2019新型冠状病毒大流行给企业带来了新的挑战,因为它们正在适应在家工作已成为“新常态”的运营模式。企业正在加速数字化转型,网络安全现在是一个主要问题。如果忽视网络安全风险,对声誉、运营、法律和合规性的影响可能相当大。
本文探讨了 COVID-19 对企业可以采取的网络风险和缓解措施的影响。
COVID-19 对数字工作和网络安全的影响
政府为应对冠状病毒大流行而施加的限制鼓励员工在家工作,甚至尽可能多地“呆在家里”。因此,技术在我们的工作和个人生活中变得更加重要。尽管技术需求不断增加,但值得注意的是,许多组织仍然没有提供“网络安全”的远程工作环境。传统上,商务会议是面对面举行的,现在大多数都是虚拟举行的。
2020 年 6 月,Swissinfo.ch 报告了来自 NCSC(国家网络安全中心)的数据,显示 4 月份瑞士报告的网络攻击案例(网络钓鱼、欺诈网站、对企业的直接攻击等)为 350 起,而正常水平则为100-150起。冠状病毒大流行和在家工作的增加被认为是这种增加的主要原因,因为在家工作的个人无法从工作环境中享受同等水平的固有保护/威慑措施(例如互联网安全)。
加强网络安全的理由
由于面临更大的网络风险,远程工作的增加要求更加关注网络安全。例如,从47% 的人在家工作时陷入网络钓鱼诈骗这一事实就可以看出这一点。网络攻击者将这种流行病视为一个机会,通过利用在家工作的员工的脆弱性和利用人们对冠状病毒相关新闻的强烈兴趣(例如恶意假冒冠状病毒相关网站)来加强犯罪活动。另一个重要的考虑因素是,远程工作导致的数据泄露的平均成本可能高达 137,000 美元。
据伦敦市警方的报告称,自 2020 年 1 月以来,由于 COVID-19 诈骗已造成超过 1100 万英镑的损失。在瑞士,七分之一的调查受访者在大流行期间遭受过网络攻击。
对视频会议服务的网络攻击
犯罪分子利用远程工作中的网络安全弱点的一个例子是对视频会议服务的一系列网络攻击。在 2020 年 2 月至 2020 年 5 月期间,超过 50 万人受到了视频会议服务用户的个人数据(例如,姓名、密码、电子邮件地址)被盗并在暗网上出售的违规行为的影响。为了执行这种攻击,一些黑客使用了一种名为“OpenBullet”的工具。
黑客还使用凭证填充技术来获取员工凭证的访问权限,然后将被盗数据出售给其他网络安全犯罪分子。后果之一是对严重依赖视频会议平台的企业造成严重破坏。凭据填充是一种网络攻击形式,黑客利用先前被盗的用户名和密码组合来访问其他帐户。这是可能的,因为个人在多个帐户中使用相同的用户名/密码组合是很常见的。
网络威胁格局
网络威胁格局多种多样:
- 在家工作、监督较少、技术控制较少的恶意员工可能会受到诱惑进行欺诈或其他犯罪活动
- 网络犯罪分子认识到,当前实施的数据安全措施“不适合目的”或足够强大以防止他们成功进行网络攻击
- 黑客活动主义者(为社会和政治问题而战的黑客)的活动正在增加网络安全威胁
- 脚本小子(技术技能较少的“初级”黑客)正在测试各种组织的网络攻击包并提高他们的技能。
由于 COVID-19 爆发期间出现的机会,这些威胁中的大多数已经加剧。
网络攻击激增的原因之一可能是一些中小型企业采用“自带设备”(BYOD) 方法(与“公司拥有的个人启用”(COPE) 方法相反) ,这意味着员工可以使用他们的个人设备(手机、平板电脑或笔记本电脑)访问公司信息。
在家工作并不能保证与办公环境相同的网络安全水平。当使用个人计算机或笔记本电脑访问公司文件和数据(即使使用 MDM 解决方案的安全性)时,用户更容易受到网络攻击。例如,员工可能不会定期运行防病毒或反恶意软件扫描(如果有的话)。家庭工作环境没有成熟的企业预防和检测措施。
此外,人为错误是另一个值得关注的问题。在大流行之前,人为错误已经是“网络不安全”的主要原因:员工会在不知不觉中或鲁莽地向错误的人提供访问权限。然而,在家工作时,问题就更大了。当他们在家工作时,员工可能会被家人或社交访客打断他们正在做的工作,这些分心会使个人更加粗心。
IT 系统需要适应这些工作实践的变化和人为错误的增加。这可以通过多种方式实现,例如在关键信息系统中加入超时、加强控制以应用“四眼原则”、实施职责分离 (SOD) 或自动化控制。毕竟,这就是“数字同理心”的意义所在。
网络攻击不断变化的性质
似乎许多黑客正在提高他们的游戏水平,并且为了利用企业向远程工作的新转变,他们开发了新的恶意软件来攻击和渗透系统。
在大流行之前,大约 20% 的网络攻击使用了以前看不见的恶意软件或方法。在大流行期间,这一比例已上升到35%。一些新的攻击使用一种适应其环境并且未被发现的机器学习形式。例如,网络钓鱼攻击变得越来越复杂,并使用不同的渠道,例如 SMS 和语音(网络钓鱼)。
此外,有关疫苗开发的新闻被用于网络钓鱼活动。勒索软件攻击也变得越来越复杂。例如,黑客正在将数据泄露攻击与勒索软件相结合,以说服受害者支付赎金。
复杂网络攻击的激增需要新的“尖端”检测机制来应对威胁,例如“用户和实体行为分析”或 UEBA。这会分析用户的正常行为,并将此知识应用于检测与正常模式发生异常偏差的情况。
企业是否为新的网络安全风险做好准备?
远程工作给许多中小型公司带来了挑战:他们没有为复杂的网络攻击的激增做好充分的准备,提高网络安全意识需要取得很大进展。在大流行之前,一些公司反对允许远程工作,尤其是在访问机密数据(例如银行客户个人数据)时。在很短的时间内,企业不得不增加远程工作的能力。不幸的是,网络安全并不总是快速部署远程工作能力的关键优先事项。
例如,一些公司在员工访问公司数据之前没有检查个人设备是否配备了标准的安全保护,而是依靠虚拟专用网络 (VPN) 技术来完成默认情况下不适合的工作。企业可以通过多种方式实施安全措施而不会受到干扰。例如,主机检查是一种在允许访问公司应用程序之前验证个人设备上的个人要求的技术。当发现 VPN 中的漏洞并生成补丁来处理它们时,在可能的情况下及时应用补丁非常重要。
企业和员工如何提高网络安全的示例
在家工作并使用个人电脑的员工(甚至是使用公司自有设备的员工)应实施必要的网络安全措施。这些包括:
- 防病毒保护。应向员工提供在其个人计算机上使用的防病毒和恶意软件软件的许可。虽然这不提供故障安全保护,但它消除了许多低级攻击。
- 网络安全意识。应向员工简要介绍管理向私人电子邮件地址和/或云存储发送电子邮件或其他内容的最佳做法和程序。
- 网络钓鱼意识。员工在收到电子邮件时应保持警惕,并应检查发件人地址的真实性。
- 家庭网络安全。员工应确保其家庭 Wi-Fi 受强密码保护。
- 使用 VPN。虚拟专用网络为在家中使用互联网增加了一层保护。不能仅依靠它们来防止网络攻击,但它们可以成为抵御网络攻击的有用屏障。企业可以采用一些基本的网络安全策略。
- 识别薄弱环节。所有 IT 系统都有弱点。公司应运行测试以识别它们并尽快修补最关键的漏洞。这可以采取漏洞扫描或各种类型的渗透测试练习的形式。此外,还应加强技术基础设施的组件。
- 经常评论。企业应定期评估网络安全风险敞口,并确定现有控制措施是否足够稳健。在这些审查期间,应考虑最近出现的任何新形式的网络攻击。
- 更新业务连续性和危机计划。业务线经理需要更新他们的业务连续性计划并考虑网络攻击场景。
可以采取的更先进的措施包括:
- 应用新技术和工具。企业可以使用主机检查(一种在授权访问公司信息系统之前检查端点安全状况的工具)等高级工具来加强远程工作的安全性。
- 情报技术。企业应鼓励主动使用网络威胁情报来识别相关攻击指标 (IOC) 并应对已知攻击。
- 风险管理。企业可以应用治理、风险和合规 (GRC) 解决方案来改进风险管理。GRC 解决方案提供了公司风险敞口的详细视图,并有助于将各种风险学科(例如网络安全、运营风险、业务连续性)联系在一起。
- 准备应对攻击。在这些高风险时期,建议企业进行频繁的网络危机模拟演习,以准备应对网络攻击。
- 零信任。CISO 和 CIO 应考虑对网络安全实施零信任方法。这是一种安全模型,仅允许经过身份验证和授权的用户和设备访问应用程序和数据。它挑战了“默认授予的访问权限”的概念。
结论
网络安全是大多数企业重要的议程,但鉴于大流行期间日益严重的威胁,或许应该给予额外关注。在第二波冠状病毒和对潜在第三波的担忧中,企业应该积极应对威胁,并计划防止成功的网络攻击的方法,而不是在它们发生时做出反应。然而,尽管预防措施很重要,但也需要网络攻击检测、响应和恢复能力。
这场大流行告诉我们,准备是成功限制与网络攻击相关的风险的关键。快速响应不可预见事件的能力有助于减少网络攻击的影响。已经从安全的远程工作能力中受益的公司将更好地准备好面对不断增加的网络威胁。措手不及的公司将不得不迅速评估他们面临的网络威胁,并优先考虑采取措施,以通过推荐的做法解决他们的网络安全漏洞。
此外,企业拥有的设备应该成为允许远程访问机密和敏感数据的公司的标准。当可以接受从个人设备访问公司数据时,还应评估网络风险并采取措施限制网络威胁暴露。现实情况是,企业需要将他们的观点从“如果”他们受到攻击改为“何时”,并认识到违反数据隐私或勒索软件的后果可能在财务上是毁灭性的。还应该记住,经济利益并不是网络攻击背后的唯一动机。“黑客主义”及其损害商业声誉的目的是另一个威胁。
有多种方法可以降低网络攻击的可能性和影响,但需要有针对性的行动和计划。企业需要使其远程工作实践能够抵御网络攻击,并加强其安全措施的开发和应用。
