網絡安全：每位 CEO 和 CFO 都應該知道的事

執行摘要

介紹

將 [網絡安全] 更多地視為道路和汽車的安全保障。 在過去的 30 年裡，這輛車並沒有真正改變，但它內置了很多安全性，直到它拯救你的生命的那一刻才性感。 你有一些隱藏的東西——安全氣囊——還有一些像安全帶一樣提醒你注意安全的東西……其中一些是關於良好行為和良好態度的，一些是關於人身安全的，以提醒你存在風險，還​​有其中一些是為了拯救你而被烘烤的。

– Sian John，賽門鐵克高級網絡安全策略師

我們會承認的。 網絡安全並不性感。 然而，在當今的數字時代，網絡安全對於大公司和小型初創公司都變得越來越重要。 如今，風險比以往任何時候都高，因為“每家公司都已成為科技公司”。 技術已不僅僅是對公司運營的補充，在許多情況下，其網絡上的資產是其核心業務。 由於移動使用和物聯網的興起，以及網絡犯罪分子生態系統的發展，黑客行為變得司空見慣，這使情況更加複雜。

本文概述了網絡犯罪分子的類型、網絡犯罪策略和促成因素。 這篇文章還包括公司可以用來保護自己的切實解決方案。 解決方案包括技術保障和人為因素。 例如，領導層必須認識到網絡安全是一個戰略性業務問題，而不僅僅是一個“IT 問題”。 此外，一些最有效的解決方案是相當基礎的，例如員工教育或用戶的雙因素身份驗證。

什麼是網絡犯罪？

簡而言之，網絡犯罪是一種涉及某種計算機或網絡方面的犯罪。 它可以以多種形式形成，來自具有不同激勵因素的個人或團體。 網絡威脅從根本上說是不對稱風險，因為一小群人可能會造成不成比例的大量損失。

網絡犯罪分子的類別

1. 有經濟動機的有組織犯罪集團：這些集團大多位於東歐

2. 民族國家行為者：直接或間接為政府工作以竊取敏感信息並破壞敵人能力的人。 他們通常是最老練的網絡攻擊者，其中 30% 來自中國。

3. 激進組織或“黑客激進主義者”：通常不會偷錢。 他們出去宣傳他們的宗教、政治或事業； 影響聲譽或影響客戶。

4. 內部人士：這些是在公司內部運作的“幻想破滅、被勒索甚至過度樂於助人”的員工。 但是，他們不得故意從事網絡犯罪活動； 有些人可能只是簡單地獲取聯繫人列表或設計文件，而沒有意識到它可能造成的傷害。

網絡犯罪分子的平均年齡為 35 歲，80% 的犯罪黑客與有組織犯罪有關聯。 簡而言之，人們選擇這個作為一種職業。

網絡犯罪策略

網絡犯罪分子利用靜態和動態方法實施犯罪。 讓我們深入研究。

分佈式拒絕服務 (DDoS)

DDoS 攻擊試圖破壞網絡服務。 攻擊者通過網絡發送大量數據或流量，直到網絡過載並停止運行。 淹沒受害者的傳入流量來自許多不同的來源，可能有數十萬。 這使得通過阻止單個 IP 地址來阻止攻擊是不可能的，並且難以區分合法流量和攻擊流量。

網絡釣魚

網絡釣魚攻擊通常偽裝成來自受信任的第三方的數據請求，通過電子郵件發送並要求用戶單擊鏈接並輸入他們的個人數據。 它通常涉及心理操縱，引發緊迫感或恐懼，欺騙毫無戒心的個人交出機密信息。

有幾個令人擔憂的因素。 首先，網絡釣魚電子郵件已經變得複雜，並且通常看起來就像是合法的信息請求。 其次，網絡釣魚技術現在被授權給網絡犯罪分子，包括按需網絡釣魚服務和現成的網絡釣魚工具包。 也許最令人擔憂的是，暗網服務使網絡犯罪分子能夠改進他們的活動和技能。 事實上，網絡釣魚電子郵件的點擊率是普通消費者營銷電子郵件的六倍。

惡意軟件

惡意軟件是“惡意軟件”的縮寫，旨在訪問或損壞計算機。 惡意軟件是包括特洛伊木馬、病毒和蠕蟲在內的大量網絡威脅的總稱。 它通常通過電子郵件附件、軟件下載或操作系統漏洞引入系統。

內部特權濫用

雖然向維基解密洩露信息的惡意內部人員獲得了所有的新聞和榮耀，但更常見的情況是普通但投機取巧的員工或最終用戶偷偷獲取機密數據，希望在某個地方兌現（60% 的時間） . 有時，員工會因為好奇而進行一些窺探（17%）。 個人信息和醫療記錄 (71%) 是金融犯罪的目標，例如身份盜竊或納稅申報欺詐，但有時只是為了八卦。

物理卡撇渣器

這些攻擊包括物理植入從支付卡讀取磁條數據的資產（例如，ATM、加油站、POS 終端）。 執行這樣的攻擊相對快速和容易，具有相對較高收益的潛力——一種流行的動作類型（8%）也是如此。

網絡安全後果和成本

企業成本

三年前，《華爾街日報》估計美國網絡犯罪的成本為 1000 億美元。 其他報告估計，這個數字比這個高出十倍之多。 2017 年，數據洩露的平均成本為 735 萬美元，而 2014 年為 5.85 美元。成本包括從檢測、遏制和恢復到業務中斷、收入損失和設備損壞的方方面面。 除了金錢問題之外，網絡漏洞還可能破壞無形資產，例如公司的聲譽或客戶商譽。

有趣的是，業務創新水平最高的公司通常會遭受更昂貴的攻擊。 “業務創新”可以是從收購或剝離到進入新的地理市場的任何事情。 事實證明，公司收購或剝離會使網絡犯罪成本增加 20%，而推出重要的新應用程序會使成本增加 18%。

對於金融服務公司而言，安全漏洞後的成本可歸因於業務中斷、信息丟失、收入損失和其他成本。

金融服務行業的網絡安全

不幸的事實是，雖然沒有哪個行業可以倖免，但網絡安全問題在金融服務領域尤為突出。 根據 2017 年 Verizon 數據洩露調查報告，24% 的洩露影響了金融機構（頂級行業），其次是醫療保健和公共部門。 相比之下，2012 年該行業排名第三，僅次於國防、公用事業和能源行業。 除了頻率之外，融資公司的成本是所有行業中最高的，2013 年平均損失 1650 萬美元。

在金融服務領域，最常見的網絡違規類型涉及 DDoS 攻擊。 而且，就所有 DDoS 攻擊而言，金融業受到的打擊最為嚴重。

著名的金融服務黑客

襲擊六家美國銀行 (2012)

2012 年，六家美國主要銀行（美國銀行、摩根大通、花旗集團、美國銀行、富國銀行和 PNC）成為聲稱與中東有聯繫的組織發動的一波計算機攻擊的目標。 這些攻擊導致互聯網中斷和網上銀行延遲，導致客戶無法訪問他們的賬戶或在線支付賬單。

這些是 DDoS 攻擊，黑客將銀行網站淹沒到關閉的地步。 這些攻擊還利用了殭屍網絡，即受感染的計算機網絡，這些網絡受犯罪分子的支配。 有時，殭屍網絡被稱為“殭屍計算機”，它們服從“主殭屍網絡”的命令。 不幸的是，這些可以通過黑市出租或由犯罪分子或政府借出。

摩根大通 (2014)

2014 年夏天，在美國銀行迄今為止最大的安全漏洞中，大約 8300 萬個賬戶的名稱、地址、電話號碼和電子郵件地址被黑客入侵。 具有諷刺意味的是，摩根大通每年在計算機安全方面的支出約為 2.5 億美元。 2014 年的違規行為並非複雜計劃的結果。 這次攻擊沒有使用零日攻擊，這是一種在黑市上售價數百萬的新型軟件漏洞。 它也沒有利用朝鮮黑客在對索尼的網絡攻擊中使用的惡意軟件。 相反，問題的根源是基本的：銀行沒有採用雙重身份驗證，這是用戶登錄以訪問數據或應用程序時的額外安全層。 摩根大通的安全團隊忽略了使用雙密碼方案升級其網絡服務器——僅此而已。

SWIFT 支付系統 (2016)

2016 年 2 月，由 11,000 多家銀行組成的促進跨境轉賬的國際財團環球銀行金融電信協會 (SWIFT) 遭到黑客攻擊。 SWIFT 網絡中的用戶孟加拉銀行遭到黑客攻擊，損失金額達 8100 萬美元。 在紐約聯邦儲備銀行阻止其他 30 筆可能額外轉移 8.5 億美元的交易之前，只收回了一小部分。

這些攻擊表明，支付網絡的可信度取決於其最薄弱的環節。 許多業內人士對這次襲擊並不感到意外。 據網絡安全公司 Gotham Digital Science 的聯合創始人 Justin Clarke-Salt 稱，這些攻擊利用了系統的一個弱點：並非每個機構都以相同的方式保護對 SWIFT 的訪問。 畢竟，“攻擊者經常攻擊更容易攻擊的人......到目前為止，據我們所知，公開報導的，他們的目標大多是較小的金融機構。 這可能是因為他們的控制不太複雜。”

小公司還是大公司更容易受到傷害？

儘管新聞經常報導對大公司（Target、雅虎、家得寶、索尼）的攻擊，但小公司也不能倖免。 根據 2016 年 SMB 網絡安全狀況報告，在過去 12 個月中，黑客入侵了美國一半的小型企業。

一方面，一些人認為，較小的公司可能無法從網絡攻擊中恢復過來**。 **根據賽門鐵克高級網絡安全策略師 Sian John 的說法，受到安全問題影響的公司在之後的一年中經歷了“巨大的聲譽和財務打擊”，然後才恢復正常。 她質疑：“如果你是一家規模較小的公司，你能挺過那次低谷嗎？”

另一方面，其他人認為，小公司具有優勢：“大公司比小公司更容易受到攻擊：他們擁有大數據池，並且必須有數百人訪問……如果您處於較小的一端與大型組織相比，規模化、精通業務流程並了解可能利用這些業務流程的地方要容易得多，”普華永道合夥人 Richard Horne 表示。

網絡安全挑戰

導致網絡犯罪增加的因素

網絡犯罪分子的“公司”品種已經出現

網絡犯罪分子現在正在採用企業最佳實踐來提高攻擊效率。 一些最有進取心的犯罪分子正在向不太老練的犯罪分子出售或許可黑客工具。 例如，專業犯罪分子一直在公開市場上向犯罪分子出售零日技術，並迅速商品化。 幫派還提供勒索軟件作為服務，它會凍結計算機文件，直到受害者滿足金錢要求，然後從提供許可證中分一杯羹。

現在有一個完整的資源生態系統可供網絡犯罪分子利用。 “高級犯罪攻擊組織現在與民族國家攻擊者的技能相呼應。 他們擁有豐富的資源和高技能的技術人員，他們的工作效率很高，可以維持正常的營業時間，甚至會在周末和節假日休息……我們甚至看到低級別的犯罪攻擊者創建呼叫中心運營以增加他們的影響力騙局，”賽門鐵克董事 Kevin Haley 說。

第三方供應商的安全

如果第三方被黑客入侵，您的公司就有丟失業務數據或洩露員工信息的風險。 例如，2013 年 Target 數據洩露事件導致 4000 萬客戶賬戶受損，就是網絡憑據從第三方供暖和空調供應商處被盜的結果。 2013 年的一項研究表明，當年 63% 的數據洩露調查與第三方組件有關。

客戶對移動技術的使用增加

由於越來越多的在線目標，黑客攻擊變得比以往任何時候都容易。 在消費者銀行業務中，移動設備和應用程序的使用呈爆炸式增長。 根據貝恩公司 2014 年的一項研究，移動是 22 個國家中的 13 個國家最常用的銀行渠道，佔全球所有互動的 30%。 此外，消費者已採用移動支付系統。 對於與金融科技初創公司競爭的銀行來說，客戶便利仍然很重要。 他們可能不得不權衡潛在的欺詐損失和更不方便的用戶體驗造成的損失。 一些機構正在利用高級身份驗證來應對這些額外的安全風險，允許客戶通過語音和麵部識別訪問他們的賬戶。

物聯網 (IoT) 的普及

物聯網 (IoT) 致力於實現各種設備（包括電器、車輛和建築物）可以互連的理念。 例如，如果您的鬧鐘在早上 7:00 響起，它會自動通知您的咖啡機開始為您沖泡咖啡。 物聯網圍繞機器對機器通信展開； 它是移動的、虛擬的，並提供即時連接。 目前使用的物聯網設備超過 10 億台，預計到 2020 年將超過 500 億台。問題是許多更便宜的智能設備往往缺乏適當的安全基礎設施。 當每種技術都具有高風險時，風險在組合時呈指數增長。

網絡安全意識與應對準備

儘管有關網絡安全及其威脅的頭條新聞，公司的意識和他們準備解決它之間仍然存在差距。 去年，黑客入侵了美國一半的小企業。 在 Ponemon Institute 2013 年的調查中，75% 的受訪者表示他們沒有正式的網絡安全事件響應計劃。 66% 的受訪者對其組織從攻擊中恢復的能力沒有信心。 此外，網絡安全公司 Manta 2017 年的一項調查表明，三分之一的小企業沒有適當的工具來保護自己。

從戰術上講，金融服務公司在檢測和響應攻擊方面還有很多需要改進的地方。 2013 年，針對金融服務公司發起的攻擊中有 88% 在不到一天的時間內就成功了。 然而，其中只有 21% 是在一天之內被發現的，而在發現後的時期，其中只有 40% 是在一天的時間範圍內恢復的。

網絡安全解決方案需要多管齊下的方法

網絡安全沒有“一刀切”的解決方案。 然而，一般來說，解決方案應包括複雜的技術和更“人性化”的組件，例如員工培訓和董事會中的優先級。

可操作的威脅情報

實時智能：

實時情報是預防和遏製網絡攻擊的強大工具。 識別黑客的時間越長，其後果的代價就越大。 Ponemon Institute 2013 年的一項研究顯示，IT 高管認為，提前不到 10 分鐘通知安全漏洞就足以消除威脅。 只需 60 秒的妥協通知，由此產生的成本可以降低 40%。

根據 BAE Systems 網絡服務總監 James Hatch 的說法，“及早檢測 [網絡攻擊] 是關鍵……這可能是失去 10% 的 [計算機] 和 50% 的區別。” 不幸的是，實際上，公司平均需要七個多月的時間才能發現惡意攻擊。

補充行動：

公司可以採取一些較小的戰術步驟來保護自己。 這些包括：

• 制定多層次的防禦戰略。 確保它涵蓋您的整個企業、所有端點、移動設備、應用程序和數據。 在可能的情況下，對網絡和數據訪問使用加密和兩因素或三因素身份驗證。

• 執行第三方供應商評估或與第三方創建服務級別協議：實施關於其他人可以訪問誰和什麼的“最低權限”政策。 養成與第三方審查憑據使用情況的習慣。 您甚至可以通過服務級別協議 (SLA) 更進一步，該協議規定第三方有義務遵守您公司的安全策略。 您的 SLA 應賦予您的公司審核第三方合規性的權利。

• 持續備份數據。 這有助於防止勒索軟件凍結計算機文件，直到受害者滿足金錢要求。 如果您的計算機或服務器被鎖定，備份數據可能非常重要，因為您無需為訪問數據付費。

• 經常打補丁。 軟件補丁是現有軟件中的代碼更新。 它們通常是軟件完整版本之間的臨時修復。 補丁可以修復軟件錯誤、解決新的安全漏洞、解決軟件穩定性問題或安裝新驅動程序。

• 將軟件應用程序列入白名單。 應用程序白名單將阻止計算機安裝未經批准的軟件。 這允許管理員擁有更多的控制權。

反黑客保險

一個新興趨勢是反黑客保險或網絡保險。 它的範圍因提供商而異，但通常可以防止安全漏洞和損失。 保險公司通常將其承保能力限制在每位客戶 500 萬至 1 億美元之間。 截至 2016 年 10 月，只有 29% 的美國企業購買了網絡保險。 然而，到 2025 年，整個網絡保險市場預計將達到 200 億美元，高於目前的 32.5 億美元。 保險公司看好，估計未來幾年保費將增加兩倍。

一個組織要確定它需要多少網絡保險，它應該衡量其網絡風險。 它必須了解他們的資產如何受到網絡攻擊的影響以及如何確定它們的優先級。

漏洞賞金計劃

該行業的另一個新想法是所謂的漏洞賞金計劃，組織向外部人員（“友好的黑客”）支付費用以通知其安全漏洞。 從 Google 和 Dropbox 到 AT&T 和 LinkedIn 等公司已經採用了這種做法。

不要忘記人的成分

• “IT 問題”變成了戰略性業務問題。 對於許多 CEO 和 CFO 來說，黑客攻擊可能會令人沮喪，因為他們不了解敵人。 根據風險管理研究所主席理查德安德森的說法，“仍然有很多人坐在大公司上，他們仍然認為這是極客關心的事情，而不是商業問題。” 然而，正如統計數據所表明的那樣，這與事實相去甚遠。

  德勤白皮書建議創建一個專門的網絡威脅管理團隊並創建“網絡風險意識文化”。 還建議組織指定一名首席信息安全官 (CISO)。 例如，摩根大通和塔吉特分別在 2014 年和 2013 年遭到破壞時都沒有 CISO。

• 回歸基礎：員工培訓。 數據洩露通常是人類心理弱點的結果。 因此，讓您的員工了解安全漏洞的警告信號、安全做法（在打開電子郵件附件時要小心，他們在哪裡瀏覽）以及如何應對可疑的接管至關重要。

離別的思念

對日益關注網絡安全危險的一個常見反駁是， “那又如何？ 我們是否應該因為害怕受到攻擊而停止創新？” 答案是，不完全是。 但是，公司將網絡安全視為道德問題可能會有所幫助。 也就是說，網絡安全不僅應該是技術問題，還應該是道德問題。 畢竟，創造和銷售讓消費者易受傷害的技術是否合乎道德？ 隨著矽谷的“成長或死亡”以及有時短視的文化，這可能是一種不受歡迎的態度。

不過，其他領域也有先例。 例如，美國醫學協會和美國律師協會要求專業人士遵守各自的道德規範。 醫生必須宣誓希波克拉底誓言，這是歷史上最古老的具有約束力的文件之一，它要求醫生髮誓保護他們的病人。 同樣，律師遵循職業行為示範規則，誓言保護和尊重他們的客戶。

我們都應該記住，雖然技術可能會來來去去，但對與錯永遠不會改變。