如何應對動態的網絡犯罪形勢
在過去的五年,我們在認識網絡犯罪方面取得了長足的進步,但網絡組織和民族國家所構成的威脅也在日益增加。
過去的攻擊通常在戰略上是不成熟的,不協調的,屬于機會主義,譬如勒索軟件攻擊。攻擊使用了冒充流媒體服務、銀行機構或旅行社的普通網絡釣魚誘餌,這些粗獷的犯罪網絡是由罪犯、集團造成的,就像漂浮在海洋上的塑料垃圾一樣,它擾亂了生態系統的各個層面,從個人到銀行,律師事務所和醫院都為之所害。而不管受騙方是誰,贖金支付都是固定利率交易費,并不反映受害人的資金情況。
但是,混亂中出現了秩序。有犯罪集團開始認識到,網絡犯罪比傳統的實體犯罪更有利可圖,危險性更小。這不僅導致了系統性的敲詐勒索,也導致了其更加針對有利可圖的目標,比如擔心名譽受損的律師事務所,或者害怕業務中斷和病人護理受影響的醫院。同時,贖金進入了五位數和六位數的范圍。
這時候,工具開始出現在民間黑市。惡意軟件和像Emotet這樣的傳遞機制已經不是商品了,他們甚至為其他威脅行為者提供惡意軟件交付服務。這反映了這樣一個事實:犯罪集團在利用財富500強企業進行經營,在市場上建立起很好的有效載荷傳輸機制,就像一個企業一樣運營。這也可以理解為網絡工具的商品化。商品化意味著增長,低成本則打開了市場機會。
現在,民族國家正在重新校準雷達,公司發現自己成為貿易戰中受損的一部分,各國利用網絡博弈來試圖平衡經濟影響。
網絡犯罪組織使用最多的攻擊方法是什么?哪種類型的組織風險最大?
沒有人能免受網絡攻擊。但是特定的行業繼續在網絡犯罪領域里占據上風。雖然銀行曾經是將利潤聯系起來的載體(銀行是人們存錢的地方),但現在,犯罪分子正在把其他行業也看作是一場巨大的棋盤。
盡管攻擊手段越來越復雜,但更重要的是了解他們的攻擊目標。他們明白是什么在驅動一個企業,是什么讓他們夜不能寐,是什么讓他們按下釣魚鏈接。因此,犯罪分子使用網絡釣魚誘餌,經常通過攻擊目標自己公司的工具來對付他們,比如利用受信任的供應商,或利用嵌入式工具(如遠程管理協議)來提供對關鍵網絡操作的分散訪問。
最值得注意的是醫院和醫療機構。它們向公眾開放,容易受到攻擊,并且很難防御。隨著物聯網以連接醫療圖像、靜脈注射和患者監測系統的形式滲透到醫療領域,醫院將輕松成為目標。
他們很脆弱,不管是擔心業務中斷、停機時間會影響患者的護理,在醫院和醫療機構,攻擊關于患者的生死。因此,這些機構愿意付出代價,以避免普遍的勒索軟件攻擊造成的系統長期關閉。對于犯罪分子來說,病歷同樣很有價值,可以用來欺騙保險公司。此外,犯罪分子知道,發生數據泄露時,醫院也會支付巨額罰款。因此,醫院會輕易支付贖金,避免停機,患者賬單丟失和監管隱私罰款。
律師事務所和其他商業服務機構(會計,市場營銷,咨詢等)擁有無與倫比的關鍵信息訪問權限,現在也成為犯罪分子的主要攻擊目標。律師事務所控制財務信息,知識產權和其他形式的有價值信息。他們更在意自己的聲譽,并擔心受到公眾攻擊的影響。因此,他們會支付贖金。
制造企業則成為數十億美元欺詐性帳單的受害者。在一個案例中,一家公司面臨著以數百萬美元的成本關閉一條受感染的生產線的困境。當時董事會決定等待預定的維護時段,但承受了由此引發的網絡攻擊的后果。
此外,我們在教育,媒體、娛樂以及其他領域里同樣看到了攻擊的情況。一旦發現水坑,所有食肉動物就知道它們的獵物會聚集在那里。
對想要制定長期風險管理策略的CISO的建議
安全不再是1和0的問題。這不是一個需要解決的It問題,而是需要管理的商業風險問題。
CISO在業務目標設定過程中應該考慮到第0步。這個地理市場有風險嗎?這個客戶會引起政治關注嗎?住房醫療信息是否增加了我們的義務?這些都是需要解決的業務問題,而不是簡單地用另一個防火墻或更多用戶意識培訓來解決的IT問題。
此外,CISO必須成為法律團體的一部分,并平等分擔風險責任。安全需要與業務目標保持一致,并和指導委員會制定明確的目標。同時,必須以業務人員可以理解的術語來描述風險。CISO既然知道風險,就要將風險傳遞給董事會和高管,讓他們了解與網絡安全有關的義務。
對2020年的預測
攻擊將繼續朝著高回報,鍵盤式攻擊的方向發展。這意味著旨在阻止惡意軟件和憑據收集工具的普通安全控件無法應對這些策略。企業需要投資安全專家,讓他們與犯罪分子對抗,并捍衛安全堡壘。
灰色犯罪也將繼續發展壯大。用來影響公眾思想和選舉的策略會被用于改變公司的企業價值。犯罪分子可以編造故事,然后通過社交網絡傳遞這些故事(虛假信息)以此正面或負面地影響股票價值,再利用內幕信息買賣股票以“搶先”交易。與盜竊專有信息相比,這將更難被發現,更難被制止。
