2016年對(duì)于企業(yè)來(lái)說(shuō)是充滿挑戰(zhàn)的一年,黑客通過(guò)勒索軟件取得空前的成功,亞太地區(qū)的企業(yè)也不例外。 這一年我們學(xué)到的教訓(xùn)刻骨銘心,那就是沒(méi)有一個(gè)行業(yè)是安全的, 只要您的系統(tǒng)有安全漏洞存在,網(wǎng)絡(luò)黑客終歸會(huì)找到它。
為確保網(wǎng)絡(luò)安全,各家企業(yè)應(yīng)抓緊2017年這一時(shí)機(jī)制定出日常安全風(fēng)險(xiǎn)評(píng)估計(jì)劃。 技術(shù)上的不斷創(chuàng)新以及互聯(lián)互通程度的不斷加強(qiáng),正在促使商業(yè)環(huán)境不斷轉(zhuǎn)變,并為整個(gè)地區(qū)帶來(lái)業(yè)務(wù)拓展機(jī)會(huì)。
認(rèn)識(shí)到存在安全問(wèn)題并不代表著要完全回避新興科技,而是要保持理性,比網(wǎng)絡(luò)犯罪者更快一步了解當(dāng)前和潛在的威脅,以及知曉如何降低風(fēng)險(xiǎn)。
以下為Palo Alto Networks 大中華區(qū)總裁陳文俊對(duì)2017年亞太地區(qū)安全形勢(shì)的預(yù)測(cè),包括:
工業(yè)控制系統(tǒng)可能會(huì)對(duì)你不利工業(yè)控制系統(tǒng)(Industrial control systems, ICS)是企業(yè)的重要組成部分,這在亞太地區(qū)尤其明顯。這些系統(tǒng)包括建筑管理系統(tǒng)、暖通空調(diào)(Heating Ventilation and Air Conditioning, HVAC)以及安全門等等。
大多數(shù)企業(yè)都將他們的建筑管理系統(tǒng)外包,所以他們不一定知道第三方供應(yīng)商是否已部署足夠多的安全措施。這可能導(dǎo)致惡意入侵者趁虛而入,構(gòu)成嚴(yán)重?fù)p害。
舉例來(lái)說(shuō),攻擊者可以將服務(wù)器機(jī)房或數(shù)據(jù)中心的溫度調(diào)高到50℃,然后關(guān)閉建筑物的所有出入口,阻止外人進(jìn)入將硬件轉(zhuǎn)移至更安全的位置。 最后,硬件因過(guò)熱而宕機(jī),從而對(duì)業(yè)務(wù)、客戶和合作伙伴造成重大的損失。
需要考慮的是:
仔細(xì)想想,其實(shí)幾乎所有的企業(yè)都可能會(huì)面臨這樣的攻擊。 因此企業(yè)領(lǐng)導(dǎo)在考量安全問(wèn)題時(shí),除了基本的防御措施之外,還要考慮更多。企業(yè)需要通過(guò)第三方以及自己的網(wǎng)絡(luò)宏觀地了解其潛在弱點(diǎn), 并制定方案防御潛在攻擊。有沒(méi)有檢查過(guò)您業(yè)務(wù)所依賴的非IT設(shè)備及其安全性? 他們有沒(méi)有連接到互聯(lián)網(wǎng),是不是由第三方管理?外包的第三方有什么級(jí)別的安全保證? 他們能否提供有關(guān)如何確保自身安全以及他們?nèi)绾伪Wo(hù)和管理您網(wǎng)絡(luò)系統(tǒng)的信息?2. 物聯(lián)網(wǎng)(IoT)設(shè)備將成為網(wǎng)絡(luò)罪犯的目標(biāo)
市場(chǎng)研究公司Gartner預(yù)測(cè),由物聯(lián)網(wǎng)連接起來(lái)的“物”的數(shù)量將從2015年的65億增加到2020年的近210億。這些連接的設(shè)備所提供的信息包羅萬(wàn)象:從巴士剎車片何時(shí)需要更換,到礦場(chǎng)上的全部機(jī)器是否在可接受的參數(shù)內(nèi)運(yùn)行等等,都務(wù)求帶來(lái)更好的客戶體驗(yàn)。
然而,這些連接的設(shè)備也會(huì)成為網(wǎng)絡(luò)罪犯的目標(biāo),特別是在人們對(duì)供應(yīng)商的安全性深信不疑的情況下,這一情況表現(xiàn)尤其突出。這些終端設(shè)備為企業(yè)的網(wǎng)絡(luò)提供了無(wú)數(shù)個(gè)潛在的切入點(diǎn),而這些切入點(diǎn)均需要被保護(hù)。 2016年,我們親眼見(jiàn)證了第一個(gè)真正的挑戰(zhàn):一些受到影響的設(shè)備被僵尸網(wǎng)絡(luò)(botnet)連接起來(lái),用以攻擊銀行和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的關(guān)鍵部位。
任何一臺(tái)設(shè)備,只要連接到計(jì)算機(jī)或網(wǎng)絡(luò)時(shí)就會(huì)存在潛在的風(fēng)險(xiǎn)。這些設(shè)備的類型從CCTV攝錄機(jī)到連接精密機(jī)械的微型傳感器不一而足,即使是安全專家也不可能時(shí)刻將他們關(guān)注, 但是一旦被連接到互聯(lián)網(wǎng)或由第三方管理,這些設(shè)備便有可能為業(yè)務(wù)運(yùn)行帶來(lái)風(fēng)險(xiǎn)。
網(wǎng)絡(luò)犯罪分子對(duì)那些想要竊取的資料覬覦已久,并想方設(shè)法尋找切入路徑。
需要考慮的是:
物聯(lián)網(wǎng)已經(jīng)不是一個(gè)可能性的問(wèn)題或者是一個(gè)未來(lái)的項(xiàng)目這么簡(jiǎn)單,它是現(xiàn)實(shí),就在當(dāng)前。所以一定要了解企業(yè)安全供應(yīng)商是如何確保他們所提供設(shè)備的安全性的。 正如我們已經(jīng)看到的很多個(gè)案,他們可能根本就沒(méi)有采取安全措施,或者他們的設(shè)備使用的還是一些默認(rèn)的用戶名或密碼。 所以為了企業(yè)網(wǎng)絡(luò)安全著想,一旦這些設(shè)備連接到你的網(wǎng)絡(luò),以上狀況就需要改正。任何使用原廠設(shè)置進(jìn)行安全保護(hù)的設(shè)備都會(huì)被輕易入侵。 IT經(jīng)理必須更改那些標(biāo)準(zhǔn)的管理員密碼以免成為攻擊者的目標(biāo)。此外,定期檢查這些設(shè)備,確保它們符合公司的安全政策。3. 我們可能會(huì)發(fā)現(xiàn)勒索軟件帶來(lái)的影響會(huì)更惡劣
勒索軟件將企業(yè)數(shù)據(jù)鎖定并要求受害者支付贖金。如果您認(rèn)為2016年勒索軟件肆虐的情況已經(jīng)非常嚴(yán)重,那么2017年的情況則有過(guò)之而無(wú)不及。 我們預(yù)料會(huì)有更多使用更先進(jìn)技術(shù)的攻擊。 如果Locky勒索軟件的發(fā)現(xiàn)在2016年還算是個(gè)案的話,那金融惡意軟件的數(shù)量將在2017年持續(xù)增加。
不幸的是,由于企業(yè)和個(gè)別受害者已經(jīng)支付了相關(guān)贖金,以后這類贖金很有可能會(huì)越來(lái)越高。曾有些個(gè)案是支付贖金之后數(shù)據(jù)被解鎖,然后受害者再次被攻擊。 由此可見(jiàn),支付贖金并不能讓您的企業(yè)網(wǎng)絡(luò)免受威脅。 我們的建議始終如一:不要支付贖金。
需要考慮的是:
假若您只有少于72小時(shí)的時(shí)間來(lái)響應(yīng),那么面對(duì)攻擊您是否準(zhǔn)備好了全面?zhèn)浞莶呗院蛻?yīng)對(duì)措施?您上一次測(cè)試和驗(yàn)證備份是什么時(shí)候?您是否已應(yīng)用了基本文件阻截措施來(lái)防止威脅進(jìn)入您的企業(yè)網(wǎng)絡(luò)? 某些文件類型可能會(huì)對(duì)您的企業(yè)造成風(fēng)險(xiǎn)。 問(wèn)問(wèn)自己:我們應(yīng)該允許所有文件,還是應(yīng)該阻截可能導(dǎo)致問(wèn)題的惡意文件類型來(lái)管理風(fēng)險(xiǎn)?4. 我們將面臨嚴(yán)重的數(shù)據(jù)信任危機(jī)
人們對(duì)那些他們認(rèn)為安全的東西總是深信不疑或者是自欺欺人,而實(shí)際上并不安全,比如,看起來(lái)像來(lái)自某企業(yè)的機(jī)密數(shù)據(jù)被公開或可已訪問(wèn),其實(shí)是由惡意組織埋下的陷阱。 無(wú)論是用哪一種方式,受害者最終都要要付上商業(yè)聲譽(yù)的風(fēng)險(xiǎn)和金錢代價(jià)。
多年以來(lái),信息安全專家一直使用被稱為CIA三元組的模式,該模式著眼于機(jī)密性(Confidentiality)、可信性(Integrity) 和可用性(Availability) ,以此指導(dǎo)企業(yè)內(nèi)部的信息安全政策。 許多組織一直將機(jī)密性視為一種方法保護(hù)其數(shù)據(jù)免遭竊取,將可用性視為一種途徑來(lái)訪問(wèn)數(shù)據(jù)和系統(tǒng),但在數(shù)據(jù)和系統(tǒng)的可信性上他們又花了多長(zhǎng)時(shí)間呢?
試想一下,一個(gè)數(shù)據(jù)項(xiàng)目經(jīng)營(yíng)多年,收集信息然后進(jìn)行分析,然后就被破壞掉了。例如,某能源公司花費(fèi)巨資用于研究和研發(fā),在勘探下一口油井時(shí)收集了以PB為單位的海量數(shù)據(jù),然后這些數(shù)據(jù)被攻擊者控制了,變得毫無(wú)價(jià)值可言。一旦數(shù)據(jù)的可信性被操縱,哪怕只是其中一點(diǎn)被改變了,那么這家能源公司就有可能在錯(cuò)誤的位置鉆探,造成時(shí)間和金錢上的浪費(fèi),甚至造成生態(tài)災(zāi)難。 這可能導(dǎo)致公司做出錯(cuò)誤決定,并產(chǎn)生重大惡果。 同樣地,一些系統(tǒng)被攻擊后又被鏟除所有痕跡的個(gè)案,結(jié)果也是一樣。
另一個(gè)可怕的例子是個(gè)體化藥物:一個(gè)人的遺傳基因構(gòu)造已被知悉并記錄,因此無(wú)需試驗(yàn)?zāi)姆N藥物有效,醫(yī)生便可以精確地制定合適的組合和劑量。 但如果攻擊者改變了這種程序的數(shù)據(jù),它不但影響藥物的效用,還可能對(duì)患者產(chǎn)生長(zhǎng)期的負(fù)面影響,甚至威脅他們的性命,所以這里牽涉的風(fēng)險(xiǎn)相當(dāng)高。
我們?cè)撊绾螒?yīng)對(duì)?
首先,所有企業(yè)都應(yīng)該歡迎這些變化,因?yàn)樗鼈兪沁M(jìn)一步將服務(wù)數(shù)字化和改善我們生活方式的方法之一。 然而,隨著數(shù)字化的進(jìn)一步推進(jìn),我們必須確保數(shù)據(jù)受到保護(hù)。 驗(yàn)證理應(yīng)是所有平臺(tái)在每個(gè)開發(fā)階段以及每個(gè)供應(yīng)商與客戶關(guān)系中的核心步驟。 其可信性必須受到保護(hù),未經(jīng)授權(quán)的組織不得對(duì)其修改,只有獲得授權(quán)的組織才能在需要時(shí)使用這些信息。
您需要考慮的是:
企業(yè)需要了解兩個(gè)關(guān)鍵因素:敏感信息所在的位置以及哪些是業(yè)務(wù)運(yùn)營(yíng)最關(guān)鍵的信息。令人驚訝的是,許多企業(yè)回答不了這個(gè)問(wèn)題。 這可能導(dǎo)致資源不合理配置:安全措施散布于整個(gè)企業(yè)中,而不是被重點(diǎn)部署在最需要它們的地方,從而導(dǎo)致購(gòu)買和使用安全措施的成本增加。我們的員工中誰(shuí)會(huì)訪問(wèn)那些敏感信息? 只要知道誰(shuí)有權(quán)訪問(wèn)這些文件和大數(shù)據(jù),便能更清楚知道他們?cè)L問(wèn)過(guò)哪些內(nèi)容。降低敏感信息外泄風(fēng)險(xiǎn)的關(guān)鍵方法是了解信息如何受到保護(hù)。 是否已部署安全方案,而它是否能供真正提供所需級(jí)別的保護(hù),從而降低企業(yè)所面臨的關(guān)鍵任務(wù)的風(fēng)險(xiǎn)?