Vishal Salvi谈数据泄露和远程资产攻击

尤利娅·德·巴里:欢迎来到知识研究所播客，网络咬人版。在上一集中，我们讨论了2019冠状病毒病大流行期间威胁面是如何扩大的。我们还谈到了印孚瑟斯对这场危机的反应。

尤利娅·德·巴里:今天，我们将集中讨论数据泄露和对远程资产的攻击。根据IT治理博客，在2020年5月，有88亿个记录被打破。数据泄露变得越来越频繁。Vishal，网络罪犯想要什么?

Vishal Salvi:嗨,尤利娅•。如果你看看漏洞和攻击是如何进化而来的,在过去我们曾经看到袭击银行和金融机构,和攻击你的钱后,无论是通过你的信用卡和网上银行的资产,他们试图窃取您的凭据,这样他们可以偷你的钱。

Vishal Salvi:当然，从那时起就出现了多种类型的攻击和多种类型的威胁。我们有国家支持的，非国家支持的，金融犯罪。我们也有一些组织专注于制造破坏，制造拒绝服务攻击，知识产权盗窃，甚至比特币挖矿，等等。在不同的行业中，有许多具有多种动机、多种技术和战术的攻击者。

尤利娅·德·巴里:这就是我们将要讨论的，我们将讨论所有的技术，动机和战术。从你的个人经验来看，你是否认为某些行业受到的影响比其他行业更大，或者它们都差不多?

Vishal Salvi:现在每个行业都面临着网络风险。就像我说的,它从银行和金融机构在许多年前开始,但是在这个阶段,投资的增长和网络安全风险的增长和增加相关制造、零售、能源和公共事业,已经如此之高,以至于现在每个行业同样暴露。如果你在三、四年前问我这个问题，我现在不想选择一个或另一个行业，答案会是银行业和金融业受到的影响要大得多，但现在不会了。

Vishal Salvi:就在最近，我们看到恶意软件攻击出现了前所未有的显著增长，特别是在勒索软件攻击中，这显然不是歧视任何行业。每个行业都可能是攻击的目标都受到了影响，尤利娅。

尤利娅·德·巴里:明白了。谢谢。现在让我们回到我们谈话的开头。你说在不同的行业中有多种动机，多种技术和多种策略。最常见的网络攻击是什么?

Vishal Salvi:90%的攻击使用的是社会工程方法，这意味着它们总是通过发送电子邮件给一个毫无戒心的用户，然后再通过凭据发起。一旦他们进入，你就有了一个横向移动，攻击转移到组织的其他部分。

Vishal Salvi:如果你仔细观察发生过的任何一次攻击，仔细分析这些攻击，你会发现所有这些攻击都有一个内部人员扮演着积极或消极的角色。当您从风险的角度来看待内部人员和内部威胁的问题时，风险是关于让内部人员在不知情的情况下对凭据受到损害，通过凭据威胁行为人实际上可以进入您的组织并实施损害。

Vishal Salvi:第二种是关于一个内部人士，他可能会去竞争对手那里窃取知识产权，如果没有得到保护，他会把竞争数据或竞争资产带到你的竞争对手那里。

Vishal Salvi:第三，他们可能被某个威胁者招募，国家或非国家，他们可能是主动皈依的，也可能是一个潜伏组织，或者其他什么，他们可能会违反你组织的利益来实施攻击。

尤利娅·德·巴里:如果我们讨论战术，你有没有发现远程工作带来的新战术?有什么新的模式是公司必须注意的吗?

Vishal Salvi:我们现在也开始看到，现在75%的人在家工作，家庭路由器正成为一个弱点。我们已经看到家庭路由器的漏洞被利用的攻击。当你在家里的时候，组织有一个分裂隧道实现，这意味着你可以将VPN连接到你的公司网络，但你也有一个通信通道打开，通过你的本地路由器浏览互联网，这导致了这种分裂隧道的风险，这被骗子利用，通过公司网络，通过脆弱的家庭路由器，发起一个命令和控制通信。

尤利娅·德·巴里:谢谢你！当今存在许多不同的网络攻击，罪犯使用不同的战术。为了时间,我们今天不谈论他们所有人,但下一个问题是,公司如何适应这种新环境和实际步骤时可以考虑保护他们的系统不受诸如ransomware内部威胁或攻击其他网络攻击吗?

Vishal Salvi:我认为你应该做的最重要、最基本的事情之一是，你需要对你的IT卫生零容忍。我所说的IT卫生是指你的补丁，你的漏洞管理，因为我们看到的大多数攻击都是已知漏洞的攻击。

Vishal Salvi:企业补丁有三个重要方面。首先了解什么是资产和你的应用程序和库存,和有良好的能见度,所以当有补丁发布的工具或原始制造商,你是能够识别哪些是适用于你的生态系统。

Vishal Salvi:一旦您能够做到这一点，您就有了一个自动的方法来继续执行并实现特定的补丁，从而可以修复特定的漏洞。这是每个组织都需要的三个步骤，以实现一个非常健壮的补丁管理生命周期。

Vishal Salvi:第二个重要的方面,你应该做的是,当你看所有的组织都有攻击和你做根本原因分析,然后发现他们破坏或袭击的主要原因是因为他们非常贫穷的行政特权访问控制。他们的管理和所有操作系统的升级都很糟糕。他们的很多系统都已经结束了生命，失去了支持。他们对补丁和更新系统的管理非常糟糕。对漏洞如何修复的控制非常差。

Vishal Salvi:我认为这是每个组织都在努力解决的一个非常基本的问题。我的回答不是关于实现更多额外的安全工具或其他东西，因为那不会解决你的问题。这是你的网络防御的重要方面，但你的网络防御更基本的方面是获得基本的权利，这就是我所说的。

尤利娅·德·巴里:除了你提到的对IT卫生、补丁和漏洞管理的零容忍之外，公司在防范恶意软件时，有没有什么工具可以考虑?

Vishal Salvi:您还需要做与预防和检测控制相关的多项工作。例如,超出一个杀毒软件,即端点保护平台,你也会想要实现类似的功能,端点检测和响应,这将,实时查看任何代码端点上运行和识别,基于代码的行为,是否有恶意。

Vishal Salvi:大多数现代组织都在确保它们不仅拥有端点保护平台，而且还在所有主机和所有端点上实现了端点检测和响应。

Vishal Salvi:第二点是,你需要有一个24/7监控到位,不断地观察发生了什么在您的环境,能够接收这些信号实时计算,还有人工认知或自动化的机制,是实施帮助你纠正这种威胁,因为它发生。

Vishal Salvi:今天的现代组织完全专注于端到端自动化，因此一旦识别了它，它就会得到补救。

Vishal Salvi:第三部分是对威胁情报和威胁追捕的投资变得非常重要。这是什么意思呢?病毒或恶意软件只有当它接触到你的资产时才会有效和影响，无论它是在prem、云还是在互联网上。

Vishal Salvi:现在，任何恶意软件的现实是，总是有一个零号病人和前100个病人，你在那里的可能性比你最终在那里的可能性要小得多。因此，威胁情报和威胁搜索平台通过快速协调机制来识别其他地方的患者，识别妥协指标、攻击指标、行为指标，从而帮助您补救并使您的组织系统对任何产生威胁的情况免疫，这样我们就可以把它应用到你的组织环境中让你的组织对它免疫。

Vishal Salvi:这是通过EPP和EDR在终端上进行预防和保护的三重策略，通过网络防御中心的监控来进行全天候监控，以帮助协调补救，第三点，能够实现威胁Intel平台和威胁搜索，以便能够快速行动，使您的组织在这些威胁到来并袭击您之前免受它们的影响，这是保护您自己免受勒索软件攻击的一个好方法。

尤利娅·德·巴里:非常感谢。我认为这些都是很好的建议。最后，让我们谈谈最坏的情况。如果真的发生了漏洞，公司必须采取的第一步应该是什么，他们的优先行动应该是什么，它应该如何应对?

Vishal Salvi:这是一个非常困难和棘手的问题。我认为,你要做的第一件事是真正理解正在发生的事情,什么是伤害的程度,和你应该立即响应包含特定的违反唯一有影响的组织的一部分,不允许它在整个组织中传播,这需要非常快的思维和快速的事件反应。这是第一点。

Vishal Salvi:第二点是，你进入了恢复模式一旦你被控制了，你就会开始恢复你如何确定发生了什么你如何开始采取决定性的步骤来补救和恢复那些受到影响的资产。

Vishal Salvi:第三，一旦你完成了恢复，你需要做的第三件事就是开始进行根本原因分析，找出哪里出了问题，这样你就可以进行分析并从根本上解决问题。

Vishal Salvi:这些是三个步骤,但我认为更重要的是,这些正在发生,你也需要有你的沟通计划,在那里你可以看看如何与客户沟通,如何与你的法律实体,你的合同义务,你的管理者,你的领导,你的董事会。所有这些都非常非常重要。传播计划和媒体推广是非常非常重要的。

Vishal Salvi:另一个重要的方面是你如何处理你的业务，因为当你考虑业务连续性和危机管理时，所有这些都需要在类似的事情发生之前精心策划和计划。你需要做桌面练习，需要有网络居住程序，你需要建立明确的责任，你需要确定发言人。所有这些都是补救计划和响应计划中非常重要的方面。如果你把这些都掩盖了，尤利娅，这就是你应对入侵的方法和方法。

尤利娅·德·巴里:谢谢你,经营范围。我们的讨论结束了。如果你能选一条留给听众的最后一条信息，你会对他们说什么?

Vishal Salvi:我们看到攻击的频率越来越高，组织受到影响的频率也越来越高。如果我要向这些组织或听众传达一个信息，我想说的是，请将网络安全威胁视为对你们组织非常重要和根本的威胁。您需要从现在就开始着手，这样才能在这些类型的威胁面前保护您的组织和您的利益，为时不晚。

尤利娅·德·巴里:Vishal，谢谢你的时间和今天非常有趣的讨论。大家可以在我们的播客栏目infosys.com/iki上找到节目笔记的详细内容。我是尤利娅·德巴里，印孚瑟斯知识研究所的网络安全主管兼播客制作人。亚搏电脑登录我们今天请来了Infosys的首席信息安全官Vishal Salvi。

尤利娅·德·巴里:您一直在收听知识研究所的“网络咬人版”，我们在这里回顾了该公司在COVID - 19时代应对网络安全威胁的一些关键措施。直到下次，继续学习和分享。