最近

顶级银行监管机构:“经济需要重新打开”

“自动化税”的案例

来自MIT Sloan Management Review的5个商务提示

Shutterstock.

符合重要的想法

网络安全

如何考虑Covid-19时代的网络安全

通过

网络事件始终如一地排名在商业问题的顶级,并且很容易看到为什么:根据一个估计, 每年的网络犯罪的全球成本将上升至6万亿美元 到2021年底。

这是在Covid-19大流行中扰乱了全球的企业,为黑客和坏行为者提供了新的机会。  

自流行开始以来, 万豪遭遇了数据违约 影响520万客户,和一个 勒索软件攻击强迫本田关闭全球运营. 根据联邦贸易委员会,到2020年8月中旬,已有超过172,000个与大流行本身有关的欺诈报告,费用约为11440万美元。   

“大流行创造了完善的恐惧,不确定性,怀疑和混乱,”执行董事Keri Parlson MIT Sloan的网络安全在A期间说 最近的2020 MIT Sloan Cio Digital学习系列在线小组会议。 “坏人已经上涨了比赛,我们必须这样做。”

根据公司包括万事达卡,博伊兹艾伦,自由女士和火星有限公司,根据珠宝和网络安全的高管,改变网络犯罪策略和从家庭工作的员工的转变提升了安全策略的重要性。在最近的两个网络研讨会中,专家们谈到了他们看到的安全威胁以及他们的策略如何转移 - 或者在大流行期间,为网络恢复力提供一些最佳做法。

整体信息:从家中工作可能会改变很多员工行为,但放宽的安全标准不应该是其中之一。

以下是关于网络安全领导者的专家最佳建议,在大流行和超越期间:  

留意大流行相关的骗局

糟糕的演员在线调整了他们的方法来利用大流行。

“黑客是机会主义的,也就是说,我认为”与Covid-19“的最大变化,”Alissa Abdullah说,也被称为“博士”。杰伊,“万事达卡副首席安全官员和网络安全技术高级副总裁, 2020 Emtech下一届会议.

她说,黑客枢转了向询问Bircoin的网络钓鱼消息,以“与...有关的东西 - 19相关或更加个性化的东西”,她说。

黑客还开始攻击协作平台 - 4月份影响超过500,000名Zoom用户的数据漏洞。大流行和转移到遥远的工作“已经改变了对手的机会,并将他们的重点转移到我们正在使用的其他工具中,”阿卜杜拉说,这也是白宫在巴拉克·奥巴马总统的副手。

Booz Allen副总裁兼首席信息官Rebecca Mchale表示,每当危机时发生这些变化。这一次,安全专家对网络钓鱼的认识倍增 - 试图欺骗人们分享个人信息或点击上传恶意软件和Smishing或Smsishing的欺诈链接的电子邮件,这些电子邮件通过短信通过SMS文本发送网络钓鱼邮件。

Pearlson表示,大流行相关的电子邮件网络钓鱼诈骗可以伪装为世界卫生组织或疾病控制中心的信息,或假装有关于刺激检查的信息。

添加的其他区域 大流行期间的脆弱性 由Pearlson确定:

  1. 信息窃取诈骗。黑客将代码嵌入到看起来真实的网站,并提供有关澳门金沙城中心的合法信息。例如,黑客创建了具有嵌入式恶意软件的全局Covid-19案例的相同版本。
  2. 勒索软件和恶意软件攻击。 Netwalker是一个勒索软件,是使用Coronavirus的文件,所以它们看起来很重要。文件嵌入将加密文件的代码。
  3. 工作 - 从家庭漏洞。这些包括未受保护的视频会议链接或已攻击的视频会议密码,可用于访问公司的网络。此外,在家中工作的一些人可能正在使用无担保网络。
  4. 假产品。若干网站旨在出售面具或澳门金沙城中心补救措施,但在不提供任何产品的情况下拿钱。其他人出售假的面罩豁免卡,旨在来自政府​​机构。

调整远程大多数劳动力的安全性

专家同意,在广泛的威胁方面,公司应该首先审查基础知识。 Pearlson概述了在大流行期间的网络安全的一些最佳实践,否则:

  • 员工应注意任何有关信息的请求,并验证源代码,包括意外电子邮件或来自同事的呼叫。
  • 更新笔记本电脑,手机和应用程序并安装任何所需的修补程序。
  • 考虑双因素身份验证。

从家庭工作的突然转变提出了专家需要检查的其他安全问题。

“我们在两周内完成了两年的数字转型,”火星首席信息安全官员安德鲁斯坦利说, 七月CIO研讨会。 “我所看到的真正风险是[在使用]第三方。”

例如,他说,国外的一些工人无法将笔记本电脑从办公室移动到家园,因此有一个争夺让他们新技术并确保它是安全的。

“技术是正确设置的,是个人在家里适当使用技术,也许使用个人设备或共享设备或共享工作设备?”他问。

丹尼艾伦,首席技术官员 veeam软件据悉,遥控工作的转变加速了采用多因素认证。

“我看着这是一个机会,不仅仅是别的东西,”艾伦说。

注意你的员工的心态

MCHALE表示,虽然思考可能是不舒服的,但员工压力会带来内部威胁的风险。

“我认为我们必须考虑到这一点,”她说。 “人们现在的情绪健康可能有点征税,伙伴在不同的经济形势中比以前的不同之处......可能使某些人更有可能成为对本组织的内部威胁?”

欺诈报告与Covid-19大流行有关的费用超过11400万美元的费用超过2020年8月。

此外,在员工心理健康的情况下也是公司是否应继续定期“诱饵网络钓鱼”练习的问题,其中公司将网络钓鱼型电子邮件发送给自己的员工,以确保他们保持警惕潜在的诈骗。

虽然一些公司因压力增加而被拉回来,但自由女士高级副总裁兼首席信息安全官员Katie Jenkins表示,她的团队决定继续。 

“我现在想,我们需要的时间,我们需要确保这些技能保持敏锐,”她说。 

对于一个练习,她的团队将员工发送了一封伪装成缩放的电子邮件,要求更新凭据。 Jenkins说,网络危机与领导团队的练习也继续。

斯坦利表示,这些练习在他的公司辩论了。

“我的一部分想要利用这个,让人们更多的教育。让他们帮助他们了解他们现在更脆弱,“斯坦利说。

最终,公司没有定期的反网络钓鱼练习 - 通常每六个星期举行一次 - 几个月,因为担心这项运动就会疏远。

优先考虑访问超过以往

根据MCCHALE,网络安全超越了网络安全,从基于周边的安全模型转移,其中网络内的所有资产都是信任的。公司正在寻求保护对信息的访问,并将身份视为信任的一部分,而不是这些以这些系统为中心的安全模型。

公司应该采用零信任架构,MCHALE表示 - 默认情况下,个人,设备和应用程序无法信任,需要进行身份验证和授权。

指导原则包括:

  • 假设是违规行为。
  • 永远不要信任,始终验证。
  • 遵循最小特权访问的原则 - 使人们最少地访问数据和信息。  

与此同时,MCHALE表示,安全专业人员应考虑设计思维和客户体验。

“安全不能被视为障碍物,或者用户被激励以解决它,”Mchale说。

拥抱行业合作

公司从共同努力和共享网络安全的最佳实践中受益。阿卜杜拉表示,万事达卡通过其他金融机构合作 金融服务信息共享和分析中心 (FSISAC)。

“我们作为金融气结合在一起,分享我们到位的控制的感觉,我们分享我们看到的一些签名,”阿卜杜拉说。

金融气是第二次遭到第二次攻击的行业,她说,以医疗保健来回走回。

“我们无处可见,持有这种信息[我们自己],”阿卜杜拉说。 “接触别人。你的网络比你想象的要大。人们将分享超过您的想法。随着我们继续成为分享社区,我们将继续帮助我们所有人的网络安全恢复力。“

坚持你的持久原则

展望,专家表示,公司应该确保他们的信息是安全的,在违规或疾病的情况下,计划就在适当的情况下,他们的员工在压力期间举起。一些网络专家表示,他们将自己和其他人正式命名为备份,在疾病的情况下,他们正在检查他们的员工,看看他们是如何做的,并敦促人们继续休息和使用休假时间。

“我认为员工理解为我们有背部的组织,它让他们伸出一点空间来向同事伸出手,说'有什么可以做些什么来帮助,因为我认识到我们都经历了这一切在一起,'“Jenkins说。