好人正在输掉网络犯罪战争。一个主要原因是他们不了解敌人,因此无法有效反击。另一个原因是,爱德华·斯诺登显然,这个目前世界上最著名的内部威胁有很多同伴。
这些都是最重要、最发人深省的结论2013年网络犯罪调查普华永道美国和CSO杂志的调查结果显示,500名美国高管、安全专家以及其他来自私营和公共部门的人士对此做出了回应。
11网络犯罪趋势的调查,上周公布,发现,虽然网络犯罪的威胁正在上升,当前防御他们的努力是无效的,在很大程度上是因为太多的高管仍然不了解这些威胁的程度和严重性,或只是变得麻木的新闻。
“首席执行官级别的威胁意识没有明显变化,网络防御支出没有大幅增加,在使用技术打击网络犯罪方面没有突破,组织衡量内部人员和外部网络攻击造成的网络犯罪影响的能力没有明显变化。”
普华永道全球(PwC Global)、美国网络安全咨询业务主管戴夫•伯格(Dave Burg)表示,这种情况已经持续了10年。他说:“在过去10年里,我们的调查对象几乎没有发现任何变化。”
CSO副总裁兼出版人Bob Bragdon表示:“今年调查结果中最令人担忧的主题可能是,美国机构从金融、声誉和监管角度对网络攻击所面临风险的严重性判断错误。”
其结果是,企业没有开发出更好的方法来检测和反击对其网络的攻击。报告称,太多高管就像俗语所说的“锅里的青蛙”——对日益严重的环境威胁失去了意识。
“当组织成为网络攻击的受害者时,他们才意识到昨天是采取行动的时候,”调查说。
而且这还远远不够保护一个网络的外围。调查发现,与外部攻击者相比,内部人员(多次怀有恶意)对企业构成的威胁更大,这已是连续第二年出现这种情况。内部人员也不仅仅是直接员工——他们可以是承包商、顾问、外部服务提供商、供应商和拥有访问特权的业务伙伴。
这项调查由卡内基梅隆大学软件工程研究所(Carnegie Mellon University Software Engineering Institute)的CERT项目、CSO和美国特勤局(U.S. Secret Service)联合发起,并与联邦调查局(FBI)合作,发现了三大主题:
许多组织领导人甚至不知道谁应该为他们的网络安全负责。这在很大程度上可能是因为他们的安全专家没有就威胁、攻击和防御技术进行有效沟通。
许多这些领导人低估了攻击者的能力和他们可能造成的破坏。
领导者们仍然没有意识到,尽管现代工作场所的技术进步提高了生产率和便利性,但它们也增加了受到网络攻击的脆弱性。这些变化包括社会协作、移动设备的扩大使用、信息在云中的存储、敏感信息的数字化以及向智能电网技术的转移。
现代企业面临的网络威胁是多种多样的。调查发现,他们中有太多人是由于缺乏对风险的关注。其中更明显的风险是供应链,包括支持IT的硬件和软件,以及更传统的零部件和服务供应。
“在当今互联互通的生态系统中,这两种供应链渠道往往是损害公司资产的直接高速公路,”该调查指出,许多供应商和商业伙伴的网络安全政策和做法“可能比他们所服务的企业更低,甚至根本不存在”。
Dave Burg表示,供应商并不一定不关心安全问题,但他们可能没有与客户企业相同的资源。
他说:“恐怖分子知道这一点,他们把目标对准中小型组织,以便利用弱小的目标作为达到最终目标的手段。”
让供应商遵守隐私政策也可能是一个问题,特别是在金融服务、医疗保健和支付卡行业(PCI)等行业,在这些行业中,个人身份信息(PII)的保护至关重要。
“然而,在普华永道2013年全球信息安全状况调查(Global State of Information Security Survey)中,只有不到三分之一的行业受访者要求第三方遵守隐私政策,”调查报告称。
CERT内部威胁中心的技术经理Randy Trzeciak说,对于企业来说,让供应商满足其安全需求是非常具有挑战性的,因为很多时候需要集成非常不同的系统。
“你需要传达你的期望,”他说。“在签署任何东西之前,你需要将它们写入服务水平协议。你也需要尽职调查。如果需要的话,你应该能够出去检查那些供应商。”
来自更直接的内部人员——员工——的威胁同样高,潜在损害甚至更高。正如调查所指出的,那些怀有恶意的人已经获得了访问权限,他们知道公司的“王冠宝石”是什么,他们通常知道它们在哪里。
减轻这种威胁既需要技术手段,也需要非技术手段。Trzeciak说CERT提倡“信任但要验证”——信任员工支持组织,但限制员工获取他们工作所需的信息。他说CERT在其网站上有一份减轻内部威胁的常识指南,为企业提供了19种检测和防止内部威胁的实践。
它们包括跨IT、信息安全、物理安全、人力资源和法律等功能的信息和工具的集中,而不是将它们保存在单独的存储库中。
但是技术是不够的。这项调查引用了2013年2月RSA会议上一位FBI内部人士的话,他说:“来自内部威胁的风险是以人为中心的问题。所以你必须寻找一个以人为中心的解决方案。”
“糟糕的表现、与同事的问题、纪律处分、入不敷出;这些都是员工和经理会注意到的迹象,而不是IT安全工具。”
内部人士即使没有恶意,也可能成为一个问题,因为他们可能会被“鱼叉式网络钓鱼”(spear phishing)——受骗点击声称来自可信来源的电子邮件中的链接,或通过社交工程。
培训和意识可以缓解这种情况,但戴尔副总裁兼首席信息官约翰·麦克卢格(John McClurg)表示,钓鱼者从社交媒体网站获取细节的技能,“即使是最具安全意识的员工也可能会在一时软弱时被诱导点击。”
但是,他补充说,“巨大的网络情报可以通过(不同的)组织获得,是任何中央情报局都可以利用的不可或缺的资产。”
企业改善安全态势还有其他方法。调查得出的结论是,公司只需通过更好的教育、IT基础设施维护和监控,就可以抵御80%的攻击。
另外15%可以通过有效的战略、对威胁的更好认识以及良好的资产识别和保护来击败。最后5%来自老练的民族国家行为者,他们需要政府机构的帮助。
但这需要一种网络安全策略,包括计划攻击和更好地共享威胁级别的信息,而大多数企业都没有做到这一点。
网络安全战略是保护敏感商业资产的基石,但近30%的受访企业没有这方面的计划。而在这些人当中,有一半没有测试。”
Dave Burg表示,该计划的一部分意味着一个组织必须“从威胁行动者的角度理解其关键资产是什么。”确定最严重的威胁者取决于目标是什么。”
例如,一个国家,为了获得经济、政治和/或军事优势,倾向于把目标对准商业秘密、敏感商业信息、新兴技术和关键基础设施。有组织的犯罪集团,寻求直接的经济利益,”他说。
报告还发现,尽管国土安全部(DHS)协调信息共享与分析中心(ISACs)和美国关键基础设施的关键部门之间的互动,“了解和使用ISACs的人特别少,而且在过去三年中没有明显增加。除了银行和金融业。”
部分原因是安全和企业高管从公共来源获取威胁信息,调查称,这些信息“在质量、准确性和及时性上差异很大”。
部分原因是,“许多没有或没有测试网络安全计划的公司,很可能就是那些报告说,当怀疑发生网络犯罪时,他们不知道该联系哪个政府机构的公司。”
FBI拒绝对该报告置评,但提供了一个链接,指向该机构犯罪、网络、反应和服务部门执行助理主任理查德·a·麦克菲利(Richard a . McFeely)在国会的证词,承诺将与私营部门进行更好的合作。
他说:“过去,黑客行业向我们提供了发生过的攻击的信息,我们也对这些攻击进行了调查,但我们并不总是提供反馈信息。我们意识到信息的流动必须是双向的,”McFeely说。“作为我们加强私营部门外展的一部分,我们已经开始向行业合作伙伴提供机密威胁简报以及其他信息和工具,帮助他们击退入侵者。”
但即便如此,也需要私营部门做好应对准备。该调查援引一位退休的联邦调查局官员的话说,该机构会在获得信息后迅速分享信息,但大多数公司没有适当的应对计划来利用这些信息。
最后,公司必须解决他们的“技术债务”,调查估计这将很快达到1万亿美元。
“公司把IT预算花在新兴的商业技术上,却让自己的IT基础设施老化和萎缩,以至于系统无法支持基本的数据安全功能,”报告称,这与美国对交通基础设施的忽视形成了对比
它建议检查防火墙、身份管理系统、操作系统、硬件、企业应用程序、路由器和交换机,以确保它们是最新的。
虽然延期维护并不是什么新鲜事,但报告指出,“新鲜的是对手提高了许多公司的风险。”
伯格说,对网络事件的分析经常发现,攻击者通过“旧操作系统、硬件和软件中已知的漏洞”进入组织的基础设施,“这些漏洞的维护、升级和退役被推迟,以满足近期的预算压力。”实际上,组织正在增加他们的攻击面。”
这个故事,“为什么商业正在输掉对网络犯罪的战争”最初是由方案 .