2014年明确指出,网络犯罪影响到每个人。从零售商到银行,从消费品公司到医疗保健,没有一个行业不受网络罪犯的影响,他们的目的是破坏、盗窃或让人难堪。那么有什么需要改变的呢?最近索尼的攻击以及其他无数的例子表明,需要对董事会成员和高管要考虑风险管理和业务弹性的概念下的网络安全。
毕竟,当它涉及到的业务弹性,大多数网络安全从业者认为传统的连续性或灾难恢复的。然而,在当今的网络世界中的术语“可用性”并不仅仅适用于系统与IT功能。它也适用于驱动品牌资产的人员,流程和技术。总之,业务弹性是认识和天气一个网络风暴,是在一个位置,必要时降低单位面临的危害,最重要的是,快速转动一个组织的能力。
随着越来越多的董事会成员、风险委员会和风险高管开始为企业的韧性负责,法律和责任格局也正在转向一种业务韧性的运营状态——要么通过监管努力,要么在违约后与消费者、股东、监管机构和业务合作伙伴提起诉讼。
监管机构和保险公司不希望公司被免疫的风险,但尽职调查和应有的谨慎预期将有助于减少网络风险,这需要完整的情况下围绕他们所面临的风险。这包括高层次理解谁可以针对您(演员),他们所追求的(目标),如果他们成功的任何后果(效果),以及他们如何会犯的网络犯罪(实践)。让我们来举例说明使用索尼攻击这些元素:
演员:“黑客行动主义”与民族国家的赞助
像和平(GOP)和叙利亚陆军电子的监护人组代表一个有趣的新趋势:与民族国家的赞助黑客行为。这些集团利用典型的黑客行动主义者的许多战术(数据泄密,网站涂改等),但由民族国家直接和/或间接的支持。在索尼的情况下,它看起来像GOP(与何人最终负责)使用的恶意软件,数据破坏和数据泄露破坏和摧毁。
虽然索尼制造的反应动作没有完全公开,在类似的情况的指标和措施的公司可能考虑的例子包括:
状况指标:
- 增加讨论和/或对社交媒体或地下通道攻击威胁
- 试图启动分布式拒绝服务攻击
- 损毁面向公众的网站
- 威胁或行动,揭露和组织的信息被盗
对策:
- 提高组织的行动的地缘政治和社会影响的态势感知能力
- 知道什么是一个组织内的资产有可能引发从黑客行动主义或民族国家的演员阴性反应的潜力
- 了解并预先计划的网络,品牌和公共关系的后果
- 部署反钓鱼技术
的关键经验风险执行:拓宽知识领域,以超越传统上是基于IT学科的风险状况。常常组织陷入看着只有比特和字节的陷阱,但关键是要了解谁在攻击你,为什么。请记住,网络攻击是通过谁是由欲望所驱使您的数据的人身上进行。监控社交媒体帐户或可能威胁集团的声明。以勒索威胁严重。谁违反索尼恶意演员是说有SENT高管的电子邮件之前的初始泄漏三天。
目标:员工数据,IP,文件和电子邮件
虽然金融违规和被盗的支付卡数据主导的新闻,大多数组织都希望犯罪分子的其他数据过多。在索尼的情况下,员工被偷自己的个人信息,包括银行信息,护照和社会安全号码和病历。知识产权也受到影响,包括一些未发行的电影,脚本和电视节目。公司文件,显然也被盗,其中包括数千密码的各种服务和大量的电子邮件。
值得注意的非公开数据的窃取,即使它不是高度保密,可能会导致问题。在索尼的情况下,泄漏的内部电子邮件导致声誉受损,并为未来项目的其他潜在的并发症。
状况指标:
- 网络犯罪分子和黑客行动主义者往往会出售在地下偷来的数据,或者通过社交媒体泄露它
- 法院审理的案件继续定义一样围绕数据网络保险保护的程度,被盗和/或泄露
对策:
- 保持尝出威胁环境和什么样的数据被定位于与你相似的组织
- 不要存放过多的数据
- 分类您的所有数据,并了解双方的法律规定的保护水平和您的组织的风险承受能力
- 要知道,像电子邮件这样保护较少的数据可能会成为攻击目标,并被用来破坏一个组织的品牌
- 围绕各种数据类型的保护级别员工进行培训,使他们不小心在不安全的方式公开关键数据
的关键经验风险执行:记录的分类主要系统,如果违反,可能会导致大量的数字危害到你的组织,如系统那房子的个人信息,健康档案,信用卡号码和知识产权,以及预计划事件和违约的应对行动。
影响:数据被盗/泄漏,停工,经济损失
从索尼违约的影响影响每个人,从高管到员工。机密信息被泄露在网上,现在几个索尼员工起诉公司为突破口的结果。由于攻击的消息,索尼的股票价格也大幅下降。
状况指标:
- Spike在数据读取量
- 可疑的系统文件的更改
- 不寻常的身份验证和网络流量
对策:
- 监视活动以捕捉尖峰或异常
- 通过控制访问具有重要的数据和服务的增加控制像双因素认证
- 加密数据以保护它,即使它被盗
- 备份所有重要数据
给风险执行员的主要教训:确保你有一个事故响应(IRP)计划和一个破坏响应(BRP)计划,它们应该是分开的和不同的。从IR到BR的过渡阶段应该有可识别的决策点,包括角色和权力级别。在许多情况下,除了违约行为本身造成的损害之外,组织还会因违约后的行为给组织带来更多的责任。
被称为Destover或刮水器 - - 这应该已经在索尼袭击中使用的恶意软件删除和覆盖硬盘,销毁数据,并使得它非常困难和昂贵的,如果不是不可能,使用标准的取证方法来恢复信息。具体数字尚未公开发布,但在硬件,软件和数据的成本可能索尼是巨大的。
虽然恶意有效负载的传递机制尚未公开,但它可能会归结为管理不善的访问和特权控制,让内部人员进入公司网络的访问达到不必要的危险级别。物理访问控制、敏感数据分类策略、数据加密和远程备份都有助于提高遭遇攻击时的业务弹性。
状况指标:
- 奇怪的或改变的设备的行为(前所未有缓慢,不稳定的光标等)
- 在网络流量和/或速度的变化可以指向数据泄露或被盗
- 在网络钓鱼和垃圾邮件水平的提高可能意味着有针对性的攻击正在进行
- 员工在非正常时间或在职责范围之外访问实体或数字资产可能意味着证书被盗或内部盗窃
对策:
- 培训员工通知和报告异常事件或设备的行为
- 在源,目标和体积的不规则监控网络流量
- 保持软件补丁和更新
- 培训员工避免和报告网络钓鱼企图,并定期跟进
对于风险执行的主要经验教训:采取什么IT服务应该在公司内部与外包操作的很难看。通过数据抹恶意软件或勒索检测的时候,它往往是来不及恢复数据。最便宜和最可靠的方法来保护公司的数据是保持定期更新的远程备份或转移到云提供商。核心业务应用,如电子邮件,人力资源/薪资(ERP),用户存储和其他类似性质的服务通常可以外包给在具有成本效益的云中托管一个值得信赖的服务提供商。
定义和管理
对手几乎总是在追求两种能力:特权升级和行动自由。要想否认这两点,企业文化及其与用户便利性的关系是一个直接的挑战。挑战在于确定安全与可用之间的最佳位置。以下是如何达到平衡的方法:
- 与业务主管就安全与可用进行坦诚的讨论,并根据内部和外部责任定义组织的“良好定位”。
- 执行数据治理和威胁评估,重点关注业务弹性。攻击不能总是被阻止,并且在成功的攻击事件中必须计划一定程度的恢复能力。美国联邦调查局网络部门助理主任约瑟夫·德马雷斯特(Joseph Demarest)谈到索尼遭受的黑客攻击时说:“黑客使用的恶意软件可能已经突破了如今私营企业90%的网络防御系统,(很可能)甚至挑战了州政府。”
- 最后,无论组织规模或法规要求,建立起具有的业务弹性和风险,使“网络”到板上的企业整体风险管理计划报告的焦点支柱监督风险委员会。
具有包括网络将不仅可以节省影响事件的钱,同时也将允许业务更快地恢复,如果不是数据丢失或破坏一个业务弹性计划。
Meyer是观浪实验室,一个网络风险情报公司首席安全战略家。在加盟观浪实验室,他是首席信息安全官华盛顿大都会捷运局,一个在美国最大的公共运输系统,以及信息安全保障与指挥IA项目经理的主任为海军航空作战中心,海军航空系统司令部,一个雷竞技比分海军的首要工程和收购的命令。他可能在达到adam.meyer@surfwatchlabs.com