2016年对于企业来说是充满挑战的一年,黑客通过勒索软件取得空前的成功,亚太地区的企业也不例外。 这一年我们学到的教训刻骨铭心,那就是没有一个行业是安全的, 只要您的系统有安全漏洞存在,网络黑客终归会找到它。
为确保网络安全,各家企业应抓紧2017年这一时机制定出日常安全风险评估计划。 技术上的不断创新以及互联互通程度的不断加强,正在促使商业环境不断转变,并为整个地区带来业务拓展机会。
认识到存在安全问题并不代表着要完全回避新兴科技,而是要保持理性,比网络犯罪者更快一步了解当前和潜在的威胁,以及知晓如何降低风险。
以下为我对2017年亚太地区安全形势的预测,包括:
1. 工业控制系统可能会对你不利
工业控制系统(Industrial control systems, ICS)是企业的重要组成部分,这在亚太地区尤其明显。这些系统包括建筑管理系统、暖通空调(Heating Ventilation and Air Conditioning, HVAC)以及安全门等等。
大多数企业都将他们的建筑管理系统外包,所以他们不一定知道第三方供应商是否已部署足够多的安全措施。这可能导致恶意入侵者趁虚而入,构成严重损害。
举例来说,攻击者可以将服务器机房或数据中心的温度调高到50℃,然后关闭建筑物的所有出入口,阻止外人进入将硬件转移至更安全的位置。 最后,硬件因过热而宕机,从而对业务、客户和合作伙伴造成重大的损失。
您需要考虑的是:
· 仔细想想,其实几乎所有的企业都可能会面临这样的攻击。 因此企业领导在考量安全问题时,除了基本的防御措施之外,还要考虑更多。企业需要通过第三方以及自己的网络宏观地了解其潜在弱点, 并制定方案防御潜在攻击。
· 您有没有检查过您业务所依赖的非IT设备及其安全性? 他们有没有连接到互联网,是不是由第三方管理?
· 外包的第三方有什么级别的安全保证? 他们能否向您提供有关如何确保自身安全以及他们如何保护和管理您网络系统的信息?
2. 物联网(IoT)设备将成为网络罪犯的目标
市场研究公司Gartner预测,由物联网连接起来的“物”的数量将从2015年的65亿增加到2020年的近210亿。这些连接的设备所提供的信息包罗万象:从巴士刹车片何时需要更换,到矿场上的全部机器是否在可接受的参数内运行等等,都务求带来更好的客户体验。
然而,这些连接的设备也会成为网络罪犯的目标,特别是在人们对供应商的安全性深信不疑的情况下,这一情况表现尤其突出。这些终端设备为企业的网络提供了无数个潜在的切入点,而这些切入点均需要被保护。 2016年,我们亲眼见证了第一个真正的挑战:一些受到影响的设备被僵尸网络(botnet)连接起来,用以攻击银行和互联网基础设施的关键部位。
任何一台设备,只要连接到计算机或网络时就会存在潜在的风险。这些设备的类型从CCTV摄录机到连接精密机械的微型传感器不一而足,即使是安全专家也不可能时刻将他们关注, 但是一旦被连接到互联网或由第三方管理,这些设备便有可能为业务运行带来风险。
网络犯罪分子对那些想要窃取的资料觊觎已久,并想方设法寻找切入路径。
您需要考虑的是:
· 您需要明白,物联网已经不是一个可能性的问题或者是一个未来的项目这么简单,它是现实,就在当前。所以一定要问问您的安全供应商是如何确保他们所提供设备的安全性的。 正如我们已经看到的很多个案,他们可能根本就没有采取安全措施,或者他们的设备使用的还是一些默认的用户名或密码。 所以为了您的网络安全着想,一旦这些设备连接到你的网络,以上状况就需要改正。
· 任何使用原厂设置进行安全保护的设备都会被轻易入侵。 IT经理必须更改那些标准的管理员密码以免成为攻击者的目标。
· 此外,定期检查这些设备,确保它们符合公司的安全政策。
3. 我们可能会发现勒索软件带来的影响会更恶劣
勒索软件将企业数据锁定并要求受害者支付赎金。如果您认为2016年勒索软件肆虐的情况已经非常严重,那么2017年的情况则有过之而无不及。 我们预料会有更多使用更先进技术的攻击。 如果Locky勒索软件的发现在2016年还算是个案的话,那金融恶意软件的数量将在2017年持续增加。
不幸的是,由于企业和个别受害者已经支付了相关赎金,以后这类赎金很有可能会越来越高。曾有些个案是支付赎金之后数据被解锁,然后受害者再次被攻击。 由此可见,支付赎金并不能让您的企业网络免受威胁。 我们的建议始终如一:不要支付赎金。
您需要考虑的是:
· 假若您只有少于72小时的时间来响应,那么面对攻击您是否准备好了全面备份策略和应对措施?
· 您上一次测试和验证备份是什么时候?
· 您是否已应用了基本文件阻截措施来防止威胁进入您的企业网络? 某些文件类型可能会对您的企业造成风险。 问问自己:我们应该允许所有文件,还是应该阻截可能导致问题的恶意文件类型来管理风险?
4. 我们将面临严重的数据信任危机
人们对那些他们认为安全的东西总是深信不疑或者是自欺欺人,而实际上并不安全,比如,看起来像来自某企业的机密数据被公开或可已访问,其实是由恶意组织埋下的陷阱。 无论是用哪一种方式,受害者最终都要要付上商业声誉的风险和金钱代价。
多年以来,信息安全专家一直使用被称为CIA三元组的模式,该模式着眼于机密性(Confidentiality)、可信性(Integrity) 和可用性(Availability) ,以此指导企业内部的信息安全政策。 许多组织一直将机密性视为一种方法保护其数据免遭窃取,将可用性视为一种途径来访问数据和系统,但在数据和系统的可信性上他们又花了多长时间呢?
试想一下,一个数据项目经营多年,收集信息然后进行分析,然后就被破坏掉了。例如,某能源公司花费巨资用于研究和研发,在勘探下一口油井时收集了以PB为单位的海量数据,然后这些数据被攻击者控制了,变得毫无价值可言。一旦数据的可信性被操纵,哪怕只是其中一点被改变了,那么这家能源公司就有可能在错误的位置钻探,造成时间和金钱上的浪费,甚至造成生态灾难。 这可能导致公司做出错误决定,并产生重大恶果。 同样地,一些系统被攻击后又被铲除所有痕迹的个案,结果也是一样。
另一个可怕的例子是个体化药物:一个人的遗传基因构造已被知悉并记录,因此无需试验哪种药物有效,医生便可以精确地制定合适的组合和剂量。 但如果攻击者改变了这种程序的数据,它不但影响药物的效用,还可能对患者产生长期的负面影响,甚至威胁他们的性命,所以这里牵涉的风险相当高。
我们该如何应对?
首先,所有企业都应该欢迎这些变化,因为它们是进一步将服务数字化和改善我们生活方式的方法之一。 然而,随着数字化的进一步推进,我们必须确保数据受到保护。 验证理应是所有平台在每个开发阶段以及每个供应商与客户关系中的核心步骤。 其可信性必须受到保护,未经授权的组织不得对其修改,只有获得授权的组织才能在需要时使用这些信息。
您需要考虑的是:
· 企业需要了解两个关键因素:敏感信息所在的位置以及哪些是业务运营最关键的信息。令人惊讶的是,许多企业回答不了这个问题。 这可能导致资源不合理配置:安全措施散布于整个企业中,而不是被重点部署在最需要它们的地方,从而导致购买和使用安全措施的成本增加。
· 我们的员工中谁会访问那些敏感信息? 只要知道谁有权访问这些文件和大数据,便能更清楚知道他们访问过哪些内容。
· 降低敏感信息外泄风险的关键方法是了解信息如何受到保护。 是否已部署安全方案,而它是否能供真正提供所需级别的保护,从而降低企业所面临的关键任务的风险?