2023 年圣诞节前夕,美国俄亥俄州彩票因网络攻击而不得不关闭部分系统。大约在同一时间,暗网举办了“Leaksmas”活动,网络犯罪分子免费分享被盗信息作为节日礼物。事实上,根据 IT Governance 的研究,2023 年 12 月有超过 20 亿条记录被泄露,并披露了 1,351 起安全事件——分别比 11 月增加了 332% 和 187%。
12 月是网络攻击和数据泄露的高峰期,尤其是在美国,感恩节和新年之间的组织和员工正处于假期模式。对于某些行业来说,这段时间意味着互联网流量过载,而重点是保持业务运营正常运转。对于其他行业来说,运营正进入停工阶段或为最低限度的劳动力储备做准备。
威胁行为者知道这一点,并将这一时期视为发动攻击的黄金时间,或者,正如CISA指出的那样,12 月假期的放缓“为恶意行为者进行网络利用和勒索软件的后续传播提供了一个先机,因为受害组织的网络防御者和 IT 支持在较长时间内能力有限。”
即使在最好的情况下,应对网络威胁也已经够难的了,但当员工分心(不遵循最佳网络安全实践)或安全人员只是随叫随到的精干人员时,组织如何保证其数据和网络安全?我们采访了来自不同行业的 18 位网络安全专业人士,了解他们的组织在节日期间如何应对安全问题。
减少员工和休假时间
在 18 位受访者中,只有两家公司完全停止运营。不过,大多数公司表示,他们减少了员工数量,或者在提供休假时间方面更加灵活。保持网络安全标准处于正常水平对所有组织都至关重要。
“我们不会减少员工的工作时间;然而,在假期期间,许多人必须休 PTO 或浪费时间,”Weichert Companies 的首席信息安全官 Christopher Callahan 表示。Callahan 补充说,在此期间,检测和响应功能将外包给第三方,以确保持续覆盖。
Adobe 高级安全工程师 Sheshananda Reddy Kandula 解释道:“我们不会在假期期间减少人员数量。不过,我们会保留整个团队的联系信息,以便在必要时快速联系和组建团队。所有团队成员都应及时、认真地应对可能发生的任何事件。”
“假期期间,我们减少了员工,但仍有足够的覆盖范围来维持支持。安全方面则有所不同,因为我们必须非常小心谁不在办公室,谁在上班。安全方面,你必须始终覆盖你的域,这样你就不会偏离协议并留下错误空间,”RailWorks Corporation 安全运营总监 Bryon Singh 说道。
一些受访者强调,无论人员配备多么稀少,或办公室因假期关闭多少天,网络安全标准都必须保持在正常水平。然而,这些标准通常会通过提高威胁检测的自动化程度、加强监控和制定完善的事件响应计划来调整。
安全协议的具体变化
由于员工减少或部分关闭,这些组织都对其一些基本的网络安全实践进行了临时更改。一半的组织冻结了更新和补丁,六家组织更改了事件响应计划并提升了警报协议,四家组织限制了帐户访问。
Tradeweb 信息安全总监 Kapinder Diwan 冻结了更新和补丁,以保持运营稳定,因为节假日和休假期间可用人员较少。例外情况是关键或紧急补丁或更新。Diwan 的同事 Muthukumar Devadoss 补充说,安全团队制定了备用运营计划,以模拟假期期间的灾难恢复情况。
基恩大学网络安全、转型学习和外部事务中心主任兼讲师斯坦·米尔兹瓦 (Stan Mierzwa) 建议,企业应努力提高对所处行业的态势感知能力。“这需要有针对性的开源情报收集,组织才能真正集中精力,在假期期间制定更有针对性的策略。”
但有些人利用假期时间为未来的网络安全计划做准备。道明银行治理风险与合规经理 Geoffrey Adamson 计划利用假期时间为 2025 年的网络安全考试做准备。
节日事件的教训
不幸的是,无论预防策略多么完善,有时坏人还是会在假期中获胜。
Devo 的 CISO Kayla Williams 解释道:“在之前的工作中,我曾在节假日期间处理过一起与产品相关的安全事件,该事件导致数据泄露。由于大多数产品团队都无法工作,因此安全团队无法完全解决问题。我实施了一项政策,要求管理人员确保团队成员在任何时候都不超过 20% 的人员不在岗,而不仅仅是在节假日期间。这是我在以后的所有职位中都采用的最佳实践,并鼓励其他 CISO 在其组织中实施。”
由于员工减少和攻击次数增加,节假日期间是网络事件特别容易发生的时期。安全专家 Umair Mazhar 指出了一个显著的例子,他的公司在圣诞节期间遭受了勒索软件攻击。
“此次攻击发生在系统监控不够严密的情况下,利用了未修补的漏洞,”Mazhar 表示。“攻击者试图加密关键数据,这需要响应团队立即采取行动。由于我们的离岸团队采取了主动措施并迅速做出反应,我们成功控制了攻击面。”
Singh 的公司还处理过一次假日网络事件。“我们遭遇了一次通过防火墙 SSL VPN 漏洞进行的入侵,但通过向SOC团队发出适当的警报和延伸,我们能够及时做出响应并缓解影响。”
这些故事的共同点是,每个安全专业人员要么制定了计划,以将损失降至最低,要么能够利用此次事件来防止将来出现问题。
— 欢迎关注 往期回顾 —
网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)
>>>数据安全系列<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
