行动纲要

介绍

更多地把（网络安全）视为道路和汽车的安全和安保。在过去的30年里，这辆车没有真正改变过，但内置了很多安全性，在它救了你的命之前，它并不性感。你有一些隐藏的安全气囊，还有一些像安全带一样提醒你注意安全的装置……其中一些是关于良好的行为和良好的态度，一些是关于身体安全的，提醒你有危险，还有一些是为了拯救你。

–赛门铁克高级网络安全策略师西安·约翰

我们会承认的。网络安全并不性感。然而，在当今的数字时代，网络安全对大公司和小创业公司都变得越来越重要。如今，赌注比以往任何时候都高，因为“每家公司都变成了科技公司。”技术已经不仅仅是公司运营的补充，在许多情况下，技术还是公司网络上的资产 是 他们的核心业务。由于移动使用和物联网的兴起以及网络犯罪生态系统的不断发展，黑客攻击变得越来越普遍，这使情况变得更加复杂。

本文概述了网络犯罪分子的类型、网络犯罪策略和成因。这篇文章还包括公司可以用来保护自己的切实解决方案。解决方案包括技术保障和人为因素。例如，领导层必须认识到网络安全是一个战略业务问题，而不仅仅是一个“IT问题”。此外，一些最有效的解决方案相当基础，例如员工教育或用户的双因素身份认证。

什么是网络犯罪？

简而言之，网络犯罪是一种与某种计算机或网络有关的犯罪。它可以以多种形式形成，来自具有不同激励因素的个人或团体。网络威胁从根本上来说是不对称的风险，因为一小群人可能会造成不成比例的巨大损失。

网络罪犯的类别

1. 出于经济动机的有组织犯罪集团: 这些团体大多位于东欧
2. 民族国家行为者: 直接或间接为政府工作的人窃取敏感信息并破坏敌人的能力。他们通常是最老练的网络攻击者，其中30%来自中国。
3. 激进组织或“黑客行动主义者”: 通常不会出来偷钱。他们出来宣传他们的宗教、政治或事业；影响声誉或影响客户。
4. 内部人士: 这些是在公司内部运作的“幻想破灭、被勒索、甚至过度帮助”的员工。但是，他们不得故意参与网络犯罪活动；有些人可能只是拿走了联系人列表或设计文档，而没有意识到它可能造成的伤害。

网络犯罪分子的平均年龄为35岁，80%的犯罪黑客与有组织犯罪有关联。简而言之，人们选择这个作为职业。

网络犯罪策略

网络犯罪分子利用静态和动态方法实施犯罪。让我们深入研究一下。

分布式拒绝服务（DDoS）

DDoS攻击试图中断网络服务。攻击者通过网络发送大量数据或流量，直到网络过载并停止运行。淹没受害者的传入流量来自许多不同的来源，可能有数十万个。这使得无法通过阻止单个IP地址来阻止攻击，并且难以区分合法流量和攻击流量。

网络钓鱼

网络钓鱼攻击通常伪装成向受信任的第三方请求数据，通过电子邮件发送，并要求用户点击链接并输入个人数据。它通常涉及心理操纵，引发紧迫感或恐惧，愚弄不知情的个人交出机密信息。

有几个相关因素。首先，网络钓鱼电子邮件变得越来越复杂，看起来往往就像合法的信息请求。其次，网络钓鱼技术现在被许可给网络犯罪分子使用，包括按需网络钓鱼服务和现成的网络钓鱼工具包。也许最令人担忧的事实是，黑暗网络服务使网络犯罪分子能够改进他们的活动和技能。事实上，钓鱼邮件被点击的可能性是普通消费者营销邮件的六倍。

恶意软件

恶意软件是“恶意软件”的缩写，旨在获取访问权限或破坏计算机。恶意软件是包括特洛伊木马、病毒和蠕虫在内的一系列网络威胁的总称。它通常通过电子邮件附件、软件下载或操作系统漏洞被引入系统。

内部特权滥用

虽然向维基解密泄露信息的恶意内部人员获得了所有的媒体和荣耀，但更常见的情况是一名普通但投机取巧的员工或最终用户秘密获取机密数据，希望在未来某个时候变现（60%的情况下）。有时，员工会过于好奇并进行一些窥探（17%）。个人信息和医疗记录（71%）是金融犯罪的目标，如身份盗窃或纳税申报欺诈，但有时只是为了八卦。

实体卡套机

这些攻击包括在从支付卡读取磁条数据的资产上进行物理植入（例如，ATM、加油站、POS终端）。进行这样的攻击相对快速简单，有可能获得相对较高的收益——这也是一种流行的动作类型（8%）。

网络安全后果和成本

企业成本

三年前，《华尔街日报》估计美国网络犯罪的成本为1000亿美元。其他报告估计这一数字比这一数字高出十倍之多。2017年，数据泄露的平均成本为735万美元，而2014年为5.85美元。成本包括从检测、遏制和恢复到业务中断、收入损失和设备损坏的一切。除了金钱方面的担忧，网络违规还会毁掉无形资产，比如公司的声誉或客户的好感。

有趣的是，商业创新水平最高的公司往往遭受代价更高的攻击。“商业创新”可以是从收购或剥离到进入一个新的地理市场的任何事情。事实证明，公司收购或剥离会增加20%的网络犯罪成本，而推出一个重要的新应用程序会增加18%的成本。

对于金融服务公司来说，安全违规后的成本可归因于业务中断、信息丢失、收入损失和其他成本。

金融服务业的网络安全问题非常突出

不幸的事实是，尽管没有哪个行业能够幸免于难，但网络安全问题在金融服务业尤为突出。根据2017年威瑞森数据泄露调查报告，24%的泄露事件影响到金融机构（顶级行业），其次是医疗保健和公共部门。相比之下，2012年该行业排名第三，仅次于国防、公用事业和能源行业。除了频率之外，融资公司的成本是所有行业中最高的，2013年平均损失1650万美元。

在金融服务领域，最常见的网络入侵类型涉及DDoS攻击。而且，就所有DDoS攻击而言，金融业受到的打击最大。

著名的金融服务黑客攻击

对六家美国银行的攻击（2012年）

2012年，美国六大银行（美国银行、摩根大通、花旗集团、美国银行、富国银行和PNC）成为一个声称与中东有联系的组织的一波计算机攻击的目标。这些攻击导致互联网中断和网上银行服务延迟，导致客户无法访问他们的账户或在线支付账单。

这些是DDoS攻击，黑客攻击银行网站直至关闭。这些攻击还利用了僵尸网络，这是一种受感染的计算机网络，为犯罪分子服务。有时，僵尸网络被称为“僵尸计算机”，它们服从“主僵尸网络”的命令不幸的是，这些可以通过黑市出租或被罪犯或政府借出。

摩根大通（2014年）

2014年夏天，在美国银行迄今为止最大的安全漏洞中，大约8300万个账户的姓名、地址、电话号码和电子邮件地址遭到黑客攻击。具有讽刺意味的是，摩根大通每年在计算机安全上花费约2.5亿美元。2014年的入侵不是复杂计划的结果。这次攻击没有使用零日攻击，这是一种新颖的软件漏洞，在黑市上售价高达数百万美元。它也没有利用朝鲜黑客在对索尼的网络攻击中使用的恶意软件。相反，问题的根源是基本的:该银行没有采用双因素身份认证，这是用户登录访问数据或应用程序时的额外安全层。摩根大通的安全团队忽略了用双密码方案升级其一台网络服务器，仅此而已。

SWIFT支付系统（2016年）

2016年2月，全球银行间金融电信协会（SWIFT）遭到黑客攻击，该协会是一个由11，000多家银行组成的国际财团，旨在促进跨境转账。SWIFT网络的一个用户孟加拉国银行遭到黑客攻击，金额达8100万美元。在纽约美联储银行阻止另外30笔可能转移8.5亿美元的交易之前，只有一小部分被追回。

这些攻击表明，支付网络的可信度取决于其最薄弱的环节。许多业内人士对此次袭击并不感到意外。网络安全公司Gotham Digital Science的联合创始人贾斯汀·克拉克-绍特（Justin Clarke-Salt）表示，这些攻击利用了系统中的一个弱点:并非每个机构都以相同的方式保护对SWIFT的访问。毕竟，“攻击者经常攻击更容易攻击的人……就我们所知，迄今为止公开报道的情况表明，他们主要针对规模较小的金融机构。这可能是因为它们的控制手段不太复杂。”

小公司还是大公司更容易受到影响？

虽然新闻经常报道对大公司（塔吉特、雅虎、家得宝、索尼）的攻击，但小公司 不 免疫。根据2016年中小企业网络安全状况报告，在过去的12个月里，黑客入侵了美国一半的小企业。

一些人认为，一方面，较小的公司可能无法从网络攻击中恢复过来。* *赛门铁克高级网络安全策略师西安·约翰（Sian John）表示，遭遇安全问题的公司在随后的一年里会遭受“巨大的声誉和财务打击”，然后才会恢复正常。她质疑道，“如果你是一家规模较小的公司，你能挺过那次衰退吗？”

另一方面，其他人认为，小公司处于优势地位:“大公司比小公司更容易受到攻击:它们拥有大数据池，数百人必须能够访问……如果你处于规模较小的一端，那么聪明地了解业务流程并了解这些业务流程可能会被利用的地方比大型组织更容易，”普华永道（PricewaterhouseCoopers）合伙人理查德·霍恩（Richard Horne）宣称。

网络安全挑战

导致网络犯罪上升的因素

一种“公司”类型的网络罪犯已经出现

网络犯罪分子现在正在采用企业最佳实践来提高攻击效率。一些最有胆识的犯罪分子正在向不太老练的犯罪分子出售或授权黑客工具。例如，职业罪犯一直在公开市场上向罪犯出售零日技术，并在那里迅速商品化。犯罪团伙还提供勒索软件服务，即冻结计算机文件，直到受害者满足金钱要求，然后收取提供许可证的佣金。

现在有一个完整的资源生态系统可供网络犯罪分子利用。“先进的犯罪攻击团体现在与民族国家攻击者的技能相呼应。他们拥有广泛的资源和高技能的技术人员，他们的工作效率非常高，可以维持正常的工作时间，甚至可以在周末和节假日休假……我们甚至看到低级别的犯罪攻击者创建呼叫中心业务，以提高他们的骗局的影响力，”赛门铁克总监凯文·哈利说。

第三方供应商的安全性

如果第三方遭到黑客攻击，您的公司将面临丢失业务数据或泄露员工信息的风险。例如，2013年导致4000万客户账户受损的Target数据泄露事件是由第三方供暖和空调供应商的网络凭据被盗造成的。2013年的一项研究表明，当年63%的数据泄露调查与第三方组件有关。

客户越来越多地使用移动技术

由于网上攻击目标越来越多，黑客攻击变得比以往任何时候都容易。在消费者银行业务中，移动设备和应用程序的使用呈爆炸式增长。根据贝恩公司（Bain & Company）2014年的一项研究，手机是22个国家中13个国家最常用的银行渠道，占全球所有互动的30%。此外，消费者已经采用了移动支付系统。对于与金融科技初创公司竞争的银行来说，客户便利性仍将非常重要。他们可能不得不权衡潜在的欺诈损失与更不方便的用户体验带来的损失。一些机构正在利用高级身份认证来应对这些额外的安全风险，允许客户通过语音和面部识别访问其账户。

物联网的激增

物联网（IoT）致力于实现各种设备（包括电器、汽车和建筑物）的互联。例如，如果你的闹钟在早上7点响起，它可以自动通知你的咖啡机开始为你冲咖啡。IoT围绕机器对机器的通信；它是移动的、虚拟的，并提供即时连接。目前使用的物联网设备超过10亿台，预计到2020年将超过500亿台。问题是许多便宜的智能设备通常缺乏适当的安全基础设施。当每项技术都具有高风险时，结合使用时风险会呈指数级增长。

网络安全意识与应对准备

尽管围绕网络安全及其威胁的报道屡见报端，但企业的意识与应对这一问题的意愿之间仍存在差距。去年，黑客入侵了一半的美国小企业。在Ponemon研究所2013年的调查中，75%的受访者表示他们没有正式的网络安全事件响应计划。66%的受访者对其组织从攻击中恢复的能力没有信心。此外，网络安全公司Manta 2017年的一项调查显示，三分之一的小企业没有保护自己的工具。

从战术上讲，金融服务公司在检测和应对攻击方面还有很多需要改进的地方。2013年，针对金融服务公司发起的攻击中有88%在不到一天的时间内就成功了。但是，其中只有21%是在一天之内发现的，在发现后阶段，只有40%是在一天时间内恢复的。

网络安全解决方案需要多管齐下的方法

网络安全没有“一刀切”的解决方案。然而，总的来说，解决方案应该既包括复杂的技术，也包括更“人性化”的部分，例如员工培训和董事会中的优先排序。

可操作的威胁情报

实时智能:

实时情报是预防和遏制网络攻击的有力工具。识别黑客行为花费的时间越长，其后果的代价就越大。Ponemon Institute年的一项研究显示，IT高管认为，提前不到10分钟通知安全漏洞就足以消除威胁。只需60秒的妥协通知，由此产生的成本就可以降低40%。

BAE系统公司网络服务总监詹姆斯·哈奇（James Hatch）表示，“及早发现（网络攻击）至关重要……这可能是损失10%的（电脑）和50%的区别。”不幸的是，在现实中，公司平均需要七个多月的时间才能发现恶意攻击。

补充行动:

公司可以采取一些较小的战术步骤来保护自己。其中包括:

• 制定了多层防御战略。 确保它覆盖您的整个企业、所有终端、移动设备、应用程序和数据。在可能的情况下，对网络和数据访问使用加密和双因素或三因素身份认证。
• 执行第三方供应商评估或与第三方签订服务级别协议: 对其他人可以访问的人员和内容实施“最低权限”策略。养成与第三方一起审查凭据使用情况的习惯。您甚至可以通过服务水平协议（SLA）更进一步，该协议通过合同规定第三方有义务遵守您公司的安全策略。您的SLA应该赋予您的公司审核第三方合规性的权利。
• 持续备份数据。 这有助于防范勒索软件，勒索软件会冻结计算机文件，直到受害者满足金钱要求。如果你的电脑或服务器被锁定，备份数据可能是至关重要的，因为你不需要为访问数据付费。
• 频繁打补丁。 软件补丁是现有软件中的代码更新。它们通常是软件完整版本之间的临时修复。补丁可以修复软件缺陷、解决新的安全漏洞、解决软件稳定性问题或安装新的驱动程序。
• 将软件应用程序列入白名单。 应用程序白名单将防止计算机安装未经批准的软件。这使得管理员可以进行更多的控制。

反黑客保险

一个新兴趋势是反黑客保险或网络保险。它的范围因提供商而异，但通常可以防止安全漏洞和损失。保险公司通常将其每个客户的保险金额限制在500万至1亿美元之间。截至2016年10月，只有29%的美国企业购买了网络保险。然而，到2025年，整个网络保险市场预计将从目前的32.5亿美元增长到200亿美元。保险公司很乐观，估计未来几年保费将增长两倍。

对于一个组织来说，要确定它需要多少网络保险，它应该衡量其网络风险。It部门必须了解他们的资产如何受到网络攻击的影响，以及如何确定它们的优先级。

臭虫奖励计划

该行业的另一个新想法是一个名为bug赏金计划的项目，一个组织向外部人士（“友好黑客”）支付费用，以通知其安全缺陷。从谷歌和Dropbox到美国电话电报公司和LinkedIn等公司都已经采用了这种做法。

不要忘记人的因素

• “IT问题”变成了战略性业务问题。 对于许多首席执行官和首席财务官来说，黑客攻击可能会令人沮丧，因为他们不了解敌人。风险管理协会主席理查德·安德森表示，“仍有许多人在大公司任职，他们仍将此视为极客们关心的事情，而不是一个商业问题。”然而，正如统计数据所显示的那样，这与事实相去甚远。德勤的一份白皮书建议建立一个专门的网络威胁管理团队，并创造一种“网络风险意识文化”。还建议各组织指定一名首席信息安全官（CISO）。例如，摩根大通和塔吉特分别在2014年和2013年被攻破时都没有CISOs。
• 员工培训。 数据泄露通常是人类心理弱点的结果。因此，教育您的员工有关安全漏洞的警告信号、安全实践（在打开电子邮件附件时要小心，他们在哪里上网）以及如何应对可疑的接管是至关重要的。

离别的思念

对日益关注网络安全危险的一个常见反驳是， “那是什么？难道我们就应该因为害怕攻击而停止创新吗？” 答案是，不完全是。然而，公司将网络安全视为道德问题可能会有所帮助。也就是说，网络安全不应该仅仅是一个技术问题，也应该是一个道德问题。毕竟，创造和销售让消费者易受伤害的技术是道德的吗？在硅谷的“不发展就灭亡”和有时短视的文化中，这可能是一种不受欢迎的态度。

然而，其他行业也有先例。例如，美国医学协会和美国律师协会要求专业人员遵守各自的道德准则。医生必须宣誓履行希波克拉底誓言，这是历史上最古老的具有约束力的文件之一，要求医生发誓保护他们的病人。同样，律师遵循职业行为的示范规则，发誓保护和尊重他们的客户。

我们都应该记住，尽管技术可能会出现和消失，但对和错永远不会改变。