网络软件开发商Kaseya公司首席信息安全官Jason Manar对网络犯罪最近的一些发展趋势,以及企业可以采取的网络安全措施进行了分析和阐述。
随着网络罪犯变得越来越老练,IT专业人员必须实施更强大的安全保护措施来保护他们的企业。他们需要雇佣合适的人员来满足企业的安全需求,实施安全为先的企业文化,致力于应对网络攻击。
网络安全服务商Mandiant公司表示,从最初的网络入侵到检测的时间(也称为停留时间)从24天减少到21天。这在IT社区是一个积极的发展,并表明网络安全准备工作如何减轻网络攻击者造成的潜在损害。即便如此,未经授权的一方访问IT系统的任何时间都可能是有害的。在过去的一年,看到由国家支持的网络犯罪组织(如APT10和APT41)发起的网络攻击激增,他们通常利用了软件保护中的错误配置和漏洞。
为了应对这些网络威胁,IT专业人员必须为各种网络攻击类型做好准备。事件响应计划、安全教育和桌面练习是企业管理者和员工参与创建安全优先的文化的一些方式,将数据保护放在优先位置。
以下是网络攻击最近的一些发展趋势,以及企业可以采取的加强网络安全的一些步骤。
(1)理解和减轻常见的安全威胁
从统计数据来看,网络钓鱼和社交工程攻击正在上升。今年看到包含恶意软件的网络钓鱼攻击比以往任何时候都多。据统计,填充凭证只占网络攻击的2%到3%,但这种方法正在增加。
(2)国家支持的威胁
人们将会继续看到得到国家支持的网络攻击,最常见的是端口扫描、鱼叉式网络钓鱼、凭证获取和密码喷雾技术,以获得访问企业的网络和云计算环境的权限。美国网络安全和基础设施安全局(CISA)在今年早些时候发布了一份网络安全警告,声称在俄乌冲突之后,获得国家支持的针对敌对国家的恶意活动有所增加。同样,美国网络安全和基础设施安全局、美国中央情报局(CIA)和美国国家安全局(NSA)表示,国家支持的窃取敏感数据、知识产权和个人身份信息的复杂活动有所增加。
为了应对这些威胁,美国网络安全和基础设施安全局敦促政府部门和民间组织迅速更新和修补系统,实施多因素身份验证,并要求采用强大的、唯一的密码。还敦促他们在网络边缘阻止过时或未使用的协议,升级或更换旧设备,向零信任安全模型迈进,并启用健壮的日志记录和日志监视实践。通过遵循这一指导,IT专业人员可以确保数据受到保护,免受威胁行为者的威胁。
(3)复杂的网络钓鱼攻击
网络钓鱼仍然是网络攻击组织的主要方法,一些成功的网络攻击者假冒企业高管,要求采取紧急行动或通信,似乎来自合法的金融机构。人们也在密切关注由人工智能驱动的网络攻击,这种网络攻击可以帮助威胁行为者根据窃取的数据或深度伪造的生物特征(如面部识别)预测密码。反网络钓鱼解决方案与参与员工安全培训相结合,这是促进理解和建立强大的第一道防线的关键。
(4)勒索软件攻击
根据IT安全管理软件提供商Ivanti公司的最新研究,勒索软件继续对所有行业构成威胁,自从2019年以来增长了446%。勒索软件活动在去年显著增加。根据美国联邦调查局的数据,2021年的勒索软件投诉多达2048起。
除了在索取赎金的阶段,勒索软件攻击者还可以在其他步骤中造成破坏。Mandiant公司在调查报告中声称,在进入受害者的IT系统之后,勒索软件攻击者将首先进入其内部系统。然后在进行内部侦察工作和探索被入侵的环境之前,他们将保持访问权限,同时升级特权,在不同的系统和应用程序之间横向移动。当提取了某些数据或业务操作中断时,就完成了任务。通常情况下,勒索软件攻击者会通过威胁公开发布机密信息来敲诈企业,向企业高管发送相关信息以迫使其迅速采取行动。
在最坏的情况下,企业可能会失去一切并导致倒闭。因此,IT专业人员必须经常打补丁或更新系统,以防止网络基础设施出现漏洞。企业可以采取的积极措施包括制定安全教育计划,实施定期的补丁政策,限制管理帐户和特权访问,并审计帐户访问。从密码的角度来看,定期运行安全和渗透测试也很重要,同时执行强大的密码安全策略和实现多因素身份验证。
雇佣合适的网络安全人员
现在比以往任何时候都更重要的是,确保企业为其安全团队雇佣具有正确技能的安全专业人员。许多企业正通过与大学和工程学院合作培养安全人才,确保下一代IT专业人员得到适当的培训,并准备好应对不断演变的网络安全问题。中小企业也可以通过提供强有力的内部培训计划来激励新员工在职业生涯中成长。例如,Kaseya公司的“自己成长”项目还旨在通过教育项目、导师培训和领导力发展来支持新员工。
建立安全优先的思维
如上所述,建立安全优先思维的关键是在企业内部的所有级别和团队中进行教育。安全主管必须让企业领导层了解这些程序作为集成安全堆栈的一部分来实施的价值。员工必须接受安全培训,因为他们是防范网络攻击者的第一道防线。从企业的最高领导层开始建立安全文化,并渗透到所有其他级别,这对于实现持久的安全优先思维也至关重要。
安全培训是什么样的?新员工入职时应接受安全教育。所有员工都应该定期跟踪网络钓鱼活动,以确认其安全培训是有效的,并查找可能存在的任何漏洞。随着越来越多的员工从事混合工作和远程工作,他们必须理解电子邮件安全的必要性。积分、徽章、排行榜和记分牌等形式也可以激励员工积极参与,并更好地保持学习。
创建强大的信息安全策略
强有力的信息安全政策可以从成本和声誉两方面限制风险和泄露。强有力的政策是指那些经过持续审查和审计以确保预期效果的政策。成功的策略在整个业务中建立了实际的、可执行的和可验证的流程。在创建安全策略时,需要了解这一策略的目的,目标受众是谁,以及希望实现什么目标。一定要考虑到权限、访问控制和网络安全策略、数据分类和保护、数据备份以及如何移动和保护数据。该策略还应包括安全意识培训及其执行频率、加密实践和数据备份程序,并明确定义指定人员的角色和职责。