数字化转型重振了许多公司的经济,这些公司通过拥抱数字世界和网络,实现了业务转型和增强,为改进产品、生产流程、通信、提高生产力和易用性注入了真正的技术。
然而,与这种转变相关的问题并不缺乏,另一方面,这增加了网络犯罪的攻击面,使公司面临更大的风险,由于技术的本质,这些风险并不总是完全可预测的,这压倒了任何没有准备的人,或者更确切地说,是最新的。
根据穆迪报告的系统性不一致
总部位于纽约的一家负责进行经济和金融研究的私人评级机构穆迪进行的一项调查表明,网络风险的威胁日益严重,促使许多公司加大了在这一领域的投资,以试图增加其在该领域的投资。为应对攻击的持续升级,企业和组织在管理和防范攻击方面的准备工作还存在许多差距。
尽管重点越来越多,但防御能力并没有跟上行业对网络安全投资的增加和攻击的不断增加的变化,这表明合格的人员远非容易招募和找到,而威胁正变得越来越复杂,攻击者也准备得更充分。
该报告通过在 2020 年至 2021 年间对 5,000 多家金融公司、政府机构和公用事业公司进行了 60 个问题的调查,评估了网络弹性的三个主要类别:网络风险治理、运营风险管理和网络风险转移。
该论文发现,该领域存在许多不一致之处,例如,许多网络安全官职位在不同行业之间差异很大,而且他们工作的公司很少向公众披露他们遭受的攻击,显示报告之间存在差异董事会按时收到安全官员的信息,并将其披露给公众。
IT 治理分析表明公司对安全问题、战略、角色和工具的关注程度。 它表明,如果公司高层(例如董事会)的这种知识更加扎实,那么在较低级别就会有更多的关注和更多的可操作性,而不是相反。
即使在训练有素的网络经理面前,也只有一小部分网络经理直接向首席执行官或首席财务官汇报,通常是组织内的两位最高级别官员。 此时,最有道德的公司是那些与金融服务相关的公司,报告更详细、更及时,对这些方面的关注度增加了一倍以上,认为它们与公共部门相比非常相关,在网络方面的差距最为明显。安全。
根据该报告,最大的差距是缺乏在全球范围内采用的通知和评估攻击的标准:这使得识别威胁的严重性及其解决和管理变得更加困难,也影响了公开披露,这不仅对透明度很重要,而且对公司之间可以分担的风险的可预测性尤其重要,从而预测未来的攻击。
2022 年 3 月 9 日,美国证券交易委员会 (SEC) 发布了其网络攻击报告指南的修正案,该指南旨在更好地为投资者提供信息,让他们为需要早期干预和事件通知的风险管理和安全治理战略做好准备。
由于报告指南没有法律要求,公司不太可能披露它们,而是试图对攻击保密以保护其客户和投资者。 在这些指导方针由法律强制执行的行业中,网络准备和网络投资之间存在更好的一致性。
报告中强调的另一个差距是使用基本和高级安全策略之间的差距,公司在这些领域远远落后,努力跟上时代的步伐。 投资的分配不寻常,大部分资金用于保险以弥补袭击造成的损失,而不是投资于培训和预防。
公司员工对基本 IT 安全技能的需求也越来越大,他们通常被认为是遭受网络攻击的最薄弱环节。 自 2018 年以来,几乎所有行业的受训员工比例都上涨了两位数,但公共部门除外,该行业再次位居榜单底部。 在最谨慎的公司中,为了达到预期的标准和结果,出现了旋风式的营业额。
如图所示,网络安全投资增长迅速:2019年IT投资年增长率为15%,2020年为17%。
不仅对采购工具和技术人员的投资增加了,而且对维护这些标准的投资也增加了,这需要持续的维护和升级。 但是,仍有相当一部分公司尚未将网络安全作为特定项目。
根据分析结果,最常见的对策可以通过采取预防而不是解决系统来找到,其中许多策略通过在各个层面和角色上保持高度关注而不断付诸实践:
- 漏洞扫描,旨在检测攻击者可在公司网络、计算机和应用程序中利用的已知弱点。
- 事件响应计划通常由记录在案的计划组成,这些计划概述了发生安全漏洞时应遵循的程序、响应中所需的特定人员及其特定角色。 这些计划在定期测试、审查和更新时最为有效。
- 多因素身份验证。 在大多数行业,特别是金融机构 (95%) 和公司 (90%) 中广泛采用,它是与公司内各个级别的合格人员相结合的最佳防御措施之一。
- 每周将数据备份到与组织网络断开连接的系统是在勒索软件攻击后快速恢复操作的有效方法。 这些攻击通常会加密货币受害者的文件,阻碍或中断操作,直到攻击者提供赎金密钥(勒索软件)或受害者使用现有备份成功恢复其系统。
- 网络风险评估旨在捕获数据以在进行收购之前识别网络漏洞并集成新的防御工具。
但是,鉴于威胁的数量和复杂性不断增加以及安全措施的复杂性,普遍的关注导致公司安排不同的测试并增加对合格人员的培训; 以下是最常见的:
- 渗透测试(渗透测试)是模拟网络攻击以评估组织的 Internet 可访问应用程序和网络。
- 桌面练习,用于测试组织的事件响应计划的实际练习,包括响应不同网络攻击场景的工具、程序和能力。
- 红队测试是一种更中心化的渗透测试形式,通常涉及内部和外部团队使用现实生活中的攻击策略来测试组织的物理和网络安全防御以及事件响应计划。
长期不可持续
正如我们所看到的,公司和组织正在将注意力和资金投入到网络安全中,但这会产生一些严重的差异。 缺乏合格的人员,选择将资金投入保险而不是采取预防措施,私营部门和公共部门之间的差距越来越大,这意味着近年来的许多袭击造成了巨大的损失,据最近估计约为 1300 万全球每家公司的美元,去年增长了 12%。
应对措施不足占这些数字的 45%,并且随着攻击频率的增加,从平均 45 秒增加到多达 11 秒,这导致企业面临更大的风险和更高的成本。
Web3 和加密货币世界
虽然 web2 已经表明公司保持最新状态并增加其网络安全预算是多么重要,但 web3 的重点将不得不转移到作为其信息神经中枢的个人身上,他们将不得不投资于培训来保护他们的数据。
越来越多的网络威胁与 web3 工具和服务相关联,其中充斥着加密货币世界,最有效的攻击仍然是社会工程,这表明最终用户的准备不足。
各种加密货币交易所比其他任何行业都更加适应,通过采用应对威胁所需的所有策略和工具,在内部给予了极大的关注,但最重要的是试图通过文档、论文以及与学习赚钱计划旨在通过完成有关安全性和平台提供的工具知识的重要任务来奖励最终用户,并认识到使用它的人自己系统中的薄弱环节。
“技术问题是可以补救的。 不诚实的企业文化更难修复”。 ——布鲁斯·施奈尔
公司和 web3 中的全球网络安全帖子首先出现在 The Cryptonomist 上。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。