怎样在网络威胁日益恶化的环境中生存下去

Michael+Nadeau

工业和政府网络安全专家针对在网络威胁日益危险的环境中保护业务资产和声誉提出了建议。

不要指望网络威胁环境会在短期内变得安全起来。这是最近两起波士顿事件中评论人士所传达的信息。白宫安全网协调员Rob Joyce在CNBC和Aspen研究所主办的剑桥网络峰会上说：“无论您采取什么措施，大方向都是错的。不管是检查违规行为，监控犯罪活动、民族国家的活动，还是我们神圣的选举，我们都心存忧虑。”

这一观点得到了商业、网络安全行业、政府情报和执法机构专家的认同。虽然他们描绘的画面很糟糕，但所有发言者都乐观地认为情况会随着时间的推移而有所改善。然而，改善的速度取决于企业怎样改变他们应对网络安全的方式。

专家们都认为，应改变过程和态度。其实大部分企业都能够掌握更有效的保护数据和资产的方法。他们提出如下建议。

做好网络安全基础工作

很多公司并没有按照Joyce的建议去做——“应该有基本的安全阻断和处理功能，特别是要打上补丁，有一个好的架构，提前知道威胁会出现在哪里，有日志，对威胁进行监视、观察和处理。”他和其他发言者都敦促各公司检查其策略，并制定确保系统正常运行的流程。

至少，企业应遵循国家标准与技术研究所（NIST）的网络安全框架。这样做并不能保证不出现泄露事件，但它表明了已经“尽职尽责”，如果出现了泄露事件，可以减轻责任。CA技术公司董事长兼首席执行官Mike Gregoire在剑桥网络峰会上说：“如果您做了所有应该做的工作来保护网络，比如遵循了NIST框架，而仍然被攻破，那么被处罚的可能性不大。”

企业除非接受这个过程，否则做不好安全基础工作。在剑桥网络峰会，IBM安全总经理Mark van Zadelhoff说，他注意到了一种“文化上的转变，就像对待程序安全一样，保证安全环境有类似的六西格玛方法。”他认为，这种方法能使企业更好地应对越来越复杂的黑客攻击。

知道黑客最看重什么

联邦调查局（FBI）网络部门负责人Jeffrey Tricoli在InfoSecurity北美活动中说：“人们并没有意识到公司最有价值的是什么，而黑客们更了解您资产的价值所在。”

例如，一家公司可能很好的保护了客户数据，但并没有保护好与客户沟通的渠道。这些渠道可能成为访问客户系统和资产的手段。如果您知道攻击者想要什么，就知道应该把安全工作重点放在哪里。

知道整个企业怎样应对泄露事件

一旦出现泄露事件，大多数企业都有应对计划，但并不是所有企业都经历过假冒攻击。当出现了van Zadelhoff所说的“boom事件”时，每个人应如何应对——不仅仅是安全部门。

他建议在最坏的情况下，模拟运行一次真实的攻击。这种经历不仅有助于在出现泄露事件时进行实际对抗，还能改善与客户和其他受影响相关者的沟通过程。

养成良好的密码安全使用习惯

密码重用意味着如果一个帐户被攻破，其他使用相同密码的账户也处于危险之中。Joyce说：“最好不要重复使用密码。当您听到这些泄露事件时，说明您在那家公司也有可能成为受害者。但是攻击者通常拥有的是您的帐户和您使用的密码。如果您在其他网站上重用这些密码和账户，他们就可以在其他网站访问您。”

另一个不好的做法是使用键盘模式作为密码。虽然这种方法方便了密码的使用，但黑客在其密码数据库中保留了这些密码。这意味着可以使用“密码”作为密码，很容易进行破解。

采用双重身份验证（2FA）

所有发言者的共识是，传统的用户名/密码身份认证不再是有效的威慑手段。他们敦促企业使用2FA，如果还没有做好准备，那至少要向用户手机发送一个验证码。Joyce说：“让您拥有的一件东西与您知道的一件东西相对应，这是非常好的保护工具。”他补充说，2FA成为政府的最佳措施。

消费者的惰性阻碍了2FA的广泛使用。因为这增加了一个步骤才能进行访问，不利于用户体验。Gregoire说：“双重身份验证是最低标准。这个过程感觉不太好，消费应用程序就是这种情况。保护人们的方式有很多种。问题是，客户体验很差，所以我们倾向于不使用2FA。”

不要使用社保号码作为标识

Equifax泄露事件暴露了社保号码（SSN），增强了人们对身份脆弱性的认识。Joyce说：“我真的认为，把SSN作为身份认证，或者更糟糕的是把它当成一种访问控制手段，这是非常可怕的想法。它随着时间的推移而不断演变，使我们都处于危险之中。

SSN是一种标识符，当您使用它的时候，实际上是把自己置于更大的风险中，因为现在那些盗取身份的人有能力获取您的钱财。您为什么一定要写在表格上，让第三方公开地发送，允许在全国各地，甚至整个世界范围内将其存储在文件柜和记录中——为什么要允许访问您的财务记录这类的东西呢？我们必须改变这一切。”

让供应链/价值链合作伙伴有较高的安全标准

第三方组件和服务提供商成为越来越流行的攻击途径。它们中的许多都是小公司，防御能力比大客户要弱，但他们经常直接访问客户系统。这就带来了问题，因为供应链上的薄弱环节往往被安全部门所忽视。

作为思科全球价值链的首席安全官，Edna Conway必须全面掌控思科价值链中的威胁态势。首先要知道都有谁参与。她在Infosecurity北美活動上说：“如果您不知道价值链上都有谁，那您还有差距。”

知道都有谁参与进来，就更容易发现最大的风险在哪里，当出现供应链泄露事件时，找到哪一家供应商是源头。Conway说：“对于数字化和虚拟化的产品而言，很难找到组件的源头。”例如，一家ASIC供应商可能从别人的代工线那里拿货。她说：“整个情形可能会让人望而生畏。”

Conway还建议企业对第三方安全能力进行端到端评估。在风险容忍程度和第三方关系价值之间，您需要综合考虑。例如，如果没有人能替代某一供应商或者可供选择的其他供应商也很少，那您就不得不接受较高的风险。endprint

準备好应对更多的勒索软件攻击

勒索软件攻击对于攻击者而言实在是太有利可图了，因此，其数量会越来越多，而且更加复杂，企业的损失也会越来越大。网络犯罪现在更像是企业行为。专家们一致认为，遏制网络犯罪最好的方法是使其付出高昂的代价。Joyce说：“我们应该从国家层面上知道怎样改变网络不法行为的成本效益。”

企业可以采取措施来抬高勒索软件攻击者的交易成本。勒索软件正在成为网络罪犯最大的收入来源之一，因为有太多的受害者支付了赎金。政府的指导是不要去支付赎金，因为很多人从来没有把数据赎回来。然而，Joyce承认，最终这是“必须根据情况作出的个人决定。”

员工培训也是关键。实际情况是，即使员工接受过培训，他们有时也会点击不应点击的链接，但在这个主题上，所有发言人都认为，勒索软件教育的确带来了改变，应该继续进行下去。

杀毒软件在检测大多数勒索软件攻击时表现非常差，而现在有了检测和预防的新工具。在Infosecurity北美活动中，Cybereason首席信息安全官Israel Barak邀请与会者下载其免费的Ransomfree工具。

Ransomfree抓住了所有勒索软件的共同点：加密的文件。该工具查找异常的文件加密过程，并声称保护成功率高达99%，而且它也适用于无文件攻击。为什么它是免费的？Cybereason要求任何使用Ransomfree的人允许其系统把检测到的所有勒索软件代码发送给Cybereason的服务器。换句话说，Ransomfree用户成为Cybereason研究工作的数据收集器。

尽可能自动化

Palo Alto网络公司的首席执行官Mark McLaughlin在剑桥网络峰会上说，网络对手们使用高度自动化的策略，利用了低成本的计算能力和可用的复杂工具。他补充说，企业有很多可用的技术，但使用工具的人手不足。

要想和犯罪分子斗争，McLaughlin敦促企业“实现自动化。力求采用高度自动化、精心策划的解决方案。”

但说起来容易做起来难。McLaughlin估计，平均每家公司有来自多个供应商的64个安全解决方案。他预计未来几年将出现更多的解决方案和供应商。不过，他也预见会出现平台，帮助管理所有这些，并实现更多的自动化。

Michael Nadeau是CSO在线的高级编辑。他是杂志、书籍和知识库出版商和编辑，帮助企业充分发挥其ERP系统的优势。

原文网址：

http：//www.csoonline.com/article/3232393/cyber-attacks-espionage/how-to-survive-the-worsening-cyber-threat-landscape.htmllendprint