本文回顧CISO在2021年處理過的難題,有助於妥善規劃即將面臨的一切。
文/Rick Grinnell‧譯/Nica
從CISO的角度來看,2021不是個好年。這一年從疲於奔命處理SolarWinds網路攻擊起始,最後以破記錄飆高的勒索軟體終結。CISO不得不處理因COVID-19與技術短缺引發持續性資安問題所導致的混合性人力資源不斷變化、應對關鍵基礎建設的網路攻擊、進一步瞭解加密貨幣成長在網路安全上的意義,還要處理CISO日常事務中的一般性問題。
回顧2021年網路安全情勢
在2021年結束後,我們預期2022年將會出現更多相同狀況並伴隨更多曲折。回顧CISO處理的網路攻擊 ─ 無論直接或間接,輔以趨勢與面臨的議題,有助於預測2022年面臨的狀況。
勒索軟體
勒索軟體地位依然屹立不搖。有報告指出,2021年九月底就有近五億筆勒索軟體攻擊未遂。我們可以預期,紐約時代廣場新年球降下的那一刻,數字會接近七億。僅銀行業就發現,勒索軟體攻擊在2021年即已增加超過1300%。
就勒索軟體來看,可能沒有 Colonial Pipeline(美國最大燃油管道)更受矚目的了,它讓美國人民首度真切感受到毀滅式網路攻擊對關鍵基礎建設能夠造成的影響。僅管此次攻擊是針對Colonial財務方面,但仍有效停止該國東半部石油的流向,引起相當程度的恐慌。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
Colonial Pipeline 攻擊事件的演變可能更糟,像是針對 Kaseya(影響全球少數大型企業的IT基礎架構)與肉品加工廠商 JBS Foods 的攻擊事件那樣。我們無從得知這些攻擊對當今供應鏈困境造成多大影響,不過顯然毫無幫助。拿下電力網或食物供應商的外洩意外事件,對我們而言多半是太久前的某次攻擊事件。預防此類事件發生,唯一穩健的做法,就是利用工具,持續監控並評估公司企業對勒索軟體的敏感度。
網站複製(Website cloning)
雖然2020年焦點多半集中在勒索軟體上,但來年還有個我們必須密切留意的動向:網站複製與線上欺詐的問題。消費者與品牌皆遭受海外網路攻擊的欺詐。這些欺詐者瞄準知名美國品牌,無論是銀行、科技巨擘,甚至加密貨幣,都有可能讓消費者無法警覺到他們正點選的連結,將帶往真實網站的複製版。消費者以為他們處於正確網站,輸入自己的登入與其他機敏性資訊,從而導致身份驗證資訊遭竊、帳戶接管,以及更令人頭痛的憑證填充攻擊雪球效應。
處理網站複製要主動出擊。CISO必須利用網路安全工具,在騙局付諸實行當下即時發現,接著在它們接觸消費者、員工與其他線上使用者前關閉。
加密貨幣將成為主流
僅管一般大眾不甚瞭解加密貨幣運作,它仍然成為美國2021年的主流。洛杉磯多功能體育場 Staples Arena 已更名 Crypto.com Arena。即將上任的紐約市市長亦宣稱計劃使用加密貨幣支付幾個月的薪資。
即便加密貨幣逐漸成為主流,它仍然是網路犯罪與勒索軟體支付所使用的貨幣。隨著越來越多企業組織與消費者使用加密貨幣,想以數位貨幣方式得手的勒索軟體攻擊或其他非法意圖也越來越多。與存放在銀行裡受聯邦機構保護、在銀行遭劫時可置換的金錢不同的是:一旦某人能存取你的數位錢包,這筆錢就拿不回來了。
有很多方式可以保障加密貨幣安全。首先,除了終結勒索軟體外也要停止利用加密貨幣支付贖金的需求。再者,加密貨幣本身必需受到保護,這部份可經由多樣化加密貨幣投資組合軟體做到,換句話說,不要全放在一個數位錢包裡,而且錢包不要連結網際網路。
政府資安規劃政策
我們在美國白宮頒佈的行政命令裡看見提升網路安全的一些動作,其中包括支持去除各機構間威脅資訊共享的屏障。這份命令指出:移除這些合約屏障並增加此類威脅、事件與風險的資訊共享,是加速阻止、預防與反應意外事件工作執行的必要手段,還能夠讓聯邦政府更有效率進行政府機關系統防禦與情資收集、處理與維護,或反之為聯邦政府進行這些任務。
隨著2022年的到來,我們預期看到公有部門與私人領域之間朝向更密切協同合作的成長趨勢。進階網路安全中心(Advanced Cyber Security Center)這類團體將越來越重要並接近正規化,那些需要網路安全與提供網路安全的商業組織,將必須與聯邦機構進一步協同合作處理威脅。外來組織駭客與國家級威脅行動者已彼此合作以便順利發動攻擊,因此是時候大家共同合作抵禦此類攻擊了。
大離職潮(Great Resignation)
2020年,員工們待在家是為了預防感染與傳播COVID-19。2021年,員工們待在家是想要別的東西:一些他們的工作無法提供的東西。網路安全專家們已在處理這樣的技術短缺與數百萬筆職缺。如今受大離職潮影響,優秀人才跳槽還將他們的知識一併帶走。無論是提前退休,或者轉換跑道到壓力較小的工作,CISO都必須負責填補日益擴大的知識鴻溝,而且這會是頭號要務。畢竟,就算防禦人員離開,駭客們也不會退休。事實上,駭客們更加勤奮工作,而CISO無法靠一己之力阻止。
調整對待網路安全的態度
預測未來是困難的。但回顧檢視過去這一年,有助於企業改善網路安全態度,為CISO最佳實作手冊提供補充的篇章。
(本文授權非營利轉載,請註明出處:CIO Taiwan)