网络犯罪日益猖獗,信息安全专家必须改变安全战略

商业流程越来越信赖信息流程,组织面对的各类安全威胁已经不是简单交给信息安全部门就可获得圆满解决的了,相反,组织应该采取更加具有前瞻性战略眼光、基于业务持续性计划的综合风险管理方案。

外部安全威胁如来自互联网的威胁仍然会呈几何级数增长,让安全防范如临大敌,更严重的是它们一旦合体,则破坏力更是无比,高级可持续性威胁APT即是如此,有组织的、有目标的、坚定的网络犯罪份子是目前公认最难防范的安全威胁。商业间谍更是在市场竞争日益激烈的时代练就了一身的本领,他们受雇于竞争对手,用尽各种手段,企图获取各组织的机密数据,进而摧毁其核心竞争力。

未来几年,全球范围内的新一波信息化浪潮会进一步席卷各类组织,网络犯罪也会持续水涨船高。而国家之间的互联网军备竞赛无疑将导致一场新的互联网冷战,互联网大规模杀伤性武器和防御体系会相继问世,不要以为这些不会影响到民用和商用领域,就如同战争来时,炮弹不长眼,平民也无法幸免一样。

来自内部的安全威胁更是让各类组织不容忽视,各类组织迫于成本、效率和竞争力的压力,不得不销减各类开支和采用创新方案,虚拟化、云计算、外包服务、移动办公、BYOD等等带来成本降低效率提高的同时也带来了众多新的安全漏洞,让组织内部的安全弱点暴露给外部攻击者,更不用提不满的内部员工和安全意识淡漠的员工。

商业供应链也是难定内外的一大安全威胁来源,现代组织的信息数据分散存放及传播于多家合作或关联组织,每个环节都有可能令数据暴露,引起的安全事故给组织及供应商带来不利影响,但是再大的影响也抵挡不住供应链数字化、更多职能外包的趋势。

要积极应对这些外患内忧,非个人英雄主义者可以解决,安全专家需要帮助高层管理团队了解信息安全的价值,组织应当积极采取信息安全治理框架,并紧密结合组织的商业风险管理体系,要分配必要的安全资源,以确保持续的安全投入能满足到业务的需求。

在获得了高管阶层的认同和支持之后,安全专家要将这些新的安全战略落实,最重要的步骤仍然是沟通,即通过实施信息安全意识教育计划,让所有员工了解到组织所面临的内外部安全威胁,防范这些威胁的通用安全措施,自己在日常工作中所担负的安全职责等等,进而发起群防群治运动,筑建立体的多层安全防线。

网络犯罪“内鬼难防”局面如何突破

如果您认为网络犯罪就是利用网站的安全漏洞,窃取网站用户名和密码,然后放到暗网中销售,那这个理解就太偏狭了。从广义上讲,网络犯罪是指借用互联网科技手段实施的犯罪。相比较传统的犯罪手段,利用网络实施犯罪具有更为隐蔽、传播速度更为迅速的特点。

为什么犯罪的手段也越来越“网络化”、“科技化”呢?这和网络越来越普及,科技越来越亲民有关,人们常说网络是一把双刃剑,网络给遵纪守法的人们带来便利,也给铤而走险的犯罪分子带来便利。然而网络对人类毕竟利大于弊,我们也不能因为有人吃饭噎死了,就想让天下人都不吃饭。无疑,我们应该趋利避害,引导社会大众积极利用网络,遏止社会大众恶意利用网络。

关于网络犯罪,现实很严峻,“黑产”的盛行,显示出团伙式、集团式的网络犯罪已成气候,这是人类肌体中的毒瘤,如果不及时切除,任其发展和蔓延,无疑将危害到网络世界的健康发展。要说,随着信息科技的不断发展,网络安全保护措施也在不断升级,各种新型的防护措施争相上阵,为网络犯罪上了一道道强有力的“锁”。为什么仍然会出现团伙式、集团式的“黑产”状况呢?昆明亭长朗然科技有限公司网络犯罪研究员董志军说:问题不在技术层面,有管理就有漏洞,这也是亘古不变的真理。如下给您一些简要的分析:

其一,所有的安全技术防护措施都需要人来实施和使用,人是最为复杂、善变和不宜控管的。网络犯罪集团由复杂的利益链组成,不管是有意无意、直接间接、主动被动,人人都可能成为这个链条的一部分。在利益面前,躲避、突破和忽视安全技术防护措施是人之常情,对于这些人而言,他们甚至都不知晓自己的行为是在犯罪,更不知道自己位于网络犯罪产业链的末端。

其二,网络犯罪集团在经历一次次挫败后,变得越来越狡猾,他们改变了传统的发展方式,减少中间环节和涉案人员,以降低被警方发现的概率,逃避法律惩处。在强大的安全技术防范体系面前,通过正面战场,犯罪集团往往难以突破。于是,通过各种关系,积极发展“内线”便成了网络犯罪集团的生意之道。

其三,内部人员主动通过网络实施犯罪, 有言道“外贼易挡,内鬼难防”,内部网络犯罪人员往往专业性很强,文化程度较高,他们熟知内部运作方式及各个环节的特点,犯罪活动策划周密。即使不被外部犯罪分子拉拢、腐蚀和实施共同犯罪,也很有可能借助内部的管理漏洞,使得犯罪行为不易暴露。

“内鬼难防”局面如何突破呢?昆明亭长朗然董志军表示:管理的问题,自然仍需通过管理手段来解决。在管理制度、风险防范、职业道德教育等方面存在的问题,别指望实施一些安全技术措施就可彻底解决。在网络上放再多的监控探头,网监队伍中出现“内鬼”也是一点用都没有,反倒可能给网络犯罪提供了更大的方便。没有健全的安全管理制度,什么大数据、人工智能等高科技……根本无法落地,至少效果不佳。没有足够的职业道德教育,在金钱等各种利益的收买面前,谁都会轻易拜倒。

说到底,应对网络犯罪“内鬼难防”,不仅仅能怪犯罪分子的“坏基因”,我们更应该反省我们的安全风险管控制度是否有漏洞,我们对内部人员的安全意识和职业道德方面的教导够不够。人类的思想是相通的,人人都有“善细胞”和“坏基因”,中国文化、中国教育的核心是让人们能控制好自己,不仅能去“弃恶行善,端正心念”,还能去教人“行善弃恶”。昆明亭长朗然科技有限公司致力于“行善”和教人“行善”,我们在安全、保密、与合规意识教化方面多年耕耘,助力于企业级客户对受众进行安全意识相关的“正念”教育。欢迎有需求的客户联系我们洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898