网络犯罪分子正在利用超负荷工作(在许多情况下是远程办公)的IT和安全团队,和在家中远程办公所使用的个人设备上松懈的安全协议以及恐惧心理。当常规团队还没有为安全监控中心(SOC)配备人员时,网络犯罪分子会利用冠状病毒来攻击脆弱的组织和个人。
冠状病毒为网络带来了漏洞
人们多年来一直在远程办公,并且使用自带设备进行办公,因此我们已经看到这种做法如何给公司的网络带来风险。但是,我们从未见过如此大规模的远程办公。例如,纽约州州长安德鲁·库莫(Andrew Cuomo)发出一项命令,要求该州75%的工作人员在家中办公,并补充道,只有25%的员工可以在指定的时间在工作现场办公。许多企业只要求必要的员工在办公室工作,但是谁才是必要的员工呢?是监控网络的IT人员和安保人员吗?即使是这样,由于社交距离的要求,办公室内的员工很可能会减少到每个部门只有一到两个人。安保工作是一项团队工作,但是当每个人都在不同的位置时,很难作为一个团队来应对某一事件。
并非每个员工都会拿到一台笔记本电脑或移动电话。大多数公司都没有足够资源为每个在家办公的人员提供所需的设备。这意味着要求员工使用自己的计算机和电话来进行办公。由于安全团队无法监控每台个人设备,因此他们不知道这些设备是否使用了最新的软件或操作系统,或是否存在其他漏洞。
由于员工在家中办公,因此他们的协作方式发生了变化。不再有面对面的会议,或来到某人的办公桌前提醒他注意接收通过电子邮件发送的一份文档。相反,电子邮件的数量在增加,附件的数量也在增加。预计会有更多来自高管层的沟通信息,包括有关疫情隔离方面的定期最新消息和政府领导人的最新命令。这为鱼叉式网络钓鱼活动和恶意文档共享打开了大门。
此外,数百所大学和幼儿园至高中都已经关闭,许多学校在本学年的剩余时间里都在进行远程学习。许多老师和学生正在使用他们不熟悉的应用程序。因此,下载到恶意应用程序的机会增加了,如果你不了解该应用程序的全部功能,则不会注意到其是否存在问题——下载的恶意代码可能被视为一个正常功能。还有那些不在家里进行远程学习的孩子呢?他们会花更多的时间进行在线游戏,观看视频或访问动物园创建的实景网站。如果父母正在工作,并鼓励他们的孩子安静地上网,而没人在密切监控他们的行为,那么可以想想通过家庭网络和共享设备给工作网络所带来的网络问题。
我们的对手知道这一点
网络犯罪分子是机会主义者。在正常年份里,网络犯罪分子会关注“三月疯狂”(美国大学篮球联赛)、美国高尔夫大师赛和即将在日本举行的奥运会。在撰写本文时,其中至少有两个赛事无法举行,因此黑客已转移到当今唯一的流行事件——冠状病毒大流行。他们以各种方式充分利用冠状病毒这一事件。
长期以来,医院一直是网络攻击的目标,如果此时医疗机构网络无法正常使用,这可能是最糟糕的时间。然而,这正是在捷克共和国发生的事情,一家负责检测COVID-19病毒的医院遭到攻击,迫使其手术和其他医院职能的工作速度减慢。
黑客们正在利用数以百万计有关诸如“冠状病毒”、“COVID-19”、“病毒最新消息”等词条的搜索。
“连线杂志”(Wired)报道称,“一款恶意安卓系统应用程序伪装成来自约翰·霍普金斯大学的冠状病毒(Covid-19)追踪地图,但实际上含有间谍软件,针对利比亚移动用户进行监视操作。”另一个网络钓鱼骗局声称是一家制药公司在研究治疗冠状病毒的方法,要求那些毫无戒心的用户在其计算机上安装一个程序,以帮助他们模拟某一治疗方法。但是,该程序将要进行的唯一操作就是窃取个人信息。
网络犯罪分子已开始在各种应用程序商店中开发和发布恶意应用程序。某一安卓系统应用程序特别声称可以在全球范围内追踪病毒发展趋势,但实际上是一个伪装的勒索软件攻击。
然后会发生数据泄露和进行网络钓鱼行为。自从冠状病毒(COVID-19)开始传播以来,沃尔格林连锁药店(Walgreens)的卫生与公共服务部,甚至公主号邮轮公司(Princess Cruise Line)就一直是冠状病毒大爆发的受害者,其数据遭遇外泄。至于网络钓鱼行为,美国全国广播公司财经频道(CNBC)技术执行委员会报告称,网络钓鱼攻击和欺诈行为增加了40%,有三分之一的受访者表示,由于SaaS系统响应能力较弱,他们受到的网络威胁总体上有所增加。
以下是各个组织应采取的措施
由于目前的冠状病毒,我们看到了显著增加的攻击行为,我们看到了更多的网络钓鱼攻击,我们看到了广告网络被用来诱骗毫无戒心的消费者,而且我们看到了显示为阳性病例的地图中嵌入恶意软件。那么,当许多员工远程登录时,如何解决网络威胁增加这一问题呢?以下是一些建议:
- 大家必须齐心协力。是的,有网络安全团队监督你的常规操作,但是安全工作应该始终是一项团队性工作。现在尤其如此,当个人在家中办公时,需要加强个人安全意识。
- 需要明确你的网络是否能够处理数量增加的虚拟专用网(VPN)和远程桌面系统。尽可能利用虚拟专用网,但如果并非所有人都可以做到这一点,请确定有哪些其他安全连接方式可以使用。
- 未对来源进行验证之前,不要相信任何东西,包括地图、广告、移动设备上的应用程序或浏览器插件下载。
- 对所有内容进行双因素认证(2FA)。
- 对敏感的通信内容和文档共享进行加密。
- 鼓励进行更完善的密码管理。用户名和密码目前更容易被窃取,因此现在是时候要重新思考这些工作流程了。
- 了解你所在行业在远程办公方面的合规性和数据隐私法规。即使每个人的工作方式不同,医疗信息流通与责任法案(HIPAA)、一般数据保护条例(GDPR)和加利福尼亚消费者隐私法案(CCPA)等条款仍然有效。
- 安全培训比以往任何时候都更加重要。继续执行办公室中的所有常规程序,并让安全和IT团队定期发出有关如何识别网络钓鱼诈骗和虚假网站的提醒。
- 为员工行为的变化做好准备。这并不是说你的员工会突然变成无赖和成为恶意的内部人员。但是他们可能会比平常打印出更多敏感的文档,会将机密数据保存在不安全的家用电脑上,或者在其他人使用电脑之前没有退出工作网站。领导层应就如何让员工在家中更好地处理敏感信息而提出一些指导原则。
- 为第三方和供应链建立安全的渠道和操作程序。
我们如何适应现在和应对将来?
虽然目前由于冠状病毒大流行,我们经历了远程办公人数的空前增加,但我们一直朝着办公室以外办公人数全面增加的方向迈进。我们会看到这种情况是否会长期持续下去,但就目前和可预见的未来而言,这是企业不仅要思考的前景,而且是要解决的问题。
随着我们在不断适应远程办公,各个组织需要制定计划以处理事件响应。目前,我们看到安全监控中心的人员配备不足。你是否制定了计划或配备了基础架构,以确保安全团队在紧急情况下可以轻松有效地进行协作?你的安全响应团队其余成员应该包括管理人员、律师、营销和人力资源,他们准备得如何呢?你如何全面管理安全工作?很关键的是,要确保你已经制定了一个事件响应计划,并可以应对操作流程中的各种变化,同时清楚谁在管理该事件响应工作。