危险的边缘 菜单 搜索
关于全球经济中企业风险和弹性的新思路。
技术

来自云的威胁:网络入侵者如何利用第三方

新街全球解决方案有限责任公司创始人兼负责人 David X Martin, LLC首席执行官

情报部门越来越担心,敌对政府可能通过网络入侵金融机构,不是为了偷钱,而是为了污染、破坏和操纵数据。

数据操纵难以检测,黑客甚至可能将目标锁定在备份存储中的数据,以确保无法进行恢复。在记录保存、交易精确度和货币估值方面造成混乱的网络攻击,可能会侵蚀公众的信任,甚至威胁到金融体系的稳定。

云作为一个入口点

最大的曝光点之一是云。随着供应链变得越来越复杂,金融机构开始依赖第三方来提供规模和灵活性。

然而,第三方提供商往往是网络入侵者为了达到预定目标而利用的载体。这极大地增加了公司不得不担心的攻击面。相信第三方会以你自己的方式来满足你的安全需求不是一个谨慎的策略。

如果您依赖一组弱接口来与云服务交互,可能会出现关于机密性、完整性、可用性和可问责性的安全问题。举几个例子:攻击者现在可以使用你(或你的员工)的登录信息远程访问存储在云上的敏感数据;通过劫持的凭证伪造和操纵数据;或者注入恶意软件,将其嵌入云服务器。而且,如果协同行动,攻击者可以窃听、破坏敏感信息的完整性,甚至窃取数据。

api的漏洞

其次,所提供的服务是弹性的,因为服务和安全有不同程度或级别。这将导致不一致的安全模型。应用程序编程接口(API)让用户有机会定制云服务的特性,以满足业务需求——但也允许用户进行身份验证、提供访问和加密,这可能会造成漏洞。API的最大漏洞在于应用程序之间的通信——这会产生可利用的安全风险和新的攻击面。

例子:在研究人员透露,今年1月这是大多数现代微处理器的常见设计特性,允许使用恶意Javascript代码从内存中读取内容(包括加密数据)。这个问题有两个变体,叫做危机和幽灵,允许侧通道攻击,因为它们破坏了应用程序之间的隔离。

员工可以访问云

此外,存储在云提供商服务器上的数据可能会被该公司的员工访问——而且你对这些人没有通常的人事控制。

在最近的一次违约中攻击者是有关网络托管公司的一名前雇员,涉嫌使用网络应用防火墙证书来获取特权升级。

云服务上的数据也可能因为服务提供商删除错误数据而丢失——就像最近发生在一家大型在线零售商身上的那样。更糟糕的是,大多数企业都没有对存储在云上的数据的恢复计划。

底线是,公司需要承担所有的风险。

了解威胁的公司会构建类似于人体免疫系统的网络安全环境。188bet滚球投注

开发一个以数据为中心的方法

重要的是,企业领导人应制定适合其机构独特需求的战略,并寻求合理可实现的最高程度的风险缓解。大多数企业认为网络安全是对包括网络、服务器和应用程序在内的数字环境的保护。188bet滚球投注这种范式的问题是,部署的安全性不一定与它试图保护的数据相关。

专注于保护关键数据的安全问题是:“我们最重要的数据是什么?”部署了哪些人员、流程和技术(如果有的话)来保护数据?如果这些数据被泄露,会对组织造成什么影响?我们将如何应对?”

考虑使用防止数据丢失解决方案为你的重要资料加密,并提供高度保障;就敏感数据的移动和处理提供自动备份和准确的审计资料;甚至阻止传输或删除数据时,发现在未经授权的终结点。

没有数据安全的周边安全是虚假安全。

增强免疫系统

了解威胁的公司会构建类似于人体免疫系统的网络安全环境。188bet滚球投注

当细菌突破人体的自然屏障时,免疫系统会采取三步防御:发出警报,攻击问题,然后恢复和记忆。

随着科技的发展,这是一个充满挑战的时代。管理金融系统等关键基础设施面临的切实风险,需要坚定的、战略性的努力——主要由私营部门来完成。

美国和其他国家政府不太可能对重大犯罪威胁提供有效的威慑,这在近年来还是第一次。当你的公司遭遇网络攻击时,不要指望政府来拯救你。相反,找到帮助之手的最好地方可能是你自己的公司。

凯文·r·布洛克

新街全球解决方案有限责任公司创始人兼负责人

凯文·r·布洛克(Kevin R. Brock)是美国联邦调查局(FBI)前情报总监助理。他做了24年的联邦调查局特工,也是联邦调查局的首席副局长国家反恐怖主义中心(场所)。他目前通过自己的公司NewStreet Global Solutions, LLC做网络安全策略咨询。

    大卫X马丁

    David X Martin, LLC首席执行官

    David X Martin是商业领袖和公司董事会的网络风险管理顾问。他还为涉及网络安全漏洞的案件提供专家证人证词。他担任高级财务主管的40年职业生涯包括在普华永道、花旗银行和联博公司担任高级职位。访问DavidXMartin.com要学习更多的知识。

    为了达到最佳交货,请选择您的地区:
    请输入有效的电子邮件地址。
    成功!谢谢你报名。