為確保網絡安全,各家企業應抓緊2017年這一時機制定出日常安全風險評估計劃。 技術上的不斷創新以及互聯互通程度的不斷加強,正在促使商業環境不斷轉變,并為整個地區帶來業務拓展機會。
認識到存在安全問題并不代表著要完全回避新興科技,而是要保持理性,比網絡犯罪者更快一步了解當前和潛在的威脅,以及知曉如何降低風險。
以下為我對2017年亞太地區安全形勢的預測,包括:
1. 工業控制系統可能會對你不利
工業控制系統(Industrial control systems, ICS)是企業的重要組成部分,這在亞太地區尤其明顯。這些系統包括建筑管理系統、暖通空調(Heating Ventilation and Air Conditioning, HVAC)以及安全門等等。
大多數企業都將他們的建筑管理系統外包,所以他們不一定知道第三方供應商是否已部署足夠多的安全措施。這可能導致惡意入侵者趁虛而入,構成嚴重損害。
舉例來說,攻擊者可以將服務器機房或數據中心的溫度調高到50℃,然后關閉建筑物的所有出入口,阻止外人進入將硬件轉移至更安全的位置。 最后,硬件因過熱而宕機,從而對業務、客戶和合作伙伴造成重大的損失。
您需要考慮的是:
· 仔細想想,其實幾乎所有的企業都可能會面臨這樣的攻擊。 因此企業領導在考量安全問題時,除了基本的防御措施之外,還要考慮更多。企業需要通過第三方以及自己的網絡宏觀地了解其潛在弱點, 并制定方案防御潛在攻擊。
· 您有沒有檢查過您業務所依賴的非IT設備及其安全性? 他們有沒有連接到互聯網,是不是由第三方管理?
· 外包的第三方有什么級別的安全保證? 他們能否向您提供有關如何確保自身安全以及他們如何保護和管理您網絡系統的信息?
2. 物聯網(IoT)設備將成為網絡罪犯的目標
市場研究公司Gartner預測,由物聯網連接起來的“物”的數量將從2015年的65億增加到2020年的近210億。這些連接的設備所提供的信息包羅萬象:從巴士剎車片何時需要更換,到礦場上的全部機器是否在可接受的參數內運行等等,都務求帶來更好的客戶體驗。
然而,這些連接的設備也會成為網絡罪犯的目標,特別是在人們對供應商的安全性深信不疑的情況下,這一情況表現尤其突出。這些終端設備為企業的網絡提供了無數個潛在的切入點,而這些切入點均需要被保護。 2016年,我們親眼見證了第一個真正的挑戰:一些受到影響的設備被僵尸網絡(botnet)連接起來,用以攻擊銀行和互聯網基礎設施的關鍵部位。
任何一臺設備,只要連接到計算機或網絡時就會存在潛在的風險。這些設備的類型從CCTV攝錄機到連接精密機械的微型傳感器不一而足,即使是安全專家也不可能時刻將他們關注, 但是一旦被連接到互聯網或由第三方管理,這些設備便有可能為業務運行帶來風險。
網絡犯罪分子對那些想要竊取的資料覬覦已久,并想方設法尋找切入路徑。
您需要考慮的是:
· 您需要明白,物聯網已經不是一個可能性的問題或者是一個未來的項目這么簡單,它是現實,就在當前。所以一定要問問您的安全供應商是如何確保他們所提供設備的安全性的。 正如我們已經看到的很多個案,他們可能根本就沒有采取安全措施,或者他們的設備使用的還是一些默認的用戶名或密碼。 所以為了您的網絡安全著想,一旦這些設備連接到你的網絡,以上狀況就需要改正。
· 任何使用原廠設置進行安全保護的設備都會被輕易入侵。 IT經理必須更改那些標準的管理員密碼以免成為攻擊者的目標。
· 此外,定期檢查這些設備,確保它們符合公司的安全政策。
3. 我們可能會發現勒索軟件帶來的影響會更惡劣
勒索軟件將企業數據鎖定并要求受害者支付贖金。如果您認為2016年勒索軟件肆虐的情況已經非常嚴重,那么2017年的情況則有過之而無不及。 我們預料會有更多使用更先進技術的攻擊。 如果Locky勒索軟件的發現在2016年還算是個案的話,那金融惡意軟件的數量將在2017年持續增加。
不幸的是,由于企業和個別受害者已經支付了相關贖金,以后這類贖金很有可能會越來越高。曾有些個案是支付贖金之后數據被解鎖,然后受害者再次被攻擊。 由此可見,支付贖金并不能讓您的企業網絡免受威脅。 我們的建議始終如一:不要支付贖金。
您需要考慮的是:
· 假若您只有少于72小時的時間來響應,那么面對攻擊您是否準備好了全面備份策略和應對措施?
· 您上一次測試和驗證備份是什么時候?
· 您是否已應用了基本文件阻截措施來防止威脅進入您的企業網絡? 某些文件類型可能會對您的企業造成風險。 問問自己:我們應該允許所有文件,還是應該阻截可能導致問題的惡意文件類型來管理風險?
4. 我們將面臨嚴重的數據信任危機
人們對那些他們認為安全的東西總是深信不疑或者是自欺欺人,而實際上并不安全,比如,看起來像來自某企業的機密數據被公開或可已訪問,其實是由惡意組織埋下的陷阱。 無論是用哪一種方式,受害者最終都要要付上商業聲譽的風險和金錢代價。
多年以來,信息安全專家一直使用被稱為CIA三元組的模式,該模式著眼于機密性(Confidentiality)、可信性(Integrity) 和可用性(Availability) ,以此指導企業內部的信息安全政策。 許多組織一直將機密性視為一種方法保護其數據免遭竊取,將可用性視為一種途徑來訪問數據和系統,但在數據和系統的可信性上他們又花了多長時間呢?
試想一下,一個數據項目經營多年,收集信息然后進行分析,然后就被破壞掉了。例如,某能源公司花費巨資用于研究和研發,在勘探下一口油井時收集了以PB為單位的海量數據,然后這些數據被攻擊者控制了,變得毫無價值可言。一旦數據的可信性被操縱,哪怕只是其中一點被改變了,那么這家能源公司就有可能在錯誤的位置鉆探,造成時間和金錢上的浪費,甚至造成生態災難。 這可能導致公司做出錯誤決定,并產生重大惡果。 同樣地,一些系統被攻擊后又被鏟除所有痕跡的個案,結果也是一樣。
另一個可怕的例子是個體化藥物:一個人的遺傳基因構造已被知悉并記錄,因此無需試驗哪種藥物有效,醫生便可以精確地制定合適的組合和劑量。 但如果攻擊者改變了這種程序的數據,它不但影響藥物的效用,還可能對患者產生長期的負面影響,甚至威脅他們的性命,所以這里牽涉的風險相當高。
我們該如何應對?
首先,所有企業都應該歡迎這些變化,因為它們是進一步將服務數字化和改善我們生活方式的方法之一。 然而,隨著數字化的進一步推進,我們必須確保數據受到保護。 驗證理應是所有平臺在每個開發階段以及每個供應商與客戶關系中的核心步驟。 其可信性必須受到保護,未經授權的組織不得對其修改,只有獲得授權的組織才能在需要時使用這些信息。
您需要考慮的是:
· 企業需要了解兩個關鍵因素:敏感信息所在的位置以及哪些是業務運營最關鍵的信息。令人驚訝的是,許多企業回答不了這個問題。 這可能導致資源不合理配置:安全措施散布于整個企業中,而不是被重點部署在最需要它們的地方,從而導致購買和使用安全措施的成本增加。
· 我們的員工中誰會訪問那些敏感信息? 只要知道誰有權訪問這些文件和大數據,便能更清楚知道他們訪問過哪些內容。
· 降低敏感信息外泄風險的關鍵方法是了解信息如何受到保護。 是否已部署安全方案,而它是否能供真正提供所需級別的保護,從而降低企業所面臨的關鍵任務的風險?