探索中国CIO人才现状 | 第四季调研报告
网络勒索:CISO如何搞定它?
2016-08-25  来源:e行网

网络勒索攻击的增加迫使企业对此类威胁给予关注,那么对于CISO来说,在企业防御此类攻击时其能够起到的作用有哪些呢? Mike O. Villegas:风险是确立适当的保护水平和机制,以保护企业资产的镇流器。

企业是否会成为勒索攻击的目标取决于知识产权和企业数据的价值和保护。 企业应该为被勒索的信息和计算机付费吗?道德上来讲,不应该。然而实际上,考虑到资产的重要性,又不得不去做。

企业为勒索软件所害并支付赎金往往是缺乏备份或控制不足所导致的。如果不是这样,系统依旧运作正常,仍遭遇复杂的勒索攻击,如事件一经公开企业则更为关注企业的名声或财务风险。CISO需要确保企业安全项目是基于风险、定期测试并且起作用的,以防遭到勒索攻击。

这意味着CISO需要监督的具体任务,包括: 对所有关键数据和知识产权执行日常增量完整备份;

通过每月的漏洞扫描和年度渗透测试来确保强大的网络安全性;

确保所有服务器和终端用户设备(如工作站、笔记本和IoT设备)上有恶意软件检测和病毒防护产品; 确保对任一应用进行基于RBAC的应用控制,提供对关键数据和知识产权的访问;

确保加密、哈希或标记用于关键数据和知识产权,并具备强有力的密钥管理程序;

确保有全面的监控(如SIEM何文件完整性监控)以对IT基础设施和生产环境中的网络安全和IT人员异常变化作警告; 要求关键电子商务和关键遗留应用上的所有开发人员每年至少进行一次关于安全编码实践(基于OWASP前10大漏洞)的培训;

确保企业文化中已涵盖安全意识计划,侧重社会工程攻击、钓鱼攻击、带有安全意识的客户礼仪和基本的终端用户网络安全; 确保企业的事件响应计划,包括员工培训,特别是培训主管和行政管理员,以正确处理电子邮件或电话勒索赎金的要求。

并非所有的企业都会受到网络勒索攻击,但所有的企业都有可能成为目标,对于那些没有做好准备的尤为如此。对于CISO来说,关键在于确保足够的控制、培训、监控和恢复程序,这样,就算有勒索情况的出现也只是带来了麻烦而不能构成关键业务的威胁。