程序,如电子邮件、人力资源/工资单(ERP)、用户存储和其他类似性质的服务,通常可以外包给托管在云计算中的可靠服务提供商,从而实现成本效益。
定义和管理
经过者几乎总是经过两次能力:特权升级和运动自由。否认这两个人的挑战直接与企业文化以及它与用户方便有关的关系。挑战是识别安全可用之间的最佳位置。以下是如何罢工的平衡:
- 与商业高管在安全与可用的主题中讨论诚实的讨论,并根据内部和外部负债定义本组织的“良好定位”的样子。
- 通过重点关注商业恢复力,进行数据治理和威胁评估。攻击不能总是被阻止,并且必须在成功攻击时计划一些级别的弹性。索尼攻击的联邦调查局的网络部门助理主任Joseph Demarest,“使用的恶意软件将被滑倒或可能在私营行业的净防御中被剥夺了90%的净防御,并且[可能]甚至挑战状态政府。”
- 最后,无论组织规模或监管要求如何,都要建立一个风险委员会,监督业务弹性风险,并将“网络”作为向董事会报告的整体企业风险管理计划的重点支柱。
拥有一个包括网络的业务弹性计划不仅可以在影响事件上节省资金,还可以让业务恢复得比数据丢失或泄露更快。
梅耶是网络风险情报公司SurfWatch Labs的首席安全策略师。在加入SurfWatch实验室之前,他是华盛顿大都会运输管理局(美国最大的公共交通系统之一)的CISO,也是海军空中作战中心、海军空中系统司令部的信息保障和指挥IA项目经理。2020欧洲杯夺冠热门海军主要的工程和采办司令部之一。可以联系到他adam.meyer@surfwatchlabs.com