梅丽莎·林
Melissa曾在ECM工作, 科技创业公司, 欧博体育app下载, 为多个行业的财富500强公司提供咨询服务.
Melissa曾在ECM工作, 科技创业公司, 欧博体育app下载, 为多个行业的财富500强公司提供咨询服务.
把(网络安全)更多地看作是道路和汽车的安全保障. 在过去的30年里,汽车并没有真正改变, 但是很多安全措施都是内置的, 直到它救了你的命才算性感. 你有一些隐藏的东西——安全气囊——还有一些提醒你安全的东西,比如安全带……有些是关于良好的行为和良好的态度, 有些是关于物理安全,提醒你有风险, 有些是为了救你.
——赛门铁克高级网络安全策略师Sian John
我们承认. 网络安全并不性感. 然而, 在今天的数字时代, 网络安全对大公司和小型初创公司都变得越来越重要. 今天,风险比以往任何时候都高,因为“每家公司都变成了科技公司.“技术已经不仅仅是公司运营的补充, 在很多情况下, 生活在他们网络上的资产 是 他们的核心业务. 这与黑客的行为更为复杂 变得司空见惯 由于移动使用和物联网的兴起, 以及不断增长的网络犯罪生态系统.
本文概述了网络罪犯的类型、网络犯罪策略和影响因素. 这篇文章还包括公司可以用来保护自己的切实可行的解决方案. 解决方案包括技术保障和人为因素. 例如, 领导层必须认识到网络安全是一个战略业务问题,而不仅仅是一个“IT问题”.此外, 一些最有效的解决方案是相当基本的, 例如员工教育或用户的双因素身份验证.
简单地说, 网络犯罪 犯罪与计算机或网络有关吗. 它可以形成多种形式,并从 个人或团体 有不同的激励因素. 网络威胁从根本上 不对称的风险 在这种情况下,一小群人可能会造成不成比例的大量损害.
有经济动机的有组织犯罪集团: 这些团体大多位于东欧
民族国家的演员: 直接或间接为政府工作,窃取敏感信息,破坏敌人能力的人. 他们通常是最老练的网络攻击者 30%原产于中国.
激进组织,或“黑客激进分子”: 不是经常出去偷钱吗. 的y’re out to promote their religion, politics or cause; to impact reputations or to impact clients.
业内人士: 这些是“幻想破灭,被勒索,甚至过度帮助"在公司内部运作的员工. 然而, they may 不 engage in cybercriminal activities intentionally; some might simply take a contact list or 设计文档 没有意识到它可能造成的伤害.
的 平均年龄 网络罪犯的比例是35%,80%的黑客犯罪与有组织犯罪有关. 简而言之,人们选择这个作为职业.
网络犯罪分子利用静态和动态两种方法实施犯罪. 让我们深入研究一下.
DDoS攻击试图破坏网络服务. 攻击者通过网络发送大量数据或流量,直到网络过载并停止运行. 淹没受害者的传入流量来自许多不同的来源, 可能有数十万人. 这 让它变得不可能 通过拦截单个IP地址来阻止攻击, 这使得区分合法流量和攻击流量变得困难.
通常伪装成请求可信第三方提供数据, 钓鱼式攻击。 通过电子邮件发送,并要求用户点击链接并输入他们的个人资料. 它经常 涉及到 心理操纵, 唤起紧迫感或恐惧, 欺骗不知情的人交出机密信息.
有几个相关因素. 第一个, 网络钓鱼邮件已经变得复杂,通常看起来就像合法的信息请求. 其次,网络钓鱼技术正在兴起 授权了 对网络罪犯来说,包括按需网络钓鱼服务和现成的网络钓鱼工具包. 也许最令人担忧的事实是,暗网服务使网络犯罪分子能够改进他们的活动和技能. 事实上, 网络钓鱼邮件被点击的可能性是普通消费者营销邮件的六倍.
恶意软件,简称“恶意软件,目的是获取或损坏计算机. 恶意软件是一系列网络威胁的总称,包括 木马、病毒和蠕虫. 它通常通过电子邮件附件引入系统, 软件下载, 或者操作系统漏洞.
当向维基解密泄露信息的恶意内部人士获得所有的媒体和荣誉时,一个 更常见的场景 是一个普通但投机取巧的员工或最终用户秘密获取机密数据,希望在未来的某个地方兑现吗(60%的情况下)?. 有时,员工会有点太好奇,会去窥探(17%). 个人信息和医疗记录(71%)是金融犯罪的目标, 比如身份盗窃或报税欺诈, 但有时只是为了八卦.
这些攻击包括 身体植入 在从支付卡读取磁条数据的资产上(例如.g.、自动取款机、加油站、POS机). 实施这样的袭击是相对快速和容易的, 具有相对高收益的潜力——受欢迎的行动类型也是如此(8%).
三年前,华尔街日报 估计 美国网络犯罪造成的损失高达1000亿美元. 其他报道估计,这一数字高达 高十倍 比这. 2017年,数据泄露的平均成本为7美元.3500万美元,而不是5美元.85 in 2014. 成本 包括从 检测、遏制和恢复业务中断、收入损失和设备损坏. 除了货币问题之外, 网络漏洞也会破坏无形资产, 比如公司的声誉或顾客的好感.
有趣的是,商业创新水平最高的公司往往拥有 昂贵的攻击. “业务创新”可以是任何事情,从收购或资产剥离到进入一个新的地理市场. 一家公司的收购或剥离被证明会增加网络犯罪的成本 20% 而一个重要的新应用程序的推出增加了成本 18%.
金融服务公司, 安全漏洞后的成本可归因于业务中断, 信息丢失, 收入损失, 还有其他成本.
不幸的事实是, 然而,没有哪个行业能幸免, 网络安全问题在金融服务领域尤为突出. 根据 2017年Verizon数据泄露调查报告, 24%的违规行为影响了金融机构(排名第一的行业), 其次是医疗保健和公共部门. 进行比较, in 2012, 该行业排名第三, 在国防,公用事业和能源行业之后. 除了频率, 金融公司的成本是所有行业中最高的, 平均损失16美元.2013年达到500万美元.
在金融服务领域,最常见的网络入侵类型涉及DDoS攻击. 至于所有的DDoS攻击 金融行业 受到的打击最大.
2012年,美国六大银行(美国银行、摩根大通、花旗集团、美国银行和美国银行.S. 富国银行(Wells Fargo)和PNC) 计算机攻击浪潮中的目标 一个声称与中东有联系的组织. 这些攻击导致网络中断和网上银行服务延迟, 导致客户无法访问他们的账户或在线支付账单.
这些都是DDoS攻击,黑客们将银行网站淹没到关闭的地步. 这些攻击还利用了 僵尸网络攻击。在美国,受感染的计算机组成的网络听命于罪犯. 有时,僵尸网络被称为服从“主僵尸网络”命令的“僵尸计算机”.不幸的是,这些可能是 租来的 通过黑市或由罪犯或政府借出.
2014年夏天, 这是迄今为止美国银行最大的安全漏洞, 的名字, 地址, 电话号码, 和电子邮件地址 8300万账户 被黑客入侵. 具有讽刺意味的是,摩根大通每年在计算机安全方面的支出约为2.5亿美元. 2014年的数据泄露并不是一个复杂计划的结果. 这次攻击没有使用 零日攻击这是一种新颖的软件漏洞,在黑市上售价数百万美元. 它也没有使用朝鲜黑客使用的恶意软件 索尼的网络攻击. 相反,问题的根源是 基本银行没有雇用 双因素身份验证,这是用户登录访问数据或应用程序时的额外安全层. 摩根大通的安全团队忽略了用双密码方案升级其一台网络服务器——这就是问题所在.
2016年2月, 全球银行间金融电信协会, 一个超过11人的国际联盟,便利跨境转账的000家银行, 被黑客攻击. SWIFT网络的用户孟加拉银行,被黑客攻击的金额为 8100万美元. 在纽约联邦储备银行(Federal Reserve Bank of New York)介入之前,只有一小部分资金被收回 其他30笔交易 这可能会转移额外的8.5亿美元.
这些攻击表明 支付网络的可靠性取决于其最薄弱的环节. 许多业内人士对这次袭击并不感到意外. 据贾斯汀·克拉克-索特说, 他是高谭数字科学的联合创始人, 网络安全公司, 这些攻击利用了该系统的一个弱点:并非每家机构都以同样的方式保护SWIFT的访问权限. 毕竟, “攻击者通常攻击那些更容易攻击的人……到目前为止,我们所知道的公开报道, 他们的目标是规模较小的金融机构. 这可能是因为它们没有那么复杂的控制.”
尽管新闻经常报道对大公司的攻击(目标, 雅虎, 家得宝(Home Depot), 索尼,小公司 不 免疫. 在过去的12个月中, 黑客入侵了美国一半的小企业, 根据 2016中小企业网络安全状况报告.
一些人认为,一方面,规模较小的公司可能无法从网络攻击中恢复过来. **据希恩·约翰说, 赛门铁克的高级网络安全策略师, 受到安全问题打击的公司在接下来的一年里会遭受“巨大的声誉和财务打击”, 在恢复正常之前. 她质疑道:“如果你是一家规模较小的公司,你能挺过这种低迷吗?”
另一方面, 其他人则认为, 小公司处于优势:“大公司比小公司更容易受到攻击:它们拥有大数据池,数百人必须访问……如果你是规模较小的公司。, 与大型组织相比,聪明地了解业务流程并了解可能利用这些业务流程的位置更容易,” 理查德·霍恩宣布他是普华永道(PricewaterhouseCoopers)合伙人.
网络犯罪分子现在正在采用企业的最佳实践来提高他们的攻击效率. 一些最具进取心的犯罪分子将黑客工具出售或授权给不那么老练的犯罪分子. 例如,职业罪犯 销售零日漏洞技术 对公开市场上的罪犯来说,他们很快就被商品化了. 帮派也提供 勒索软件即服务,它会冻结电脑文件,直到受害者满足赎金要求,然后 分一杯羹 提供许可证.
现在有一个完整的资源生态系统可供网络罪犯利用. “现在,先进的犯罪攻击组织与民族国家攻击者的技能相呼应. 他们拥有广泛的资源和高技能的技术人员,他们的工作效率很高,他们保持正常的营业时间,甚至周末和节假日也不休息……我们甚至看到低级犯罪攻击者创建呼叫中心业务,以增加他们的骗局的影响,” 凯文·哈利说他是赛门铁克公司的主管.
如果第三方被黑客入侵,您的公司将面临风险 丢失业务数据 或者泄露员工信息. 例如,2013年塔吉特(目标)数据泄露事件 4000万年 客户账户是第三方供暖和空调供应商的网络凭证被盗的结果. A 2013年的研究 表明当年63%的数据泄露调查与第三方组件有关.
由于网络目标越来越多,黑客攻击变得比以往任何时候都容易. 在消费者银行业务中,移动设备和应用程序的使用呈爆炸式增长. 根据… 2014年贝恩 & 公司研究, 在22个国家中,手机是13个国家最常用的银行渠道,占全球所有互动的30%. 此外,消费者已经采用 移动支付系统. 对于与金融科技初创公司竞争的银行来说,客户便利性仍然很重要. 他们可能 必须权衡 潜在的欺诈损失与更不方便的用户体验带来的损失. 一些机构正在利用高级身份验证来应对这些增加的安全风险, 允许客户通过 语音和面部识别.
物联网(IoT)的概念是指各种各样的设备, 包括电器, 车辆, 和建筑, 可以相互连接. 例如,如果你的闹钟在早上7点响.m.,可以。 自动通知你的咖啡机 开始为你煮咖啡. IoT revolves around machine-to-machine communication; it’s mobile, 虚拟, 并提供即时连接. 目前有超过10亿个物联网设备在使用,预计这个数字将会增加 超过500亿 by 2020. 问题是许多便宜的智能设备经常 缺乏适当的安全基础设施. 当每种技术都有高风险时,当它们结合在一起时,风险就会呈指数级增长.
尽管网络安全及其威胁成为头条新闻, 企业的意识与解决这一问题的意愿之间仍存在差距. 去年,黑客入侵了美国一半的网络.S. 小型企业. 在波耐蒙研究所2013年的调查中, 75%的受访者表示,他们没有正式的网络安全事件响应计划. 66%的受访者 对他们的组织从攻击中恢复的能力没有信心. 此外, 2017年的一项调查 来自网络安全公司Manta的研究表明,三分之一的小企业没有适当的工具来保护自己.
从战术上来说, 金融服务公司在检测和应对攻击方面还有很多需要改进的地方. In 2013, 88%的攻击 针对金融服务公司的诉讼在不到一天的时间内就成功了. 然而, 其中只有21%在一天内被发现, 在发现后的时期, 其中只有40%能在一天内恢复.
网络安全没有“一刀切”的解决方案. 然而, 在一般情况下, 解决方案应包括复杂的技术和更“人性化”的组成部分,如员工培训和董事会的优先级排序.
实时情报是预防和遏制网络攻击的有力工具. 识别黑客的时间越长,就越 付出更大的代价 其后果. A 2013年的研究 波耐蒙研究所(Ponemon Institute)的一项调查显示,IT高管认为,提前不到10分钟收到安全漏洞通知就足以解除威胁. 由于黑客入侵的通知时间只有60秒,由此产生的成本可能高达 减少40%.
根据James Hatch的说法, BAE系统公司网络服务总监, “及早发现(网络攻击)是关键……这可能是损失10%(电脑)和50%(电脑)的区别。.“不幸的是,在现实中,平均而言,这需要公司 七个月以上 发现恶意攻击.
公司可以采取几个较小的战术步骤来保护自己. 这些包括:
制定多层次防御战略. 确保它涵盖了 您的整个企业、所有端点、移动设备、应用程序和数据. 在可能的情况下, 对网络和数据访问使用加密和两因素或三因素身份验证.
执行第三方供应商评估或与第三方签订服务水平协议; 对于其他人可以访问的对象和内容,实现“最小特权”策略. 养成与第三方一起检查凭证使用情况的习惯. 您甚至可以更进一步,使用服务水平协议(SLA) 合同要求第三方 遵守公司的安全政策. 您的SLA应该赋予您的公司审核第三方合规性的权利.
持续备份数据. 这可以帮助 防范勒索软件,它会冻结电脑文件,直到受害者满足赎金要求. 如果您的计算机或服务器被锁定,备份数据可能是至关重要的,因为您不需要为访问数据付费.
经常打补丁. 一个软件 补丁 现有软件中的代码更新了吗. 它们通常是软件完整版本之间的临时修复. 补丁可以修复软件缺陷, 解决新的安全漏洞, 解决软件稳定性问题, 或者安装新的驱动程序.
白名单软件应用程序. 应用白名单 防止电脑安装未经批准的软件. 这允许管理员拥有更多的控制权.
一个新兴的趋势是反黑客保险,或者 cyber-insurance. 它的范围因提供商而异,但通常可以防止安全漏洞和损失. 保险公司通常将其承保能力限制在两者之间 每个客户500万到1亿美元. 截至2016年10月为止 29% 许多美国企业购买了网络保险. 然而,据估计,整个网络保险市场将是 到2025年达到200亿美元从3美元上涨.250亿美元. 保险公司 乐观的估计未来几年保费将增加两倍.
对于一个组织来说,要确定它需要多少网络保险,它应该 衡量其网络风险. 它必须了解自己的资产如何受到网络攻击的影响,以及如何优先考虑这些资产.
这个行业的另一个新想法是一个叫做 Bug赏金计划,即组织向外部人员支付(友好的黑客),以通知其安全漏洞. 公司范围 从 谷歌 Dropbox到AT&T和LinkedIn已经采用了这种做法.
“IT问题”变成了战略业务问题. 对于许多ceo和 首席财务官在美国,黑客行为可能会令人沮丧,因为他们不了解敌人. 根据理查德·安德森, 风险管理协会主席, “在大公司里,仍然有很多人认为这是极客们关心的事情, 而不是商业问题.“然而,统计数据表明, 这与事实相去甚远.
A 德勤白皮书 建议建立一个专门的网络威胁管理团队,并创建一种“网络风险意识文化”.“还建议各组织指定一名 首席信息安全官 (CISO). 例如, 既不是摩根大通也不是塔吉特 分别在2014年和2013年遭遇数据泄露时都有首席信息安全官吗.
回到基础:员工培训. 数据泄露通常是人类心理弱点的结果. 因此,至关重要的是 教育你的员工 关于安全漏洞的警告信号, 安全做法(小心打开电子邮件附件, 他们正在冲浪的地方), 以及如何应对可疑的收购.
对于越来越多地关注网络安全的危险,一个常见的反驳是, “什么,然后? 难道我们就应该因为害怕攻击而停止创新吗?” 答案是,不完全是. 然而,对于公司来说,把网络安全看作是一件很有帮助的事情 道德问题. 也就是说,网络安全不应该仅仅是一个技术问题,也应该是一个道德问题. 毕竟,创造和销售让消费者脆弱的技术是合乎道德的吗? 硅谷的“成长或死亡有时是短视的文化,这可能是一种不受欢迎的态度.
不过,其他行业也有先例. 例如, 美国医学协会和美国律师协会要求专业人员遵守各自的道德准则. 医生必须保证 希波克拉底誓言, 历史上最古老的装订文件之一, 谁要求医生发誓要保护他们的病人. 同样,律师也遵循a 职业行为示范规则,承诺保护和尊重他们的客户.
我们都应该记住,虽然技术可能会来来去去,对与错 永远不会改变.
简单地说,网络犯罪是一种与计算机或网络有关的犯罪. 它可以以各种形式形成, 以及来自具有不同激励因素的个人或团体. 网络威胁是不对称的风险,因为少数人可能造成不成比例的大量损害.
网络犯罪包括DDoS攻击, where attackers overload a network until it’s non-functional; 2) phishing, which 是 emails asking users to enter their personal data; 3) malware, a host of cyber threats designed to damage computers; and 4) physical card skimmers, 哪个从卡上读取磁条数据.
世界级的文章,每周发一次.
世界级的文章,每周发一次.