網(wǎng)絡(luò)犯罪已成為一種有利可圖的商業(yè)模式,最近的勒索軟件攻擊就是證明,犯罪分子不斷完善低投資、高回報(bào)的攻擊活動(dòng)。雖然大多數(shù)攻擊始于電子郵件,但網(wǎng)絡(luò)罪犯使用的技術(shù)、工具和程序正在迅速發(fā)生變化。這種快速的演變使得組織領(lǐng)導(dǎo)人越來(lái)越難以及時(shí)地適應(yīng)威脅景觀的變化。
以下為Proofpoint公司的首席信息官對(duì)其以人為中心網(wǎng)絡(luò)安全方法的簡(jiǎn)要介紹。
黛博拉·沃森(Deborah Watson)是Proofpoint的首席信息官,在安全方面有超過(guò)20年的經(jīng)驗(yàn)。
我們看到越來(lái)越多的攻擊技術(shù)之一是社會(huì)工程攻擊,惡意行為者收集組織內(nèi)部人員的信息,誘騙用戶頻發(fā)安全錯(cuò)誤。從態(tài)度上講,網(wǎng)絡(luò)罪犯在實(shí)施以人為中心的攻擊時(shí),花費(fèi)的精力、時(shí)間和資源與他們致力于了解企業(yè)網(wǎng)絡(luò)中的漏洞一樣多。一些電子郵件冒充同事和供應(yīng)商,利用了提供各種支持的員工。還有一些電子郵件攻擊,利用已偵察到的信息來(lái)模擬標(biāo)準(zhǔn)用戶界面,從而提高憑證盜取成功率。
在一個(gè)犯罪分子戰(zhàn)略性地把目標(biāo)鎖定在人身上的威脅場(chǎng)景中,組織機(jī)構(gòu)的領(lǐng)導(dǎo)人可能會(huì)對(duì)誰(shuí)代表著組織中最大的風(fēng)險(xiǎn)做出許多假設(shè)。但如果領(lǐng)導(dǎo)人不完全了解誰(shuí)是弱勢(shì)群體、特權(quán)階層和目標(biāo)群體,這些假設(shè)就可能是錯(cuò)誤的。雖然他們的安全生態(tài)系統(tǒng)監(jiān)控著網(wǎng)絡(luò)活動(dòng)、云環(huán)境和終端設(shè)備,但他們可能錯(cuò)過(guò)了一個(gè)機(jī)構(gòu)最突出的安全和合規(guī)風(fēng)險(xiǎn)——它的員工。
人為失誤仍然是最重要的風(fēng)險(xiǎn)因素
網(wǎng)絡(luò)釣魚和憑證盜竊是攻擊者用來(lái)進(jìn)入組織的兩種主要技術(shù)。威瑞森的《2021年數(shù)據(jù)泄露調(diào)查報(bào)告》發(fā)現(xiàn),94%的入侵都是從電子郵件攻擊開始,電子郵件現(xiàn)在是頭號(hào)威脅向量。
讓情況更加復(fù)雜的是,黑客已經(jīng)在他們的電子郵件中增加了很強(qiáng)的欺詐性,員工在有限的時(shí)間內(nèi)在打開附件或點(diǎn)擊網(wǎng)址之前評(píng)估電子郵件安全可靠的可能性降低。確實(shí),制作拙劣的電子郵件仍然存在,并且廣泛分布,但現(xiàn)代電子郵件安全解決方案通常捕捉粗糙的攻擊。如今的攻擊往往目標(biāo)針對(duì)性更強(qiáng),而且明確地旨在顛覆傳統(tǒng)的電子郵件過(guò)濾機(jī)制,因?yàn)榘l(fā)送的電子郵件數(shù)量減少了被檢測(cè)到的可能性。
傳統(tǒng)的網(wǎng)絡(luò)安全威脅是建立在線性殺傷鏈的基礎(chǔ)上的——對(duì)系統(tǒng)和軟件漏洞的偵察導(dǎo)致了允許訪問(wèn)組織資產(chǎn)的漏洞。目前的攻擊模式表明,員工和供應(yīng)鏈中的人員是更容易被設(shè)定為攻擊目標(biāo)。
攻擊者是根據(jù)現(xiàn)成的數(shù)據(jù)來(lái)針對(duì)目標(biāo)人群的。例如,社交網(wǎng)絡(luò)賬戶允許他們根據(jù)特定的角色和職責(zé),為那些更有可能點(diǎn)擊電子郵件的人,設(shè)計(jì)常見的內(nèi)容類型。一旦網(wǎng)絡(luò)犯罪分子通過(guò)泄露的憑證或使用勒索軟件進(jìn)入系統(tǒng),他們就可以花時(shí)間收集有關(guān)該組織的信息,游走移動(dòng)到組織結(jié)構(gòu)的某個(gè)部分,在那里發(fā)動(dòng)攻擊。
以人為本的網(wǎng)絡(luò)安全方法
許多組織可能會(huì)對(duì)他們是如何被定位和攻擊做出定性的假設(shè)。組織經(jīng)常采取的一種策略是,根據(jù)他們認(rèn)為在缺乏情報(bào)數(shù)據(jù)的情況下是正確的,在組織內(nèi)部人員(如主管或高級(jí)財(cái)務(wù)資源)周圍包裝額外的安全保護(hù)層。然而,這種策略可能會(huì)忽視那些從事各種低級(jí)工作的人,而這些工作往往會(huì)為犯罪分子提供一個(gè)輕松的機(jī)會(huì)。
以人為中心的方法為機(jī)構(gòu)提供了應(yīng)用基于風(fēng)險(xiǎn)-風(fēng)險(xiǎn)控制的能力,因?yàn)檫@些工具著眼于三個(gè)關(guān)鍵領(lǐng)域的數(shù)據(jù):
組織內(nèi)的哪些工作職能會(huì)成為目標(biāo)?
這些員工容易受到不同類型的攻擊嗎?
他們有什么系統(tǒng)和信息訪問(wèn)權(quán)限?
不同于以同樣的方式對(duì)待組織中的每個(gè)人,機(jī)構(gòu)安全團(tuán)隊(duì)可以創(chuàng)建一個(gè)關(guān)于他們的安全風(fēng)險(xiǎn)的知情的圖片,并基于當(dāng)前的情境情報(bào)實(shí)施自適應(yīng)的安全控制。自適應(yīng)控制可能包括使用零信任應(yīng)用程序訪問(wèn)、瀏覽器隔離、逐步和基于風(fēng)險(xiǎn)的身份驗(yàn)證以及有針對(duì)性的安全培訓(xùn)。應(yīng)用自適應(yīng)策略還可以有利于用戶監(jiān)控程序,支持隱私需求,最小化數(shù)據(jù)收集并加快調(diào)查。
使用平臺(tái)方法來(lái)管理自適應(yīng)控制,整合和關(guān)聯(lián)策略,情報(bào)和支持易于報(bào)告。這種方法的結(jié)果是,在不增加人員的情況下提高了對(duì)情境的認(rèn)識(shí)。工作效率的提高使機(jī)構(gòu)工作人員能夠?qū)W⒂谧罱讓m行政令強(qiáng)調(diào)的其他舉措,如持續(xù)監(jiān)控和合規(guī)。
安全威脅風(fēng)險(xiǎn)不斷上升
網(wǎng)絡(luò)罪犯也變得更有組織性,更像企業(yè)。除了創(chuàng)建共享基礎(chǔ)設(shè)施的惡意組織外,它們還共享信息并利用從其他渠道獲得的憑據(jù)轉(zhuǎn)儲(chǔ),利用已知的可見性缺失。因此,各機(jī)構(gòu)需要增加信息共享、控制標(biāo)準(zhǔn)化和實(shí)施現(xiàn)代安全解決方案,以減少日益嚴(yán)重的更有針對(duì)性的攻擊帶來(lái)的風(fēng)險(xiǎn)。
我們每天與全球客戶網(wǎng)絡(luò)合作,檢測(cè)并屏蔽超過(guò)22億封電子郵件和2200萬(wàn)個(gè)云賬戶中的高級(jí)威脅和合規(guī)風(fēng)險(xiǎn)。我們看到了組織是如何受到攻擊的,以及哪些對(duì)策被證明是最有效的。例如,在公共部門,我們可以確定哪些機(jī)構(gòu)、部門和角色比其他機(jī)構(gòu)、部門和角色更有針對(duì)性。
例如,在COVID-19大流行應(yīng)對(duì)期間和之后,醫(yī)療機(jī)構(gòu)越來(lái)越多地成為勒索軟件攻擊的目標(biāo)。這些攻擊的目的與其說(shuō)是為了破壞病人的護(hù)理,不如說(shuō)是為了榨取報(bào)酬。然而,這些攻擊的本質(zhì)表明,犯罪分子可能阻止衛(wèi)生組織提供關(guān)鍵的病人護(hù)理和安全。
金融機(jī)構(gòu)和聯(lián)邦監(jiān)管機(jī)構(gòu)也發(fā)現(xiàn)了網(wǎng)絡(luò)犯罪活動(dòng)的激增。由于許多這樣的機(jī)構(gòu)仍然使用遺留的通信系統(tǒng)進(jìn)行交易,當(dāng)員工轉(zhuǎn)向遠(yuǎn)程工作環(huán)境時(shí),他們失去了一些安全可見性和監(jiān)督。
毫不奇怪,網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)了巨大的機(jī)會(huì),可以通過(guò)社會(huì)工程來(lái)接管賬戶,并滲透到公共和私營(yíng)部門實(shí)體的整個(gè)生態(tài)系統(tǒng)中,這些實(shí)體往往密切合作。
我們看到的另一個(gè)風(fēng)險(xiǎn)因素是,許多機(jī)構(gòu)的安全工具沒有得到充分利用,而那些機(jī)構(gòu)沒有利用完整的可用功能集。安全領(lǐng)導(dǎo)者越能調(diào)整他們的安全策略,以融入以人為中心的觀點(diǎn),他們就越能有效地利用應(yīng)對(duì)當(dāng)下攻擊所需的保護(hù)性控制。
通過(guò)與Proofpoint (Proofpoint Nexus)合作,這些機(jī)構(gòu)能夠變得更加安全,即使員工犯了錯(cuò)誤也能得到保護(hù)。Proofpoint在建立全球情報(bào)平臺(tái)(Proofpoint Nexus)方面擁有超過(guò)十年的經(jīng)驗(yàn),涵蓋威脅保護(hù)、信息保護(hù)和合規(guī)。