7 个(更多)正在损害您业务的网络安全误区
两年前,我写了七大网络安全误区,这些误区会带来商业风险,并导致善意的安全团队把注意力放在错误的事情上。
当时,全球疫情正处于初期,我们的现实世界和数字生活都在迅速改变,某种程度上是永久性的改变。 自那时起,世界在经济、政治和技术上都受到了震撼。 技术进步的速度已经从令人眼花缭乱的速度提升到超速行驶的水平。 民族国家参与网络战直接损害了普通民众的钱包。 两年后这些神话肯定会完全不同,对吧?
错误的。 正如“变化越大”这句话提醒我们的那样,事物变化得越多,它们保持不变的程度就越大。 所有七个原始神话仍然具有高度现实意义,但我还提供七个源于人类生存状况不变性的额外网络安全神话。
误区一: 只有少数社交媒体账户是假的。
许多企业都知道他们有机器人,但现实是社交媒体公司通常不知道也不想知道他们到底有多少个机器人。
几年前,我们对一个社交网站进行了概念验证,结果表明 98% 的登录都是自动机器人的。 该公司对其快速的发展感到非常自豪,并对未来充满期待,但事实证明,他们的订阅用户数量只有他们预想的十分之一。
这种知识的重要性已经随着 Twitter 的收购而以非常公开的方式得到了体现。 公司的价值很大程度上取决于用户数量。 埃隆·马斯克向公司提出的挑战是证明垃圾邮件机器人和虚假账户的比例低于 5%,这对于任何投资者、广告商、潜在商业伙伴甚至用户来说都是合理的期望。
我预测 Twitter 的机器人数量接近 50% 或更多。 (笔记: 根据后续研究,我在最近的博客文章中修改了这一估计。) 公司应该验证用户是否是人类,并有效地管理和缓解他们的机器人流量。
简而言之,恶意机器人的成功意味着安全失败。 机器人预防对于确保流经这些网站的信息的完整性至关重要,同时也为公司做出重要的业务决策以及与其开展业务的其他人提供准确的数据。
误解2: 机器人预防是一个内部 DIY 项目。
我们看到优秀的公司拥有雄厚的预算和出色的技术人员多年来与机器人展开斗争。 然而,当我们分析这些组织中的机器人流量时,期望看到已经进化到可以突破其防御的复杂机器人,但事实并非如此。
公司一直在通过封锁 IP、地区和自治系统来打击机器人,而在这里我们看到了恶意机器人流量的演变——攻击现在来自数十万甚至数百万个 IP 地址。 这些网络层防御只能起到有限的作用。
我的口头禅是客户端信号为王。 您必须拥有行为生物识别技术。 您必须询问浏览器并询问设备。 综合考虑所有这些信号,你不仅可以识别机器人,还可以识别恶意的人。
公司也认为他们可以通过招人来解决这种情况,但没有办法雇佣足够的 IT 人员来解决如此巨大的问题。 真正对抗自动化的唯一方法就是利用自动化。
误区3: 焦点应该始终放在即将出现的神秘新威胁上。
我们这些从事安全行业、科技媒体和企业公关的人都对那些不断创新并领先于我们的威胁行为者有着共同的恐惧。 但从很多方面来看,攻击仍然是一样的,只是在过程中做了一些细微的调整。
我们今天看到的大多数机器人的复杂程度与五年前相同。 他们只是来自不同的地方。 尽管采用了双因素身份验证和/或 CAPTCHA,撞库攻击仍然有效。 只要原始攻击媒介仍然成功,攻击者就不会创新新的攻击媒介。 他们所需要做的就是想办法躲避新的防御。
公司确实需要考虑新出现的威胁并尽力做好准备,但该行业也需要继续减轻去年的威胁。
误区四: 管理多个云是一项艰巨的挑战,需要难以获得的人才。
多云世界是当今许多(如果不是大多数)公司所处的现实。 无论是因为收购、与合作伙伴整合,还是仅仅为了获取最佳功能,多云都将继续存在。
然而,当我询问一些公司是否采用多云环境时,我反复听到的一个答案是“是的,不幸的是”。 跨多云运营的公司有时会不情愿地这样做,并且不愿抓住机会获得最佳效果。
如今,管理和保护跨多个云的 IT 资产不再是件困难的事。 云供应商已将互操作性纳入其战略中,并且还有许多其他提供商,其解决方案旨在消除集成负担,跨云抽象其功能,并通过简单、统一的界面交付。
误区五: 确保企业的架构和设备的安全就足够了。
安全团队专注于企业的基础设施、服务器、计算机、桌面——组织内部的一切。 他们基本上不关注的是组织内所有员工的家庭网络。
攻击者可能希望瞄准 CEO 来获取并购见解或其他战略信息,但将其货币化并不像瞄准应付账款文员或 IT 管理员那么容易。 如今,在家办公变得越来越普遍,家庭网络也为不法分子提供了一个新的可利用的漏洞。
误解六: 你可以信任你的员工。
内部威胁具有巨大的优势,原因很简单,因为人类的天性就是认为周围的人都是好的。 但事实是,你不可能雇佣 50 或 100 名员工,否则就会面临引入一两个害群之马的风险。
心怀不满的员工不仅会在 Glassdoor 上留下差评。 他们可以将敏感文件放到拇指驱动器上,然后直接走出门。 人们甚至越来越担心他们可能会在系统中留下恶意软件。
我长期以来一直有一个理论:许多勒索软件攻击的幕后黑手可能也是内部人员。 IT 管理员可以轻松地在暗网上创建一个角色,让该角色访问系统以安装恶意软件,然后发出赎金要求——反过来主张公司支付赎金。 值得注意的是,我还没有看到这方面的证据,但动机肯定存在。
误解七: 我们最大的网络威胁来自针对基础设施的国家行为者。
一年前,殖民地输油管道遭到袭击,导致加油站排起长队,给东海岸的消费者带来不便,这成为了重大的国际新闻。
然而,很少有人谈论每年有数百万美国人遭受网络诈骗,其中许多人都是老年人,靠退休金生活。 这对我们的社会安全网是一个巨大的威胁,可能对人们及其家庭产生毁灭性的影响——远比排队和支付更多的汽油费更严重。
我曾在执法部门工作多年,调查网络犯罪,但结果往往令人沮丧,而我对这个问题非常热衷。 对我们基础设施的攻击很重要而且非常真实,但是当你听到这些受害者的故事时,很明显,广泛的网络欺诈应该受到更多的关注。
如果您有兴趣了解有关管理和防御机器人、识别和减轻威胁或在组织内实施零信任的更多信息,以下是一些补充阅读建议:
_____
作者:F5 全球情报主管 Dan Woods