最近一系列备受瞩目的数据泄露事件也带来了一线希望:网络风险意识的急剧增强,推动了IT资金、现代化和协作倡议,以帮助企业和政府反击。
随着媒体大肆宣传、代价高昂的勒索软件攻击事件不断增多,私人和公共部门正联合起来,在数字黑客复杂而利润丰厚的游戏中击败他们。
今年5月发生的“殖民地管道”勒索软件事件是美国历史上针对石油基础设施的最大规模网络攻击,导致美国某些地区的汽油分销出现大规模中断。据报道,这一事件发生的几天前,美国总统乔·拜登发布了一项行政命令,旨在加强联邦政府机构、关键的国家基础设施和美国企业的数字防御。
当月晚些时候,政府公布了一份2022年的预算提案,要求向民用机构提供584亿美元的IT资金,其中5亿美元指定用于美国技术现代化基金(U.S. Technology Modernization Fund)。
在全球层面上,世界经济论坛(World Economic Forum)去年启动了它的合作打击网络犯罪这是一个由私营和公共部门组织组成的协作组织,负责在提高网络犯罪成本和增加网络犯罪风险的同时,对数字攻击制定可采取行动的应对措施。
与全球伙伴关系一样,拜登的美国网络安全命令在本质上也是合作的,部分是呼吁私营部门“与联邦政府合作,促进更安全的网络空间”。旧金山弹性保险公司(Resilience Insurance)联合创始人、联邦网络安全专家戴维斯•哈克(Davis Hake)表示,这种观点早就存在于纸面上,但最终在现实世界中得到了支持。
除了确保企业免受数据泄露带来的经济损失外,
“弹性”提供网络防御/恢复教育和解决方案,同时“与政府分享我们在私营部门的经验,并从政府与我们分享的信息中学习,”哈克说。
哈克于2014年担任白宫联邦IT安全主管
加州大学伯克利分校网络风险管理兼职教授。尽管今年7月软件工具制造商Kaseya遭到攻击,据称影响了全球800到1500家企业,但他对安全的数字化未来仍持乐观态度。据报道,在网络犯罪分子暂时摧毁了加工美国约五分之一肉类供应的工厂后,JBS食品公司在6月份支付了1,100万美元的赎金。
哈克说:“勒索软件已经开始在公众意识中引起很大的重视。”“随着攻击不仅开始袭击大公司,也开始袭击构成我们经济供应支柱的中级企业,网络安全真的成为了一个主流问题。”
哈克承认,勒索软件是最难管理的网络风险之一。当黑客对他们的商业数据进行加密,并要求大量金钱作为释放数据所需的解密密钥的回报时,这将使受损的组织陷入两难境地。传统上,受害企业要么支付赎金,要么在重建数据存储时遭受长时间的业务停机。
然而,安全专家、前Nutanix服务提供商营销主管孔阳表示,为了保护自己,一些精明的企业已经创建了“气隙”系统——不连接到可渗透网络的完整数据备份。他说,他了解一家韩国公司,这家公司最近避免了用这种方式支付犯罪人的钱,只让他们休息了一个周末。
另一方面,Nutanix首席信息安全官、加州大学伯克利分校信息学院(University of California at Berkeley School of Information)兼职教授塞巴斯蒂安·古德温(Sebastian Goodwin)表示,这些行动已经导致一些黑客转向并加大了赌注。
古德温说:“现在(黑客)可能威胁说,如果赎金要求得不到满足,他们就解密目标的数据,并将其公布在公共互联网上,或者在黑市上出售。”“在这些情况下,不可变备份不起作用。”
在这些情况下该怎么做是一个有争议的问题。美国纽约州、北卡罗来纳州和宾夕法尼亚州等几个州正在考虑立法,禁止州和地方政府机构支付网络赎金。一些私营公司已经制定了不支付的政策,不管对他们的业务造成多大的损失。
哈克承认:“支付赎金会刺激不法分子继续发动此类攻击,从而加剧问题。”但攻击者主要集中在医院和能源公司等高调目标上。如果这些组织不付钱,也不恢复,就会对人们的生活产生真正的影响。”
出于这个原因,他说,“我认为我们还没有达到可以全面禁止勒索软件支付的地步。”
杨致远说,与他交谈过的公司并不担心他们发现的或已公布的漏洞。他们最大的担忧是“他们看不到的威胁,那些没有被传统(安全监控)工具标记出来的威胁”。
在过去18个月的COVID-19大流行期间,远程工作的迅速普及增加了压力,这使得组织更容易受到证书盗窃、网络钓鱼攻击和VPN劫持的影响。
部署多因素身份验证(MFA)和端点保护软件非常重要。古德温说:“目前单是密码已经过时了,很容易被网络钓鱼邮件或暴力破解。”
杨建议说,为了检测勒索软件攻击,可以设置一个警报来查看整体CPU和内存利用率。“对于已经稳定了一段时间的系统,利用率应该是相当一致的,”他说。“当一个事件发生时,它通常会上升,因为数据集被加密了。而且,你的数据在很短的时间内几乎翻倍,因为[入侵者]正在加密另一组数据。”
确保管理员、用户和应用程序除了执行其工作所需的数据资源外,不能访问其他数据资源。此外,保持最新的软件补丁,以尽量减少任何软件漏洞的暴露。
哈克指出,首先防止袭击是理想的,但并不总是可能的。他说:“因此,加强事故响应/灾难恢复措施至关重要。”“大多数企业没有充分考虑过事故发生后马上会发生什么,以及如何迅速收拾残局,以确保事件不是灾难性的。”
通过将分析和机器学习相结合,企业可以分析过去和现在的数据,以识别“正常”的使用模式,然后训练他们的系统在出现偏差时发出警报,并有望挫败攻击。
将安全层从数据中心复制到云。许多公司都有DevOps员工在公共云上构建业务应用程序,“在那里,他们不需要请求许可就可以打开一些东西,而这些东西会让他们慢下来,”古德温说。“但只要你打开互联网上的某样东西,黑客就会立即行动。我们过去在数据中心有一堆安全工具;现在,我们需要在我们使用的每个云上都有一个类似的堆栈。”
随着软件即服务(SaaS)的兴起,像Office365、谷歌Drive、Salesforce.com和Slack这样的日常商业应用程序已经出现在互联网上。古德温警告说:“如果他们没有被锁定,你就会让一个应用程序打开,或者用一个简单的密码创建一个账户,黑客就会利用这一点。”
在不再有可识别的物理边界来保护的商业环境中,企业和政府机构必须在多个维度部署网络防御。这意味着在用户设备、管理员和用户身份验证、网络访问和应用程序级别,以及与他人的检测和缓解工作相结合。
有充分证据表明,网络安全技术人才短缺,一些精明的公司将“友好的黑客”人才众包,通过这些人才订阅HackerOne、BugCrowd和Cobalt.io等服务。
古德温说:“如果你订阅了其中一项服务,他们就会允许黑客在他们的网络中寻找你系统中的漏洞。”“如果他们找到了,你就得付费。像HackerOne这样的公司会从中抽取一部分费用,其余部分归发现漏洞的个人所有。”
哈克说:“准备好恢复至关重要,因为渗透是不可避免的。他说:“黑客只要正确一次(就能成功入侵),而我们必须正确一百万次,并且持续正确”才能把他们挡在门外。
哈克说,企业花了几十年时间来开发协调防御和共享最佳实践的方法,才能快速应对攻击。
“这不仅关乎你如何保护自己免受攻击,还关乎你如何建立抵御攻击的韧性。”
Joanie Wexler是一名特约作家和编辑,在IT和计算机网络技术的商业影响方面拥有超过25年的经验。
©2021 Nutanix公司保留所有权利。如需更多法律信息,请去这里.
