怎樣在網(wǎng)絡(luò)威脅日益惡化的環(huán)境中生存下去

Michael+Nadeau

工業(yè)和政府網(wǎng)絡(luò)安全專家針對(duì)在網(wǎng)絡(luò)威脅日益危險(xiǎn)的環(huán)境中保護(hù)業(yè)務(wù)資產(chǎn)和聲譽(yù)提出了建議。

不要指望網(wǎng)絡(luò)威脅環(huán)境會(huì)在短期內(nèi)變得安全起來。這是最近兩起波士頓事件中評(píng)論人士所傳達(dá)的信息。白宮安全網(wǎng)協(xié)調(diào)員Rob Joyce在CNBC和Aspen研究所主辦的劍橋網(wǎng)絡(luò)峰會(huì)上說：“無論您采取什么措施，大方向都是錯(cuò)的。不管是檢查違規(guī)行為，監(jiān)控犯罪活動(dòng)、民族國(guó)家的活動(dòng)，還是我們神圣的選舉，我們都心存憂慮。”

這一觀點(diǎn)得到了商業(yè)、網(wǎng)絡(luò)安全行業(yè)、政府情報(bào)和執(zhí)法機(jī)構(gòu)專家的認(rèn)同。雖然他們描繪的畫面很糟糕，但所有發(fā)言者都樂觀地認(rèn)為情況會(huì)隨著時(shí)間的推移而有所改善。然而，改善的速度取決于企業(yè)怎樣改變他們應(yīng)對(duì)網(wǎng)絡(luò)安全的方式。

專家們都認(rèn)為，應(yīng)改變過程和態(tài)度。其實(shí)大部分企業(yè)都能夠掌握更有效的保護(hù)數(shù)據(jù)和資產(chǎn)的方法。他們提出如下建議。

做好網(wǎng)絡(luò)安全基礎(chǔ)工作

很多公司并沒有按照J(rèn)oyce的建議去做——“應(yīng)該有基本的安全阻斷和處理功能，特別是要打上補(bǔ)丁，有一個(gè)好的架構(gòu)，提前知道威脅會(huì)出現(xiàn)在哪里，有日志，對(duì)威脅進(jìn)行監(jiān)視、觀察和處理。”他和其他發(fā)言者都敦促各公司檢查其策略，并制定確保系統(tǒng)正常運(yùn)行的流程。

至少，企業(yè)應(yīng)遵循國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）的網(wǎng)絡(luò)安全框架。這樣做并不能保證不出現(xiàn)泄露事件，但它表明了已經(jīng)“盡職盡責(zé)”，如果出現(xiàn)了泄露事件，可以減輕責(zé)任。CA技術(shù)公司董事長(zhǎng)兼首席執(zhí)行官M(fèi)ike Gregoire在劍橋網(wǎng)絡(luò)峰會(huì)上說：“如果您做了所有應(yīng)該做的工作來保護(hù)網(wǎng)絡(luò)，比如遵循了NIST框架，而仍然被攻破，那么被處罰的可能性不大。”

企業(yè)除非接受這個(gè)過程，否則做不好安全基礎(chǔ)工作。在劍橋網(wǎng)絡(luò)峰會(huì)，IBM安全總經(jīng)理Mark van Zadelhoff說，他注意到了一種“文化上的轉(zhuǎn)變，就像對(duì)待程序安全一樣，保證安全環(huán)境有類似的六西格瑪方法。”他認(rèn)為，這種方法能使企業(yè)更好地應(yīng)對(duì)越來越復(fù)雜的黑客攻擊。

知道黑客最看重什么

聯(lián)邦調(diào)查局（FBI）網(wǎng)絡(luò)部門負(fù)責(zé)人Jeffrey Tricoli在InfoSecurity北美活動(dòng)中說：“人們并沒有意識(shí)到公司最有價(jià)值的是什么，而黑客們更了解您資產(chǎn)的價(jià)值所在。”

例如，一家公司可能很好的保護(hù)了客戶數(shù)據(jù)，但并沒有保護(hù)好與客戶溝通的渠道。這些渠道可能成為訪問客戶系統(tǒng)和資產(chǎn)的手段。如果您知道攻擊者想要什么，就知道應(yīng)該把安全工作重點(diǎn)放在哪里。

知道整個(gè)企業(yè)怎樣應(yīng)對(duì)泄露事件

一旦出現(xiàn)泄露事件，大多數(shù)企業(yè)都有應(yīng)對(duì)計(jì)劃，但并不是所有企業(yè)都經(jīng)歷過假冒攻擊。當(dāng)出現(xiàn)了van Zadelhoff所說的“boom事件”時(shí)，每個(gè)人應(yīng)如何應(yīng)對(duì)——不僅僅是安全部門。

他建議在最壞的情況下，模擬運(yùn)行一次真實(shí)的攻擊。這種經(jīng)歷不僅有助于在出現(xiàn)泄露事件時(shí)進(jìn)行實(shí)際對(duì)抗，還能改善與客戶和其他受影響相關(guān)者的溝通過程。

養(yǎng)成良好的密碼安全使用習(xí)慣

密碼重用意味著如果一個(gè)帳戶被攻破，其他使用相同密碼的賬戶也處于危險(xiǎn)之中。Joyce說：“最好不要重復(fù)使用密碼。當(dāng)您聽到這些泄露事件時(shí)，說明您在那家公司也有可能成為受害者。但是攻擊者通常擁有的是您的帳戶和您使用的密碼。如果您在其他網(wǎng)站上重用這些密碼和賬戶，他們就可以在其他網(wǎng)站訪問您。”

另一個(gè)不好的做法是使用鍵盤模式作為密碼。雖然這種方法方便了密碼的使用，但黑客在其密碼數(shù)據(jù)庫(kù)中保留了這些密碼。這意味著可以使用“密碼”作為密碼，很容易進(jìn)行破解。

采用雙重身份驗(yàn)證（2FA）

所有發(fā)言者的共識(shí)是，傳統(tǒng)的用戶名/密碼身份認(rèn)證不再是有效的威懾手段。他們敦促企業(yè)使用2FA，如果還沒有做好準(zhǔn)備，那至少要向用戶手機(jī)發(fā)送一個(gè)驗(yàn)證碼。Joyce說：“讓您擁有的一件東西與您知道的一件東西相對(duì)應(yīng)，這是非常好的保護(hù)工具。”他補(bǔ)充說，2FA成為政府的最佳措施。

消費(fèi)者的惰性阻礙了2FA的廣泛使用。因?yàn)檫@增加了一個(gè)步驟才能進(jìn)行訪問，不利于用戶體驗(yàn)。Gregoire說：“雙重身份驗(yàn)證是最低標(biāo)準(zhǔn)。這個(gè)過程感覺不太好，消費(fèi)應(yīng)用程序就是這種情況。保護(hù)人們的方式有很多種。問題是，客戶體驗(yàn)很差，所以我們傾向于不使用2FA。”

不要使用社保號(hào)碼作為標(biāo)識(shí)

Equifax泄露事件暴露了社保號(hào)碼（SSN），增強(qiáng)了人們對(duì)身份脆弱性的認(rèn)識(shí)。Joyce說：“我真的認(rèn)為，把SSN作為身份認(rèn)證，或者更糟糕的是把它當(dāng)成一種訪問控制手段，這是非常可怕的想法。它隨著時(shí)間的推移而不斷演變，使我們都處于危險(xiǎn)之中。

SSN是一種標(biāo)識(shí)符，當(dāng)您使用它的時(shí)候，實(shí)際上是把自己置于更大的風(fēng)險(xiǎn)中，因?yàn)楝F(xiàn)在那些盜取身份的人有能力獲取您的錢財(cái)。您為什么一定要寫在表格上，讓第三方公開地發(fā)送，允許在全國(guó)各地，甚至整個(gè)世界范圍內(nèi)將其存儲(chǔ)在文件柜和記錄中——為什么要允許訪問您的財(cái)務(wù)記錄這類的東西呢？我們必須改變這一切。”

讓供應(yīng)鏈/價(jià)值鏈合作伙伴有較高的安全標(biāo)準(zhǔn)

第三方組件和服務(wù)提供商成為越來越流行的攻擊途徑。它們中的許多都是小公司，防御能力比大客戶要弱，但他們經(jīng)常直接訪問客戶系統(tǒng)。這就帶來了問題，因?yàn)楣?yīng)鏈上的薄弱環(huán)節(jié)往往被安全部門所忽視。

作為思科全球價(jià)值鏈的首席安全官，Edna Conway必須全面掌控思科價(jià)值鏈中的威脅態(tài)勢(shì)。首先要知道都有誰參與。她在Infosecurity北美活動(dòng)上說：“如果您不知道價(jià)值鏈上都有誰，那您還有差距。”

知道都有誰參與進(jìn)來，就更容易發(fā)現(xiàn)最大的風(fēng)險(xiǎn)在哪里，當(dāng)出現(xiàn)供應(yīng)鏈泄露事件時(shí)，找到哪一家供應(yīng)商是源頭。Conway說：“對(duì)于數(shù)字化和虛擬化的產(chǎn)品而言，很難找到組件的源頭。”例如，一家ASIC供應(yīng)商可能從別人的代工線那里拿貨。她說：“整個(gè)情形可能會(huì)讓人望而生畏。”

Conway還建議企業(yè)對(duì)第三方安全能力進(jìn)行端到端評(píng)估。在風(fēng)險(xiǎn)容忍程度和第三方關(guān)系價(jià)值之間，您需要綜合考慮。例如，如果沒有人能替代某一供應(yīng)商或者可供選擇的其他供應(yīng)商也很少，那您就不得不接受較高的風(fēng)險(xiǎn)。endprint

準(zhǔn)備好應(yīng)對(duì)更多的勒索軟件攻擊

勒索軟件攻擊對(duì)于攻擊者而言實(shí)在是太有利可圖了，因此，其數(shù)量會(huì)越來越多，而且更加復(fù)雜，企業(yè)的損失也會(huì)越來越大。網(wǎng)絡(luò)犯罪現(xiàn)在更像是企業(yè)行為。專家們一致認(rèn)為，遏制網(wǎng)絡(luò)犯罪最好的方法是使其付出高昂的代價(jià)。Joyce說：“我們應(yīng)該從國(guó)家層面上知道怎樣改變網(wǎng)絡(luò)不法行為的成本效益。”

企業(yè)可以采取措施來抬高勒索軟件攻擊者的交易成本。勒索軟件正在成為網(wǎng)絡(luò)罪犯最大的收入來源之一，因?yàn)橛刑嗟氖芎φ咧Ц读粟H金。政府的指導(dǎo)是不要去支付贖金，因?yàn)楹芏嗳藦膩頉]有把數(shù)據(jù)贖回來。然而，Joyce承認(rèn)，最終這是“必須根據(jù)情況作出的個(gè)人決定。”

員工培訓(xùn)也是關(guān)鍵。實(shí)際情況是，即使員工接受過培訓(xùn)，他們有時(shí)也會(huì)點(diǎn)擊不應(yīng)點(diǎn)擊的鏈接，但在這個(gè)主題上，所有發(fā)言人都認(rèn)為，勒索軟件教育的確帶來了改變，應(yīng)該繼續(xù)進(jìn)行下去。

殺毒軟件在檢測(cè)大多數(shù)勒索軟件攻擊時(shí)表現(xiàn)非常差，而現(xiàn)在有了檢測(cè)和預(yù)防的新工具。在Infosecurity北美活動(dòng)中，Cybereason首席信息安全官Israel Barak邀請(qǐng)與會(huì)者下載其免費(fèi)的Ransomfree工具。

Ransomfree抓住了所有勒索軟件的共同點(diǎn)：加密的文件。該工具查找異常的文件加密過程，并聲稱保護(hù)成功率高達(dá)99%，而且它也適用于無文件攻擊。為什么它是免費(fèi)的？Cybereason要求任何使用Ransomfree的人允許其系統(tǒng)把檢測(cè)到的所有勒索軟件代碼發(fā)送給Cybereason的服務(wù)器。換句話說，Ransomfree用戶成為Cybereason研究工作的數(shù)據(jù)收集器。

盡可能自動(dòng)化

Palo Alto網(wǎng)絡(luò)公司的首席執(zhí)行官M(fèi)ark McLaughlin在劍橋網(wǎng)絡(luò)峰會(huì)上說，網(wǎng)絡(luò)對(duì)手們使用高度自動(dòng)化的策略，利用了低成本的計(jì)算能力和可用的復(fù)雜工具。他補(bǔ)充說，企業(yè)有很多可用的技術(shù)，但使用工具的人手不足。

要想和犯罪分子斗爭(zhēng)，McLaughlin敦促企業(yè)“實(shí)現(xiàn)自動(dòng)化。力求采用高度自動(dòng)化、精心策劃的解決方案。”

但說起來容易做起來難。McLaughlin估計(jì)，平均每家公司有來自多個(gè)供應(yīng)商的64個(gè)安全解決方案。他預(yù)計(jì)未來幾年將出現(xiàn)更多的解決方案和供應(yīng)商。不過，他也預(yù)見會(huì)出現(xiàn)平臺(tái)，幫助管理所有這些，并實(shí)現(xiàn)更多的自動(dòng)化。

Michael Nadeau是CSO在線的高級(jí)編輯。他是雜志、書籍和知識(shí)庫(kù)出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢(shì)。

原文網(wǎng)址：

http：//www.csoonline.com/article/3232393/cyber-attacks-espionage/how-to-survive-the-worsening-cyber-threat-landscape.htmllendprint