勒索软件的祸害:另一种流行病
考虑到 COVID-19 的字面现实,过去一年半的经历使我们不愿在比喻意义上使用“流行病”和“大流行病”等词。但是对于勒索软件来说,诱惑力很大。
勒索软件攻击,无论人们希望如何描述它们,都是一种持续存在且迅速增长的祸害。 2016 年,网络安全公司卡巴斯基实验室的一份公告报告称,该年攻击次数增加了三倍,相当于每 40 秒发生一次。从那时起,情况只会变得更糟。去年,美国联邦调查局估计勒索软件在美国造成的总损失为 191 亿美元。 Cybersecurity Ventures 预测,到 2025 年,全球网络犯罪的总成本(其中大部分是勒索软件)将从 2015 年的 3 万亿美元增至 10.5 万亿美元。
企业在网络安全产品和服务方面投入巨资; Cybersecurity Ventures 预计 2017 年至 2021 年期间的数字将超过 1 万亿美元,Gartner 报告称,仅在 2021 年,全球信息安全和风险管理技术的支出将达到 1504 亿美元。但勒索软件攻击的持续扩散(和成功)让人怀疑这笔钱是否足够,或者是否正在以一种富有成效的方式进行部署。
网络攻击不断演变,如今使用勒索软件勒索企业尤为流行。最近攻击的受害者包括 Colonial Pipeline、肉类加工商 JBS、化学品分销商 Brenntag 和计算机制造商 Acer。任何行业或组织,无论是公共的还是私人的,似乎都不能幸免。许多人最终支付了数百万美元的赎金来恢复他们的计算机系统。
随着所有媒体对这些攻击的关注,它提出了一个问题,即为什么公司没有采取更多措施来支持他们的信息。副总裁 Dave Senci 表示,尽管有大牌成为头条新闻,但许多攻击都是针对较小的实体——当地警察局、夫妻店和政府机构——这些实体缺乏与之抗衡的资源或专业知识与万事达卡公司 NuData Security 合作开发产品。
Senci 说,保护自己免受勒索软件侵害的第一步是提出正确的问题。 “我保护的平台和账户背后有什么价值?我是否持有个人 401K 信息?某人的银行帐户信息?我想保护什么?”
之后是对最大漏洞所在的仔细检查。 Senci 说,对所有这些问题的回答将有助于确定组织应该在网络安全上花费多少精力,以及应该将其有限的资源用于何处。
员工教育必不可少。许多网络攻击的目标是将员工的个人设备带入工作并将其插入系统,从而取得成功。这些通常比企业网络对黑客的保护更少。日常通信中也会出现漏洞,例如收到员工可能不会费心验证的发票。 “你必须在前门阻止勒索软件,”Senci 说。
对于大多数公司来说,不幸的现实是,尽管攻击可能会造成毁灭性的影响,但他们只能负担得起在网络安全上花费的金钱和时间。因此,必须将资源定位在影响最大的地方——攻击几率最高的地方。 Senci 说:“欺诈者追求最大的价值和最少的工作量。”
首席信息官和 I.T.专业人士在保护公司系统方面承受着前所未有的压力。网络团队需要与组织内外的网络用户进行互动。就后者而言,这几乎包括任何提供商品或服务的个人或企业。 Senci 建议与熟悉当前网络安全趋势并且可以消除行为或工作流程模式异常的专家第三方合作。这些实体还必须跟上网络攻击不断变化的性质。昨天的违反选择可能是分布式拒绝服务;今天是勒索软件,谁知道明天会采取什么形式?建议 Senci:“不要与只利用静态数据的人合作。它将继续改变。”
下一步: 勒索软件“即服务”。
考虑到 COVID-19 的字面现实,过去一年半的经历使我们不愿在比喻意义上使用“流行病”和“大流行病”等词。但是对于勒索软件来说,诱惑力很大。
勒索软件攻击,无论人们希望如何描述它们,都是一种持续存在且迅速增长的祸害。 2016 年,网络安全公司卡巴斯基实验室的一份公告报告称,该年攻击次数增加了三倍,相当于每 40 秒发生一次。从那时起,情况只会变得更糟。去年,美国联邦调查局估计勒索软件在美国造成的总损失为 191 亿美元。 Cybersecurity Ventures 预测,到 2025 年,全球网络犯罪的总成本(其中大部分是勒索软件)将从 2015 年的 3 万亿美元增至 10.5 万亿美元。
企业在网络安全产品和服务方面投入巨资; Cybersecurity Ventures 预计 2017 年至 2021 年期间的数字将超过 1 万亿美元,Gartner 报告称,仅在 2021 年,全球信息安全和风险管理技术的支出将达到 1504 亿美元。但勒索软件攻击的持续扩散(和成功)让人怀疑这笔钱是否足够,或者是否正在以一种富有成效的方式进行部署。
网络攻击不断演变,如今使用勒索软件勒索企业尤为流行。最近攻击的受害者包括 Colonial Pipeline、肉类加工商 JBS、化学品分销商 Brenntag 和计算机制造商 Acer。任何行业或组织,无论是公共的还是私人的,似乎都不能幸免。许多人最终支付了数百万美元的赎金来恢复他们的计算机系统。
随着所有媒体对这些攻击的关注,它提出了一个问题,即为什么公司没有采取更多措施来支持他们的信息。副总裁 Dave Senci 表示,尽管有大牌成为头条新闻,但许多攻击都是针对较小的实体——当地警察局、夫妻店和政府机构——这些实体缺乏与之抗衡的资源或专业知识与万事达卡公司 NuData Security 合作开发产品。
Senci 说,保护自己免受勒索软件侵害的第一步是提出正确的问题。 “我保护的平台和账户背后有什么价值?我是否持有个人 401K 信息?某人的银行帐户信息?我想保护什么?”
之后是对最大漏洞所在的仔细检查。 Senci 说,对所有这些问题的回答将有助于确定组织应该在网络安全上花费多少精力,以及应该将其有限的资源用于何处。
员工教育必不可少。许多网络攻击的目标是将员工的个人设备带入工作并将其插入系统,从而取得成功。这些通常比企业网络对黑客的保护更少。日常通信中也会出现漏洞,例如收到员工可能不会费心验证的发票。 “你必须在前门阻止勒索软件,”Senci 说。
对于大多数公司来说,不幸的现实是,尽管攻击可能会造成毁灭性的影响,但他们只能负担得起在网络安全上花费的金钱和时间。因此,必须将资源定位在影响最大的地方——攻击几率最高的地方。 Senci 说:“欺诈者追求最大的价值和最少的工作量。”
首席信息官和 I.T.专业人士在保护公司系统方面承受着前所未有的压力。网络团队需要与组织内外的网络用户进行互动。就后者而言,这几乎包括任何提供商品或服务的个人或企业。 Senci 建议与熟悉当前网络安全趋势并且可以消除行为或工作流程模式异常的专家第三方合作。这些实体还必须跟上网络攻击不断变化的性质。昨天的违反选择可能是分布式拒绝服务;今天是勒索软件,谁知道明天会采取什么形式?建议 Senci:“不要与只利用静态数据的人合作。它将继续改变。”
下一步: 勒索软件“即服务”。
工业技术