Brian Wagner 是塑造企业如何防御现代网络威胁的先锋人物。作为著名的网络安全演讲者和行业领袖,他曾担任 AWS Financial Services 的合规主管,目前担任网络安全公司Defence.com的首席技术官。在他的职业生涯中,包括在思科、AWS 和 Bulletproof 担任重要职务,Brian 帮助各种规模的组织建立了弹性、面向未来的安全战略。
我们与 Brian 进行了交谈,探讨了下一代网络攻击、企业如何在无边界的世界中保护自己,以及为什么人为因素仍然是当今网络安全中最大的风险和最大的机遇。
随着威胁行为者不断改进其攻击策略,您认为企业应该做好应对的下一种主要网络攻击类型或类型是什么?
下一个……哇。我认为这将来自我们在量子计算和其他未来技术领域的进步。随着我们的计算能力越来越强大,我们当前的加密机制将不再安全。
我不确定它是否会成为下一个威胁,但如果你看看我们今天如何保护数字数据,你会发现在不久的将来,这种保护可能会被破坏。我不会说加密会过时,但它可能会在合理的时间内被量子计算等技术破解——或者只是被更强大的系统破解。
COVID-19 疫情如何改变了网络安全格局?远程工作具体如何使企业更容易受到攻击?
是的——当你在办公室外工作时,当你远程工作时,从数字角度来看,区别在于在办公室,你至少处于一个已知的网络或一个已知的环境中。这是完美的吗?这因企业而异。但至少是可以预测的。你知道边界在哪里,通信如何流动,等等。
当你在家工作时,边界消失了。不再有明确的边界。如果你把它想象成一座城堡或堡垒——你保护着墙壁,而墙内的人只要在那里,就会在某种程度上得到信任。在办公室里也一样。你在那里,所以你可能已经通过了一些信任门槛——有人认出了你,你是系统的一部分。
但当边界消失时,攻击面就会成倍扩大。攻击机会成倍增加。攻击不再集中于一个目标,而是每个远程工作的人都成为潜在的切入点。因此,攻击者现在面临的不是单一堡垒,而是许多较小的目标。这让每个人都更容易受到攻击。
您认为当今企业可以采取哪一项最重要的、最实用的措施来加强其网络安全态势?
我认为绝对最重要的建议是使用密码管理器,它易于实施且切实可行。我们现在看到的许多泄密事件都来自常用密码或已在网上泄露的密码。所以这可能是防止泄密的最简单方法。
接下来是电子邮件警惕。网络钓鱼(如果您不熟悉该术语)是指有人诱骗您交出登录凭据或银行详细信息等信息。在商业场景中,它通常旨在窃取登录详细信息,然后可用于访问系统。没有单一措施可以解决这个问题,但要点是对所有电子邮件保持怀疑态度。
另一个有用的步骤是启用多因素身份验证 (MFA)。现在每个人都在使用第三方服务——一切都是订阅,每个订阅都有一个登录名。有了 MFA,即使你的密码被盗或泄露,攻击者在没有第二层验证的情况下也无法访问你的帐户。这使得密码对他们来说实际上毫无用处。
根据您的经验,当今组织内部数据泄露的最常见根本原因是什么?
可悲的是,问题出在人类身上。人类天生就信任他人——这是我们的天性。从统计数据来看,网络钓鱼显然在入侵中扮演着重要角色。人是薄弱环节。
在电子邮件占据主导地位之前,漏洞利用方式更多是物理攻击。例如,有人可能会走进前台,说自己要迟到了,然后递上一个存有“简历”的 U 盘,一旦插入,就会造成漏洞。
如今,尤其是在远程工作的情况下,网络钓鱼绝对呈上升趋势。我不想依赖网络钓鱼来寻找所有答案,但从广义上讲,在网络安全方面,人仍然是任何组织中最薄弱的环节。
随着勒索软件攻击的频率和复杂程度不断增长,如果企业发现自己受到网络犯罪分子的勒索,该怎么办?
Brian:“首先,不要付钱给他们。这是绝对的第一条规则。我们之所以有网络犯罪和勒索软件,是因为它们有利可图。如果不赚钱,就没人会去做。
接下来,评估影响。理想情况下,如果您已经正确备份和存档数据,勒索软件事件最多也只能带来不便。
这里有几个场景。如果你有备份数据,理论上你不会丢失任何东西——即使加密数据永远无法恢复。不便之处在于恢复所有内容需要时间,这可能会导致暂时中断。
但这也取决于被勒索的数据是什么。是个人信息?客户数据?还是内部业务数据?如果是与客户相关的数据,包括登录凭据或个人详细信息等,那么您就有义务(不仅在 GDPR 下,而且在道德上)通知受影响的人。
作为一家负责任的企业,您应该主动联系他们并告知他们:“事情是这样的,我们认为这些内容被盗了。”这些人需要知道这些,这样他们才能保护自己。
“但是我再说一遍——第一条规则——不要付钱。
如果您可以回到过去,在网络安全之旅开始时给年轻时的自己一条建议,您会说什么?为什么?
不要害怕失败。勇于尝试。这在职业生涯的早期尤其如此——任何职业,不仅仅是网络安全。人们往往倾向于追求完美,觉得你必须第一次就把所有事情都做好。
同样,我还要说:坚持发挥你的优势。在职业生涯早期,人们常常试图取悦别人。他们希望被视为有帮助或不可或缺的。
举个例子。假设你被一家大公司请去解决软件问题,但有人说:“嘿,你擅长电脑——你能修好打印机吗?”你可能会倾向于说是的,但实际上,你应该自信地说:“实际上,我来这里就是为了做这个特定的工作。
当你坚守自己的领域时,你就会在自己的专业领域树立权威——这是很有价值的。这体现了你的自信,并帮助你以正确的方式成长。
