网络安全勒索事故案例及教训

对于刚开始业务的、要拓展业务或者扩张业务企业来说,要忙碌的事务非常多,不过,网络安全问题是不容忽视的。对于越来越依赖信息系统,业务数据流就是财务资金流的现代企业来讲,如果遭遇严重的网络安全事故,那么后果往往是致命的,足以令企业的核心业务中断,甚至破产倒闭。对此,昆明亭长朗然科技有限公司网络安全专员董志军补充说:近几年,总是有一些IT人员通过网络联系我们,表示其公司的企业资源管理系统被勒索软件锁住,导致重要数据被网络不法分子加密,业务无法开展。除了对客户的遭遇表示同情,我们真的帮不上什么忙去解密或恢复数据。

有人说,不是有方案可以恢复数据吗?我不否认存在侥幸的成功个案。但是总体来讲,在技术方面,声称能够帮上忙,清除勒索病毒并恢复数据的,和勒索分子一样不靠谱。因为大部分勒索软件使用的都是基于公私钥的加密系统,这种加密系统使用的成本很低,带来的安全性却很高,几乎是“无懈可击”的。也就是说,在没有解密密钥的情况之下,想靠猜测或破解,可能需要成千上万年的时间和算力,受害公司当然等不到那一天。同时,现在的固态硬盘技术不同于以往的磁盘技术,正常文件被加密后,一旦原始文件被删除,空出的存储单元很快会被操作系统填充上空数据,想使用恢复软件找回原始文件,也是希望渺茫,也可以说几乎是不可能的。从原理上了解了这些,人们就会知晓“未雨绸缪”,定期进行数据备份的必要性。

当然,网络安全工作不仅仅是数据备份,也不仅仅是防范勒索病毒,那么该采取哪些步骤来构建网络安全计划呢?如果预算紧张、资源有限,消极的反应就是这工作没法做,积极的方法是克服困难,将有限的资源最大化利用,那么,我们该做哪些核心的关键性网络安全工作呢?

首先,是最基本的措施,保持系统和软件的更新,如黑客、病毒等网络安全威胁利用的往往就是软件的漏洞。现代的操作系统都支持及时修复这些漏洞,及时“打补丁”、更新应用,虽然这些操作过程会耽误少许时间,但是花费这些时间却是很值得的,因为及时修复安全漏洞,往往能够预防80%的黑客攻击和病毒感染。

其次,我们推荐的措施是在身份认证方面进行加强,很多新的系统、软件和应用都支持多重身份验证,这个安全特性几乎都是免费的,启用该功能,稍稍带来一点麻烦(要安装免费的应用、进行初始配置、在登录时输入代码),却带来强大的安全保护。当然,密码策略也不应过于简单,早期很多弱密码,包括空密码、默认密码、常见密码等等,都是给网络不法分子送的大礼。近年来,重复使用同一个密码,被“撞库党”瞄上并非法利用的情形之多,也是令人震惊的。

再次,由于员工是组织机构的第一道防线,因此安全意识培训具有最高的投资回报率。特别是近几年,针对人员弱点的社会工程学攻击、网络钓鱼、电信诈骗等成泛滥之灾。创建某种形式的教育计划,让员工学习、吸收并参与实践,将有助于建立网络安全防御方面的协同效应。同时,在工作中养成良好的网络安全习惯将有助于扩展到个人使用,以帮助他们在生活的各个方面更加安全。安全意识培训是较低预算的,摊到个人头上的费用与一杯咖啡大致相同。组织机构可以从基本的安全意识培训开始,其中包括交互式的培训模块、在线测试和简单的报告。

最后,加强信息安全巡检,包括工作环境物理安全(比如防窃贼尾随)、桌面清洁(比如电脑锁屏)、计算设备安全检查(比如防病毒情况和软件更新情况等),信息安全巡检是一项管理措施,只需投入一些人力定期进行,不需要花多少钱,却可以帮助员工们养成良好的职场信息安全及保密工作行为习惯。

当然,还有一些信息安全措施,比如鼓励员工们发现及报告可疑的安全事件,在公司范围内进行表彰在信息安全方面表现积极的员工,可以激发员工们的信息安全意识和觉悟,推动公司内部积极的信息安全文化建设。这项措施花不了什么钱,却能带来很大的影响力,也是管理层能够看得到的,能够很容易理解的网络安全管理工作。

对导致严重后果的信息安全事故进行深入分析,从中汲取教训是防范事故发生(再发)的重要方法。我们会不断搜集整理在业界发生的安全事故案例,以便给您参考,让我们多作思考和辨析其根本原因,汲取经验教训。

这些信息安全事故案例只供参考之用,由于一些资料来源并非我们亲历亲见,因此在此声明我们不保证信息安全事故案例的真实性和可靠性,亦不会为所提供资料不正确、内容上的错误或遗漏,负上任何法律责任。但是,从宏观上讲,这些信息安全事故的发生是毫不意外的。因此,我们的目的是不要让悲剧再重演,而不是追查事实真相和追究相关人员责任,毕竟作为专业人员,我们做不了那么多,那或许是取证、鉴定和司法机关的事情。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

当禁止浪费之风刮向网络安全行业

infosec-return-on-investment

尽管扩大内需是提升经济活力的重要法宝,铺张浪费仍然被主流世界所诟病,勤俭节约仍然是中华民族的美德。

自中央国家安全委员会、中央网络安全与信息安全领导小组成立以来,网络安全显然已经上升到了国家战略的层面,更成为各级党委和政府的重要工作项目,相关的投入似乎应该上一个新台阶。但是,受“禁止浪费政策”的影响,各地并不敢贸然大举采购网络安全设备及信息化系统。

其实,要说与发达国家相比,我国网络安全在信息化总预算和投入的比例一直较低。在国家日益重视信息安全的大环境气氛下,提升安全方面的预算比例应该是彰显工作政绩及遵循合规的一个手段。

为什么实际情况不够理想呢?昆明亭长朗然科技有限公司网络安全顾问董志军说:网络安全毕竟有些技术门槛,这个领域内的“奢侈浪费”不容易被人们特别是外部人员发现,特别是当技术和产品披上知识产权外衣的时候,一台设备或一套软件值多少钱,谁都不能轻下诊断。

不过尽管如此,网络安全与信息化办公室的决策人员们还是心有顾虑。一方面政府机关及大型企业反腐败反贿赂活动风头强劲,本身都能过上好日子了,为了收入上的数字多那么一点点,而冒失去未来大好生活的风险不值得。另一方面则是担心即使自己毫无私心,也可能犯下决策性的错误,花了大钱,没办成事儿,反倒毁了自己的前程。

如果说招投标采购“污水横流”可能有些夸张,“乌烟瘴气”也有点太过,但是说“劳民伤财”可算是恰到好处。为了一个无关紧要的参数折腾数百人又是加班开会又是半夜弄标书的情形真是惨不忍睹,然而即使这么累,真正能够用到网络安全及信息化实际项目活动中的钱,往往不到总数的一半,大半的钱当然被潜规则了。可现在,只要一个不小心,下属犯错的连带责任也会让决策者吃不了兜着走。

而说到网络安全产品,无非是为了达到某种控管效果,解决某个或多个安全问题。如果使用技术手段防范某个技术层面的问题,早已不是什么难题。难在这些安全相关的问题都与人有关,它们并不是仅仅一个或多个产品可以轻易和彻底解决掉的,要么我们的信息安全操控人员无法全力撑控技术设备,要么从表面上解决了这个安全问题,另一个新的安全问题又出来了。

不少网络安全与信息化主管都清楚,多数网络安全设备采购来了之后,仅仅使用了两三个月,新鲜劲一过,便没有多少人愿意去折腾了。当初想要实现的安全控制目标,可能只实现了一部分,但是没有达到预期,尽管表面上这个项目的实施是成功的。前期没暴露出来的问题,在使用一些日子之后可能出现了,特别是影响到了一些其它的使用,这时候人们倾向于弱化这些产品的安全控管能力,比如放开防火墙的访问控制规则。同时,多数IT人并不期望坚守在一个个运维系统上,人们希望有更多的新项目,新机会,所以在心态上,也开始漠视已经完成的项目。于是无形中,这些网安全产品就成了摆设。

可网络安全重在运维,前期采购天融信、启明星辰、联想、东软或绿盟等某个厂家的防火墙产品其实关系不大,把这些产品真正用起来实现控管目标才是真正重要的。亭长朗然公司董志军说:很多信息安全主管都明白,除非现有的网络安全设备在性能上无法满足业务增长的需求,否则没有必要更换新的设备。而在安全控制的目标方面,无疑仅仅依赖更多的技术手段比如新功能是不够的,实现信息安全的目标,更多的是需要管理的手段。

而在信息安全管理方面,不能独立于其它管理制度和工作流程,更需要和组织文化一致,这显然也是个很大的难题。管控的松紧是一种科学,更是一种艺术。紧巴巴地把互联网给断了,惹众怒,不行。松垮垮地放开任意网络访问和接入,不断违反了国法又给组织引来安全威胁,也不行。不过要找咨询顾问服务来解决这些东西,也没门,厂商也不会深入这些组织内部的问题,他们只希望将一套套模板稍稍修改,早日让项目了解了。

不过,也不要以为在网络安全方面保持现状不外花钱就是在为组织省钱和做贡献。亭长朗然公司董志军说:网络安全行业的问题我们已经剖析了这么多,核心问题的解决都离不开组织内部的人员,包括IT人员和非IT人员。

如何解决人员相关的问题呢?一方面,要让IT人员忙起来,让旧的设备跑起来,让IT安全运营方面的成绩受到新项目成绩同样的高规格礼遇。另一方面,针对全员的,在信息安全管理方面下功夫,在信息安全制度流程的建设上,寻找多个大家都能理解和接受的平衡点,工作重点在于信息安全意识的沟通和网络安全理念的推广。

网络信息安全专业领域有句话:三分技术,七分管理。现在的人性化管理不能是军事化命令与控制的那套儿,而要重在全员沟通、重在流程协调。网络信息安全行业也是如此,更多的投入应该在人性化的信息安全管理层面,发动信息安全意识宣传推广计划,将安全控管需求及目标、安全制度和流程以及安全技术手段结合起来,才是正确的省钱之道。

想想看,五百万的网络安全预算,增加一台两百五十万的可能会成为一个摆设的网络安全新设备,通过潜规则让两百五十万落入员工们的口袋,从此担心吊胆好呢?还是花上两百万的预算,采购一台真正能用上的设备和一些信息安全管理及宣传服务,将三百万拿来光明正大地奖励IT安全人员的运营贡献以及优秀员工的良好安全行为要好呢?

人员People,流程Process,产品Product(亦可称技术Technology),这“3P”是信息安全管理的三要素。网络安全与信息化工作者们,想要防止浪费,又要有所成绩,应该知道如何将这三要素有效结合起来,即能让省钱并且让钱光明正大地进入员工们的腰包,又能提升网络信息安全制度化管理水平,还不误网络信息安全技术的提升,最佳的方式,无疑是从强化全员信息安全意识开始。

年底快到了,想要有所成绩的网络信息安全管理者们,欢迎联系我们洽谈业务合作哦!您可以在线体验一下我们的信息安全意识培训产品,或者通过我们的信息安全意识推广计划了解更多内容。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898