网络安全：每位 CEO 和 CFO 都应该知道的事

执行摘要

介绍

将 [网络安全] 更多地视为道路和汽车的安全保障。 在过去的 30 年里，这辆车并没有真正改变，但它内置了很多安全性，直到它拯救你的生命的那一刻才性感。 你有一些隐藏的东西——安全气囊——还有一些像安全带一样提醒你注意安全的东西……其中一些是关于良好行为和良好态度的，一些是关于人身安全的，以提醒你存在风险，还有其中一些是为了拯救你而被烘烤的。

– Sian John，赛门铁克高级网络安全策略师

我们会承认的。 网络安全并不性感。 然而，在当今的数字时代，网络安全对于大公司和小型初创公司都变得越来越重要。 如今，风险比以往任何时候都高，因为“每家公司都已成为科技公司”。 技术已不仅仅是对公司运营的补充，在许多情况下，其网络上的资产是其核心业务。 由于移动使用和物联网的兴起，以及网络犯罪分子生态系统的发展，黑客行为变得司空见惯，这使情况更加复杂。

本文概述了网络犯罪分子的类型、网络犯罪策略和促成因素。 这篇文章还包括公司可以用来保护自己的切实解决方案。 解决方案包括技术保障和人为因素。 例如，领导层必须认识到网络安全是一个战略性业务问题，而不仅仅是一个“IT 问题”。 此外，一些最有效的解决方案是相当基础的，例如员工教育或用户的双因素身份验证。

什么是网络犯罪？

简而言之，网络犯罪是一种涉及某种计算机或网络方面的犯罪。 它可以以多种形式形成，来自具有不同激励因素的个人或团体。 网络威胁从根本上说是不对称风险，因为一小群人可能会造成不成比例的大量损失。

网络犯罪分子的类别

1. 有经济动机的有组织犯罪集团：这些集团大多位于东欧

2. 民族国家行为者：直接或间接为政府工作以窃取敏感信息并破坏敌人能力的人。 他们通常是最老练的网络攻击者，其中 30% 来自中国。

3. 激进组织或“黑客激进主义者”：通常不会偷钱。 他们出去宣传他们的宗教、政治或事业； 影响声誉或影响客户。

4. 内部人士：这些是在公司内部运作的“幻想破灭、被勒索甚至过度乐于助人”的员工。 但是，他们不得故意从事网络犯罪活动； 有些人可能只是简单地获取联系人列表或设计文件，而没有意识到它可能造成的伤害。

网络犯罪分子的平均年龄为 35 岁，80% 的犯罪黑客与有组织犯罪有关联。 简而言之，人们选择这个作为一种职业。

网络犯罪策略

网络犯罪分子利用静态和动态方法实施犯罪。 让我们深入研究。

分布式拒绝服务 (DDoS)

DDoS 攻击试图破坏网络服务。 攻击者通过网络发送大量数据或流量，直到网络过载并停止运行。 淹没受害者的传入流量来自许多不同的来源，可能有数十万。 这使得通过阻止单个 IP 地址来阻止攻击是不可能的，并且难以区分合法流量和攻击流量。

网络钓鱼

网络钓鱼攻击通常伪装成来自受信任的第三方的数据请求，通过电子邮件发送并要求用户单击链接并输入他们的个人数据。 它通常涉及心理操纵，引发紧迫感或恐惧，欺骗毫无戒心的个人交出机密信息。

有几个令人担忧的因素。 首先，网络钓鱼电子邮件已经变得复杂，并且通常看起来就像是合法的信息请求。 其次，网络钓鱼技术现在被授权给网络犯罪分子，包括按需网络钓鱼服务和现成的网络钓鱼工具包。 也许最令人担忧的是，暗网服务使网络犯罪分子能够改进他们的活动和技能。 事实上，网络钓鱼电子邮件的点击率是普通消费者营销电子邮件的六倍。

恶意软件

恶意软件是“恶意软件”的缩写，旨在访问或损坏计算机。 恶意软件是包括特洛伊木马、病毒和蠕虫在内的大量网络威胁的总称。 它通常通过电子邮件附件、软件下载或操作系统漏洞引入系统。

内部特权滥用

虽然向维基解密泄露信息的恶意内部人员获得了所有的新闻和荣耀，但更常见的情况是普通但投机取巧的员工或最终用户偷偷获取机密数据，希望在某个地方兑现（60% 的时间） . 有时，员工会因为好奇而进行一些窥探（17%）。 个人信息和医疗记录 (71%) 是金融犯罪的目标，例如身份盗窃或纳税申报欺诈，但有时只是为了八卦。

物理卡撇渣器

这些攻击包括物理植入从支付卡读取磁条数据的资产（例如，ATM、加油站、POS 终端）。 执行这样的攻击相对快速和容易，具有相对较高收益的潜力——一种流行的动作类型（8%）也是如此。

网络安全后果和成本

企业成本

三年前，《华尔街日报》估计美国网络犯罪的成本为 1000 亿美元。 其他报告估计，这个数字比这个高出十倍之多。 2017 年，数据泄露的平均成本为 735 万美元，而 2014 年为 5.85 美元。成本包括从检测、遏制和恢复到业务中断、收入损失和设备损坏的方方面面。 除了金钱问题之外，网络漏洞还可能破坏无形资产，例如公司的声誉或客户商誉。

有趣的是，业务创新水平最高的公司通常会遭受更昂贵的攻击。 “业务创新”可以是从收购或剥离到进入新的地理市场的任何事情。 事实证明，公司收购或剥离会使网络犯罪成本增加 20%，而推出重要的新应用程序会使成本增加 18%。

对于金融服务公司而言，安全漏洞后的成本可归因于业务中断、信息丢失、收入损失和其他成本。

金融服务行业的网络安全

不幸的事实是，虽然没有哪个行业可以幸免，但网络安全问题在金融服务领域尤为突出。 根据 2017 年 Verizon 数据泄露调查报告，24% 的泄露影响了金融机构（顶级行业），其次是医疗保健和公共部门。 相比之下，2012 年该行业排名第三，仅次于国防、公用事业和能源行业。 除了频率之外，融资公司的成本是所有行业中最高的，2013 年平均损失 1650 万美元。

在金融服务领域，最常见的网络违规类型涉及 DDoS 攻击。 而且，就所有 DDoS 攻击而言，金融业受到的打击最为严重。

著名的金融服务黑客

袭击六家美国银行 (2012)

2012 年，六家美国主要银行（美国银行、摩根大通、花旗集团、美国银行、富国银行和 PNC）成为声称与中东有联系的组织发动的一波计算机攻击的目标。 这些攻击导致互联网中断和网上银行延迟，导致客户无法访问他们的账户或在线支付账单。

这些是 DDoS 攻击，黑客将银行网站淹没到关闭的地步。 这些攻击还利用了僵尸网络，即受感染的计算机网络，这些网络受犯罪分子的支配。 有时，僵尸网络被称为“僵尸计算机”，它们服从“主僵尸网络”的命令。 不幸的是，这些可以通过黑市出租或由犯罪分子或政府借出。

摩根大通 (2014)

2014 年夏天，在美国银行迄今为止最大的安全漏洞中，大约 8300 万个账户的名称、地址、电话号码和电子邮件地址被黑客入侵。 具有讽刺意味的是，摩根大通每年在计算机安全方面的支出约为 2.5 亿美元。 2014 年的违规行为并非复杂计划的结果。 这次攻击没有使用零日攻击，这是一种在黑市上售价数百万的新型软件漏洞。 它也没有利用朝鲜黑客在对索尼的网络攻击中使用的恶意软件。 相反，问题的根源是基本的：银行没有采用双重身份验证，这是用户登录以访问数据或应用程序时的额外安全层。 摩根大通的安全团队忽略了使用双密码方案升级其网络服务器——仅此而已。

SWIFT 支付系统 (2016)

2016 年 2 月，由 11,000 多家银行组成的促进跨境转账的国际财团环球银行金融电信协会 (SWIFT) 遭到黑客攻击。 SWIFT 网络中的用户孟加拉银行遭到黑客攻击，损失金额达 8100 万美元。 在纽约联邦储备银行阻止其他 30 笔可能额外转移 8.5 亿美元的交易之前，只收回了一小部分。

这些攻击表明，支付网络的可信度取决于其最薄弱的环节。 许多业内人士对这次袭击并不感到意外。 据网络安全公司 Gotham Digital Science 的联合创始人 Justin Clarke-Salt 称，这些攻击利用了系统的一个弱点：并非每个机构都以相同的方式保护对 SWIFT 的访问。 毕竟，“攻击者经常攻击更容易攻击的人......到目前为止，据我们所知，公开报道的，他们的目标大多是较小的金融机构。 这可能是因为他们的控制不太复杂。”

小公司还是大公司更容易受到伤害？

尽管新闻经常报道对大公司（Target、雅虎、家得宝、索尼）的攻击，但小公司也不能幸免。 根据 2016 年 SMB 网络安全状况报告，在过去 12 个月中，黑客入侵了美国一半的小型企业。

一方面，一些人认为，较小的公司可能无法从网络攻击中恢复过来**。 **根据赛门铁克高级网络安全策略师 Sian John 的说法，受到安全问题影响的公司在之后的一年中经历了“巨大的声誉和财务打击”，然后才恢复正常。 她质疑：“如果你是一家规模较小的公司，你能挺过那次低谷吗？”

另一方面，其他人认为，小公司具有优势：“大公司比小公司更容易受到攻击：他们拥有大数据池，并且必须有数百人访问……如果您处于较小的一端与大型组织相比，规模化、精通业务流程并了解可能利用这些业务流程的地方要容易得多，”普华永道合伙人 Richard Horne 表示。

网络安全挑战

导致网络犯罪增加的因素

网络犯罪分子的“公司”品种已经出现

网络犯罪分子现在正在采用企业最佳实践来提高攻击效率。 一些最有进取心的犯罪分子正在向不太老练的犯罪分子出售或许可黑客工具。 例如，专业犯罪分子一直在公开市场上向犯罪分子出售零日技术，并迅速商品化。 帮派还提供勒索软件作为服务，它会冻结计算机文件，直到受害者满足金钱要求，然后从提供许可证中分一杯羹。

现在有一个完整的资源生态系统可供网络犯罪分子利用。 “高级犯罪攻击组织现在与民族国家攻击者的技能相呼应。 他们拥有丰富的资源和高技能的技术人员，他们的工作效率很高，可以维持正常的营业时间，甚至会在周末和节假日休息……我们甚至看到低级别的犯罪攻击者创建呼叫中心运营以增加他们的影响力骗局，”赛门铁克董事 Kevin Haley 说。

第三方供应商的安全

如果第三方被黑客入侵，您的公司就有丢失业务数据或泄露员工信息的风险。 例如，2013 年 Target 数据泄露事件导致 4000 万客户账户受损，就是网络凭据从第三方供暖和空调供应商处被盗的结果。 2013 年的一项研究表明，当年 63% 的数据泄露调查与第三方组件有关。

客户对移动技术的使用增加

由于越来越多的在线目标，黑客攻击变得比以往任何时候都容易。 在消费者银行业务中，移动设备和应用程序的使用呈爆炸式增长。 根据贝恩公司 2014 年的一项研究，移动是 22 个国家中的 13 个国家最常用的银行渠道，占全球所有互动的 30%。 此外，消费者已采用移动支付系统。 对于与金融科技初创公司竞争的银行来说，客户便利仍然很重要。 他们可能不得不权衡潜在的欺诈损失和更不方便的用户体验造成的损失。 一些机构正在利用高级身份验证来应对这些额外的安全风险，允许客户通过语音和面部识别访问他们的账户。

物联网 (IoT) 的普及

物联网 (IoT) 致力于实现各种设备（包括电器、车辆和建筑物）可以互连的理念。 例如，如果您的闹钟在早上 7:00 响起，它会自动通知您的咖啡机开始为您冲泡咖啡。 物联网围绕机器对机器通信展开； 它是移动的、虚拟的，并提供即时连接。 目前使用的物联网设备超过 10 亿台，预计到 2020 年将超过 500 亿台。问题是许多更便宜的智能设备往往缺乏适当的安全基础设施。 当每种技术都具有高风险时，风险在组合时呈指数增长。

网络安全意识与应对准备

尽管有关网络安全及其威胁的头条新闻，公司的意识和他们准备解决它之间仍然存在差距。 去年，黑客入侵了美国一半的小企业。 在 Ponemon Institute 2013 年的调查中，75% 的受访者表示他们没有正式的网络安全事件响应计划。 66% 的受访者对其组织从攻击中恢复的能力没有信心。 此外，网络安全公司 Manta 2017 年的一项调查表明，三分之一的小企业没有适当的工具来保护自己。

从战术上讲，金融服务公司在检测和响应攻击方面还有很多需要改进的地方。 2013 年，针对金融服务公司发起的攻击中有 88% 在不到一天的时间内就成功了。 然而，其中只有 21% 是在一天之内被发现的，而在发现后的时期，其中只有 40% 是在一天的时间范围内恢复的。

网络安全解决方案需要多管齐下的方法

网络安全没有“一刀切”的解决方案。 然而，一般来说，解决方案应包括复杂的技术和更“人性化”的组件，例如员工培训和董事会中的优先级。

可操作的威胁情报

实时智能：

实时情报是预防和遏制网络攻击的强大工具。 识别黑客的时间越长，其后果的代价就越大。 Ponemon Institute 2013 年的一项研究显示，IT 高管认为，提前不到 10 分钟通知安全漏洞就足以消除威胁。 只需 60 秒的妥协通知，由此产生的成本可以降低 40%。

根据 BAE Systems 网络服务总监 James Hatch 的说法，“及早检测 [网络攻击] 是关键……这可能是失去 10% 的 [计算机] 和 50% 的区别。” 不幸的是，实际上，公司平均需要七个多月的时间才能发现恶意攻击。

补充行动：

公司可以采取一些较小的战术步骤来保护自己。 这些包括：

• 制定多层次的防御战略。 确保它涵盖您的整个企业、所有端点、移动设备、应用程序和数据。 在可能的情况下，对网络和数据访问使用加密和两因素或三因素身份验证。

• 执行第三方供应商评估或与第三方创建服务级别协议：实施关于其他人可以访问谁和什么的“最低权限”政策。 养成与第三方审查凭据使用情况的习惯。 您甚至可以通过服务级别协议 (SLA) 更进一步，该协议规定第三方有义务遵守您公司的安全策略。 您的 SLA 应赋予您的公司审核第三方合规性的权利。

• 持续备份数据。 这有助于防止勒索软件冻结计算机文件，直到受害者满足金钱要求。 如果您的计算机或服务器被锁定，备份数据可能非常重要，因为您无需为访问数据付费。

• 经常打补丁。 软件补丁是现有软件中的代码更新。 它们通常是软件完整版本之间的临时修复。 补丁可以修复软件错误、解决新的安全漏洞、解决软件稳定性问题或安装新驱动程序。

• 将软件应用程序列入白名单。 应用程序白名单将阻止计算机安装未经批准的软件。 这允许管理员拥有更多的控制权。

反黑客保险

一个新兴趋势是反黑客保险或网络保险。 它的范围因提供商而异，但通常可以防止安全漏洞和损失。 保险公司通常将其承保能力限制在每位客户 500 万至 1 亿美元之间。 截至 2016 年 10 月，只有 29% 的美国企业购买了网络保险。 然而，到 2025 年，整个网络保险市场预计将达到 200 亿美元，高于目前的 32.5 亿美元。 保险公司看好，估计未来几年保费将增加两倍。

一个组织要确定它需要多少网络保险，它应该衡量其网络风险。 它必须了解他们的资产如何受到网络攻击的影响以及如何确定它们的优先级。

漏洞赏金计划

该行业的另一个新想法是所谓的漏洞赏金计划，组织向外部人员（“友好的黑客”）支付费用以通知其安全漏洞。 从 Google 和 Dropbox 到 AT&T 和 LinkedIn 等公司已经采用了这种做法。

不要忘记人的成分

• “IT 问题”变成了战略性业务问题。 对于许多 CEO 和 CFO 来说，黑客攻击可能会令人沮丧，因为他们不了解敌人。 根据风险管理研究所主席理查德安德森的说法，“仍然有很多人坐在大公司上，他们仍然认为这是极客关心的事情，而不是商业问题。” 然而，正如统计数据所表明的那样，这与事实相去甚远。

  德勤白皮书建议创建一个专门的网络威胁管理团队并创建“网络风险意识文化”。 还建议组织指定一名首席信息安全官 (CISO)。 例如，摩根大通和塔吉特分别在 2014 年和 2013 年遭到破坏时都没有 CISO。

• 回归基础：员工培训。 数据泄露通常是人类心理弱点的结果。 因此，让您的员工了解安全漏洞的警告信号、安全做法（在打开电子邮件附件时要小心，他们在哪里浏览）以及如何应对可疑的接管至关重要。

离别的思念

对日益关注网络安全危险的一个常见反驳是， “那又如何？ 我们是否应该因为害怕受到攻击而停止创新？” 答案是，不完全是。 但是，公司将网络安全视为道德问题可能会有所帮助。 也就是说，网络安全不仅应该是技术问题，还应该是道德问题。 毕竟，创造和销售让消费者易受伤害的技术是否合乎道德？ 随着硅谷的“成长或死亡”以及有时短视的文化，这可能是一种不受欢迎的态度。

不过，其他领域也有先例。 例如，美国医学协会和美国律师协会要求专业人士遵守各自的道德规范。 医生必须宣誓希波克拉底誓言，这是历史上最古老的具有约束力的文件之一，它要求医生发誓保护他们的病人。 同样，律师遵循职业行为示范规则，誓言保护和尊重他们的客户。

我们都应该记住，虽然技术可能会来来去去，但对与错永远不会改变。