对于组织而言,2016 年是形势严峻的一年,而网络攻击者则以勒索软件为主要工具取得了丰硕的成果。亚太地区的组织也未能幸免。今年各大组织也得到了一个宝贵的教训,即没有任何一个行业类别是绝对安全的;如果你的安全存有任何漏洞,虎视眈眈的攻击者一定能够将它找出来。

2017 年带来了新的机遇,组织应把握良机,启动定期的安全风险评估计划,在网络安全面前立于不败之地。新技术和日新月异的互联水平正不断改变着业务方式,并在不同地区之间创造着新的商业发展机遇。

了解安全问题并不意味着要完全回避新的技术。关键是需要了解当前和潜在的威胁以及降低风险所需采取的措施,在掌握这些信息的前提下确保能够领先于网络罪犯。

我对亚太地区在 2017 年的安全形势做何预测?

1. 工业控制系统可能会被用来发起攻击

工业控制系统 (ICS) 是任何企业的一项不可或缺的部分,尤其是在亚太地区。ICS 包括建筑管理系统、暖通空调 (HVAC) 和安全门等,以上仅为其中的几个例子。

大多数企业选择将其建筑管理需求外包,因此并不一定知道第三方提供商是否提供了足够的安全性。恶意执行方所发起的攻击有可能会造成严重的破坏。

例如,攻击者可能会将公司服务器机房或数据中心内的温度提升到 50°C,然后禁用所有的建筑入口,使得任何人都不能进入这些房间并将硬件转移到安全的位置。最终硬件将会过热,由此对业务、客户和合作伙伴造成严重干扰。

你需要考虑如下方面:

  • 当你意识到这个问题的时候,几乎所有业务都可能已面临受到此类攻击的风险。企业领导者在考虑安全问题时不能局限于基本的保护步骤。组织需要通过第三方及其自身网络,全面掌握自己的潜在弱点。此外,组织需要制定计划,以帮助抵御任何潜在攻击。
  • 你是否对自己企业所依赖的非 IT 设备进行过检查?这些设备都启用了哪些安全措施?这些设备是否连接到互联网,是否由第三方管理?
  • 当外包给第三方时,他们提供了什么级别的安全保证?他们能否向你提供有关如何保护其自身安全的信息?归根结底来说,他们如何保护和管理你的网络与系统?

2. 物联网 (IoT) 设备将成为网络犯罪的目标

市场研究公司 Gartner 预测,通过物联网连接的“物”的数量将从 2015 年的 65 亿增加到 2020 年的近 210 亿。由于连接设备能提供全方位的信息,从何时需要更换公共汽车制动器,到矿场的所有机器是否在可接受的参数范围内运行,因此,物联网能够带来更好的客户体验。

然而,连接设备也会成为网络犯罪的目标,在当今人们对第三方供应商的安全性普遍给予高度信任的情况下则更是如此。这些端点设备为进入组织网络提供了成千上万个潜在入口点。因此,它们的安全需要得到保障。2016 年出现了首例这方面的严峻挑战,受侵害的设备被连接到僵尸网络中,用于对银行和互联网基础设施的关键部分发起攻击。

任何连接到计算机或网络的设备都会构成潜在风险。这些设备的类型从闭路电视摄像机一直到连接至复杂机械的微型传感器等,它们往往并未引起安全专家的高度重视。但是,如果这些设备连接到互联网或由第三方进行管理,就可能会将企业置于风险之中。

疯狂的网络犯罪分子将使尽浑身解数,发挥创造能力,想方设法获得所需信息并寻找进入的方式。

你需要考虑如下方面:

  • 意识到物联网并不仅是一种可能或者属于未来的规划,而是目前正在发生的现实,这一点很重要。向涉及安全保证的供应商进行询问,了解他们如何确保自己所提供设备的安全性。我们曾多次见证过这种情况,即设备可能不具备安全措施,或者可能使用默认的用户名或密码。从设备连接到网络的一刻开始,就应该改变这一状况。
  • 任何使用出厂安全设置的设备都等同于完全将自己暴露给攻击者。IT 经理必须更改这些标准管理员密码,以防设备成为攻击目标。
  • 还应定期检查这些设备,以确认其是否符合公司的安全策略。

 

3. 我们可能迎来暗藏凶险的勒索软件危机

使用勒索软件的攻击者会锁定业务数据,并为解锁数据而勒索赎金。对于攻击者用于获取数据并勒索赎金的勒索软件,如果你认为 2016 年已饱受其困扰,那么不幸的是,2017 年的形势只会更加糟糕。我们预计,网络犯罪分子将利用更先进的技术,发动更大量的攻击。如果说勒索软件 Locky 的肆虐已经成为过去式,那么在 2017 年,金融恶意软件将呈现出愈演愈烈的趋势。

其中的导火索将是,由于过去已有受害企业和个人为勒索软件的恶意行为买单,犯罪分子可能会进一步提高赎金价格。受害者已支付赎金并获得数据解锁,随后却再次受到攻击,这些案例时有发生。凭借支付赎金来解锁组织中的一台或多台机器,并不能提供免疫能力来避免威胁在你的环境中传播。我们始终坚持的建议是:绝不支付赎金。

你需要考虑如下方面:

  • 如果你仅有不足 72 个小时来作出回应,你是否准备好全面的备份策略和应对措施来抵御这些攻击?
  • 你上次测试和验证备份是在什么时候?
  • 你是否应用了基本文件封锁以防止威胁进入组织?某些文件类型可能会对组织造成风险。不妨问问自己,“我们是应该允许所有文件,还是应该禁止可能导致问题的恶意文件类型,从而对风险进行管理?”

 

4. 我们将面临严峻的数据信任问题

人们将继续过度信任或误以为某些内容的安全性可以高枕无忧,事实却不然。举个例子,看似由组织公开或提供的机密数据,事实上却可能来自恶意方的植入。无论出于何种原因,不仅会使企业面临声誉风险,也会招致金钱损失。

多年来,信息安全专家一直在着重研究被称为 CIA 三元组的模型,该模型着眼于机密性、完整性和可用性,旨在为组织内的信息安全政策提供指导。许多组织一直将工作重点放在机密性,以此作为保护其数据免遭窃取或泄露的手段,从而确保组织能够访问数据或系统,然而,组织投入到数据或系统完整性的时间和精力又有多少?

设想一下,组织花费数年时间打造一个数据项目,而精心收集和分析的数据却遭到损坏。例如,一家资源公司投入巨资,对下一个钻探地点进行研究和开发并已成功收集 PB 级的数据,然而信息却遭到攻击者操控,使数据沦为毫无用处的信息。如果信息的完整性遭到操控,即使仅对极小一部分信息进行更改,也有可能导致公司选择错误的钻探地点,不仅浪费时间和金钱,并有可能造成环境灾难。由此可能造成公司作出错误决策,并带来严重后果。同理,某些情况下系统在遭到攻击后被擦除,所有痕迹荡然无存,也会同样造成严重后果。

另一个说起来有些可怕的例子是个性化医学,如已知悉并充分了解个人的基因组成,无需再进行药物试错,医生即可以精确定制正确的用药组合和剂量。如果攻击者在程序上更改患者数据,不仅会对药物的有效性造成影响,而且可能会对患者产生持久负面影响,甚至威胁患者生命,因此带来极高的风险。

我们能够采取哪些应对措施?

首先,任何企业都应乐于接受这些技术变革,因为它们能够加快服务的数字化步伐并改善我们的生活方式。然而,无论是针对我们所提供还是所接受的服务,随着服务数字化的进一步发展,首先需要确保数据得到保护。验证应该作为所有平台在每个开发阶段的中心,以及每个供应商与客户关系的核心。数据的完整性必须得到保护,避免被未授权方修改。只有在需要时才能向授权方提供数据,允许其访问信息。

你需要考虑如下方面:

  • 企业需要考虑两个关键因素:敏感信息所在的位置,以及哪些数据对业务运营至关重要。然而让人颇感意外的是,许多组织无法确切回答这些问题。这可能导致通过在整个组织中广泛使用的安全控制措施造成资源挪用,而非将其集中用于最需要的位置。随之而来的后果是,在获得和使用安全措施方面的成本增加。
  • 员工之中都有谁能够访问敏感数据?仅仅知道谁有权访问文件或大数据存储,已经足够帮助了解他们所访问的具体内容。
  • 降低敏感信息风险的关键方式,还在于应该了解如何对数据进行保护。是否已有保护措施落实到位,且这些措施是否满足适当的级别,能够降低企业的任务关键型内容所面临的风险?

你对 2017 年的网络安全形势作何预测?请在评论中分享你的想法。