差不多一年前,世界发生了翻天覆地的变化。新冠病毒 (COVID-19) 疫情似乎彻底改变了世界。疫情期间,所有人都被迫在家办公,云计算的采用率飞速上升,数字转型成为了大规模企业的当务之急。这些事件同时发生,让攻击者有机可乘——这一事实在网络犯罪数据中得到了广泛反映。
在疫情爆发即将满一年之际,让我们通过一些极具启发性的行业网络安全统计数据,回顾这段前所未有的变革时期。
攻击大爆炸
在封锁后的六周内,世界卫生组织 (WHO) 发出警告,除了直接针对世卫组织系统和雇员外,诈骗犯还冒充世卫组织,利用人们对疫情的恐惧和不确定来牟利,而这一比率是 2019 年同期的五倍。
虽然攻击者大多坚持他们最偏好的、行之有效的战术来发动攻击——网络钓鱼和身份盗窃,攻击数量之大令人震惊,并分散了人们的注意力、使人们措手不及、手忙脚乱。TechRepublic 报告称,仅在 2020 年 3 月,网络钓鱼攻击就增加了 667%。截至同年 4 月,FBI 报告称网络攻击激增了 400%。
勒索软件攻击在迅速演变的全球危机中也大幅上涨了 800%,这促使国际刑警组织针对日益严重的威胁向前线医疗机构发出警告。此外,微软研究人员警告公众,犯罪集团利用诸如 Robbinhood、Maze 和 REvil 等流行毒株实施“长尾”攻击,潜伏数周甚至数月以部署勒索软件,破解大量高价值数据,并进行巨额勒索。
同时,随着组织为满足客户需求和支持分散办公的员工而加速云采用,在 1 月到 4 月之间所记录的基于云的攻击增加了 630%,主要针对 Microsoft 365 等服务,且多数涉及使用被盗凭据。
与此同时,攻击也在不断涌现:70% 在公共云中托管数据或工作负载的组织在过去一年中发生了安全事件,多云组织报告的事件数量是采用单一平台的组织的两倍。
Ponemon Institute 估计与远程工作相关的新风险和挑战将在 2020 年数据泄露的全球平均总成本的基础上额外增加 13.7 万美元,每次事件的总成本约为 400 万美元。
细分来看,医疗保健行业的平均成本最高,为 713 万美元,美国的国家平均成本最高,为 864 万美元。
个人识别信息 (PII) 的单条记录成本最高,为 150 美元。同时,据 德勤 称,姓名和信用卡信息等基本个人识别信息可以在暗网上以 0.10 美元或更低的价格批量出售。
数字盔甲上的裂缝
在全球疫情给世界带来剧烈变化时,没有人做好了万全准备。一瞬间,各个组织不得不争先恐后地连接家庭办公室,支持新设备,并尽快推出新的协作工具。太多时候,安全问题并没有得到优先考虑。与此同时,远程工作的员工也在试图弄清楚如何在家里做好工作。不久,打着生产效率旗号绕过安全措施的“捷径”就成为了危险而顽固的习惯。
据 Malwarebytes 称,20% 的公司明确表示,他们面临的安全漏洞是由远程办公的员工造成的,24% 的公司在网络安全漏洞或恶意软件攻击上花费了超出预算的资金。
那么,问题出在哪里呢?事实证明——几乎是无处不在。让我们了解数字盔甲的其中一个“裂缝”。
设备相互影响
2020 年第四季度 CyberArk 远程工作状态调查发现 69% 的远程工作人员将公司设备用于个人用途。更糟糕的是,57% 的员工承认允许其他家庭成员使用他们的工作设备进行非工作活动,如购物、游戏或学校作业。自 CyberArk 在 2020 年春季进行类似调查以来,这种危险的设备共享活动几乎翻了一番。
据估计每 36 台移动设备中就有一台安装了高风险应用程序。当员工在他们的设备上同时进行工作与休闲活动时,这些漏洞为攻击者提供了窃取凭据和在组织中站稳脚跟的潜在机会。而攻击者正以这些基于 Web 的应用程序为攻击目标:《2020 年 Verizon 数据泄露调查报告》强调,Web 应用程序泄露事件同比增长了两倍,达到 43%。80% 以上的案例中涉及被盗凭据的使用。
简言之,员工将个人设备用于工作目的(或将工作设备用于个人活动)越多,他们所造成的组织风险就越大。而这一现象正在发生,且十分普遍。
但即使远程办公员工遵守安全最佳实践并严格遵守公司协议,在一堆合法工作电子邮件中发现欺诈行为仍然不是容易的事。据 CSO 报告,94% 的恶意软件是通过电子邮件发送的,而且往往进行了巧妙的伪装。
那么,我们能做些什么?
每 39 秒就会发生一次网络攻击。到 2021 年,网络犯罪造成的损失预计每年将达到 6 万亿美元,而今年全球因勒索软件造成的损失预计将达到 200 亿美元。
然而,Ponemon Institute 的数据显示,尽管人们的意识不断提高,2020 年发现漏洞的平均时间仍高达 207 天。然后,从识别到遏制,平均又需要 280 天——这么长的时间,已经足以让攻击者造成混乱或破坏。
墨菲定律认为凡是可能出错的事情就一定会出错。这就是为什么假设您已遭受攻击并专注于打破攻击链是如此重要。这意味着要在攻击者造成破坏之前,识别、隔离并阻止攻击者窃取身份并获取特权。
在数字世界中的善恶对决里,还有更多的工作需要去做,但却没有足够的网络安全专业人员。Cybersecurity Ventures 估计,到 2021 年,将有 350 万个网络安全职位空缺。为了满足不断增长的需求并消除网络安全人员的短缺,全球相关劳动力数量需要增长 145%。
根据 ESG 和信息系统安全协会的最新研究,这一短缺的情况只会越来越严峻。这项研究显示,70% 的网络安全专业人士表示,他们的组织已经感受到了缺少人才的影响,表现在工作量不断增加、无法填补的职位空缺以及专业人士无法充分发挥其潜力学习或使用网络安全技术。此外,该项研究显示,18% 的网络安全专业人士在这一领域仅工作了三年或更短的时间,而且大多数人都是从 IT 专业转变而来。
ESG 的结论称,采用整体方法可以开始弥合这一缺口——在网络威胁不断演变的情况下,要求从公立学校一级开始进行持续的网络安全教育,以及为新的和成熟的专业人员进行职业规划和发展。
这一过程无法一蹴而就,虽然全世界可能都需要改变迅速发生。
既然没有英雄会从天而降来挽救局面,组织便必须学会像攻击者一样思考,并假设系统已遭攻破,而不是假设(或希望)自己可以幸免于难。这并不一定像听起来那么可怕:心态的转变和积极的姿态是朝着更强有力的安全态势迈出第一步的关键所在。