在企业争相修补CrowdStrike于7月19日发生的大规模IT故障所造成的漏洞之际,黑客正在利用这一情况,在网络钓鱼活动中假冒CrowdStrike,冒充受影响企业的合法支持来源,以未经授权的方式访问企业网络。
约翰霍普金斯大学凯瑞商学院信息系统助理教授贾瓦德-阿贝德说,当你的系统瘫痪时,就为黑客入侵你的数据创造了最好的机会。这就是多层次安全至关重要的原因。冗余是关键。您需要百分之百地假设威胁会发生,并围绕零信任建立您的安全。
CrowdStrike事件扰乱了医疗保健、航空和金融服务等行业,仅达美航空一家就损失了约5亿美元,这清楚地提醒我们,尽管领先的网络安全公司拥有先进的能力,但漏洞仍有可能发生,而且确实发生了,这促使我们紧急重新评估当前的防御措施,尤其是在受监管行业,因为这些行业的风险特别高,威胁也不断变化。
这就提出了一个至关重要的问题:在网络威胁日益复杂和无情的时代,受监管行业在提高网络安全标准方面是否做得足够?
阿贝德认为,还需要做更多的工作。企业主仍然认为安全是一种成本。他说,这就是造成许多问题的原因。在安全方面花钱是一种投资,不应该被视为成本。他补充说,金融、医疗保健和其他受监管行业应考虑自身的特殊需求,并采用军用级组件定制防御系统。
Abed将军事级网络防御定义为高度主动的防御,通过先进的威胁情报、实时数据分析、机器学习和预测建模,强调预防而非检测。他说,军事级网络防御还使用最高的加密标准和复杂的访问控制系统,通常采用生物识别验证和智能卡。与此相反,Abed解释说,传统的网络安全方法更注重检测和响应,使用强大但不太严格的加密和更简单的验证方法。
实施军事级网络安全并非没有挑战。高昂的成本、对专业人员的需求以及与现有系统潜在的兼容性问题,都是企业必须考虑的重大障碍。阿贝德说,一些军事级别的战略可能会中断运营或成本高于收益,因此采用这种战略可能没有意义。
解决办法是什么?他说,混合模式是最合理的。他们可以通过分析在业务流程的不同方面可以牺牲多少来逐步采用技术、控制和战略。
处理敏感信息的组织是外泄的主要目标。2024年,受监管行业的数据泄露数量和成本都大幅增加。根据IBM和PonemonInstitute最新发布的数据泄露成本年度报告,受影响最大的行业是医疗保健、金融和工业,技术行业也不甘落后,每次泄露545万美元。
ThinkGard公司安全服务副总裁科尔-双熊说,这些行业都有严格的网络安全要求,并补充说,违规行为会被处以高额罚款,这取决于疏忽程度和违规行为是否得到及时纠正。2022年,打车服务公司滴滴因违反数据安全法被中国罚款超过10亿美元;2021年,亚马逊因违反欧盟《通用数据保护条例》被罚款8.77亿美元。
根据《2024年Verizon数据泄露调查报告》,自2023年以来,利用漏洞作为入侵初始接入点的情况增加了180%。组织平均需要55天才能修复50%的关键漏洞,这给威胁行为者提供了充足的时间来利用漏洞。
然而,漏洞利用并不是网络犯罪分子渗透组织的唯一方法。根据Verizon的报告,人为错误占事件的68%,包括员工成为网络钓鱼攻击的受害者和内部数据处理不当。自2023年以来,涉及第三方供应商或合作伙伴的供应链攻击从9%增加到15%。美国国家情报局局长AvrilHaines在今年5月举行的全球威胁听证会上表示,去年全球勒索软件攻击数量增长高达74%。去年发生的重大数据泄露事件包括:美国电话电报公司(AT&T)的大规模数据泄露事件,该公司2.41亿无线客户的数据几乎全部外泄;Cencora公司的数据泄露事件,11家主要制药公司的数据受到影响;联合健康公司的ChangeHealthcare遭到网络攻击,估计三分之一美国人的数据受到影响,赎金损失达2200万美元。
两只熊说,情况会继续恶化,最大的原因是人工智能的产生。他还指出,Z世代也是一个日益严重的威胁。未来五年,除非经济好转,否则我们将看到Z世代愿意实施欺诈,因为他们对美国的经济前景感到绝望。因此,我们不仅要担心来自外部的威胁,还要担心内部用户,他说。
Abed表示同意。经济状况不佳是一个诱因,尤其是在技术和IT领域。企业内部的员工会进行更多的蓄意攻击。
Bitwarden首席客户官GaryOrenstein表示,虽然军事级网络安全提供了强大的防御能力,但人的因素仍然至关重要,受监管行业必须在先进技术与有效的人员管理和全面的员工教育之间取得平衡,以防范不断发展的网络威胁。
奥伦斯坦说,归根结底还是人的问题。大多数漏洞都是由于员工没有正确的习惯造成的。我认为,人们不能再选择逃避,因为后果太严重了。
Dashlane的首席技术官FredericRivain对军事级防御系统的必要性持相反观点。他认为,人为错误仍然是最常见的渗透方法,并认为教育至关重要。
安全是一种常识。Rivain说,你需要确保员工有适当的凭证卫生,不会暴露在不必要的风险中。他强调了最佳实践和工具对指导员工的重要性。
但TwoBears表示,无论员工是否接受过教育,越来越多地使用生成式人工智能工具来制作高度逼真的网络钓鱼邮件,都会使收件人更难识别这些邮件是否是欺诈性的。
TwoBears说,多因素身份验证很重要,你必须拥有它,但你仍然需要拥有多层身份验证。没有多因素身份验证,威胁行为者仍然可以获得访问权限。