网络空间安全文化需要改变

2017年02月12日

Cyber Security

“一位专家说,企业工作环境中的网络空间安全文化需要改变。”

翻译原文链接

译文

  一位专家说,网络空间安全需要从信息技术部门转到人力资源。

  通过邮件进行钓鱼和社会工程活动,持续成为最频繁的网络犯罪之一。IT技术人员仍然是公司最脆弱的部分,而不是IT技术设施。

  “虽然在过去的两年里,虽然网络安全事件的关注度在持续增加,但是我们仍然看到公司关注和投资的趋势在技术控制领域,而不是人的问题”,Kaon安全公司的Steven Macmillan这样说。

  “网络安全中,人的问题是最脆弱的一环”。

  Kaon积极拥护企业工作环境安全文化的改变,网络空间安全问题需要成为HR关注的焦点,就像健康和安全一样。

  “它应该成为一项在工作环境中的基础训练需求”,他说。

  Macmillan的公司为其他企业提供一个模型的网络钓鱼场景,在场景中,工作人员会遭受不安全的邮件攻击,并且展示攻击是如何发生的。

  董事会和公式会成员正在面临较大的风险,Macmillan说,因为他们有权利获得信息和资金。

  此外,许多身处高级职位的人年纪较大,技术经验较少,这使得他们更容易收到攻击,例如鱼叉式网络钓鱼,该攻击侧重于针对特定目标。

  “它正在从边缘走到顶端”,Macmillan说,“高级工作人员需要领导这种文化变革,因为社会工程不会停止。”

  Macmillan说,一种涉及犯罪的常见类型的攻击,通过访问工作人员的邮件来获取单据。

  之后他们篡改了票据,来更改收款人的银行账号,并将其发送到负责支付的部门。

  罪犯通常会致电给相关部门,让他们知道银行账户的变化,使其看起来更加可信,以避免怀疑。

  对网络安全,新西兰提出了一个特别的挑战,因为我们没有针对企业遭受攻击的强制性披露的法律。

  Macmillan说,考虑到颜面问题,大部分的网络攻击没有被爆料出来,政府没有做足工作以解决这个问题。

  英国和澳大利亚制定了强制性披露法律,不仅对没有执行该法律的企业作出惩罚和罚款,而且披露了对这类攻击发生过程的了解,以帮助其他企业保护自己。

  Kaon最近对工作在各个单位的100人进行匿名调查,调查结果显示有79%在过去的12个月中受到了IT安全问题的影响。

  最常见的攻击是勒索软件和钓鱼,占到所有攻击的67%。

  超过一半的调查对象说,他们在过去的12个月中遭受三次或三次以上的攻击,8%的调查对象说他们被攻击超过7次。

  损失的费用在5000美元到50万美元不等。

  新西兰的大部分网络攻击都不可能通过起诉来解决,因为他们发生在境外,主要来自东欧。

  Macmillan有一些基本提示给Kiwis,Kiwis担心他们可能成为攻击目标:

1.检查语法

  大部分攻击来自境外,检查拼写是否是母语者通常不会犯的错误。

2.不要点击链接

  “你没有赢六合彩”,Macmillan说,“如果你在收件箱中收到一些‘好消息’,它可能是好的,你不应该点击链接”

3.PDF的单据需要多次检查

  如果一个单据发生改变,或者银行账号被警告,给公司打电话进行确认。

4.问你的老板

  如果你收到来自你老板的一封奇怪邮件说需要马上转钱,这可能是你老板的邮箱被攻陷。在处理超出普通的请求之前,联系你的老板,或者检查其他人。

术语

  • 网络钓鱼:就像户外活动(钓鱼),网络钓鱼涉及一个基于广泛的攻击,发出“诱饵(如带有恶意代码的PDF)”以捕获某人。

  • 社会工程:在这种情况下,通过各种手段(如来自似乎可信来源的虚假电子邮件)来操作目标。

  • 鱼叉式钓鱼:类似于网络钓鱼啊,但是专注于特定的目标。鱼叉式钓鱼指的是捕获“大鱼”,如一名首席财务官。


版权声明:本文为博主原创文章,转载请注明出处 本文总阅读量