Vishal Salvi对数据泄露和远程资产攻击的研究

尤利娅·德·巴里:欢迎来到知识学院播客，网络叮咬版。在上一集中，我们讨论了COVID-19大流行期间威胁表面是如何扩大的。我们还谈到了印孚瑟斯对这场危机的反应。

尤利娅·德·巴里:今天，我们将集中讨论数据泄露和对远程资产的攻击。根据IT治理博客，在2020年5月，88亿记录被打破。数据泄露越来越频繁。Vishal，网络罪犯的目的是什么?

Vishal Salvi:嗨,尤利娅•。如果你看看漏洞和攻击是如何进化而来的,在过去我们曾经看到袭击银行和金融机构,和攻击你的钱后,无论是通过你的信用卡和网上银行的资产,他们试图窃取您的凭据,这样他们可以偷你的钱。

Vishal Salvi:当然，从那时起就出现了多种类型的攻击和多种类型的威胁行为体。有国家支持的，也有非国家支持的，金融犯罪。我们也有一些组织专注于制造干扰，制造拒绝服务攻击，知识产权盗窃，甚至比特币挖矿，等等。有多个攻击者，有多种动机，多种技术和战术，跨越不同的行业。

尤利娅·德·巴里:这就是我们将要讨论的，我们将讨论所有的技术，动机和战术。从你的个人经验来看，你是否认为有些行业受到的影响比其他行业更大，还是它们都差不多?

Vishal Salvi:如今，每个行业都面临着网络风险。就像我说的,它从银行和金融机构在许多年前开始,但是在这个阶段,投资的增长和网络安全风险的增长和增加相关制造、零售、能源和公共事业,已经如此之高,以至于现在每个行业同样暴露。我现在不想挑任何一个行业，如果你三四年前问我这个问题，答案会是银行业和金融业受到的影响更大，但现在不会了。

Vishal Salvi:最近，我们看到恶意软件攻击空前猖獗，特别是勒索软件攻击，这显然不歧视任何行业。每个行业都可能是一个目标，都受到了这样的攻击，尤利娅。

尤利娅·德·巴里:明白了。谢谢。现在让我们回到我们谈话的开始。你说过跨越不同行业有多种动机，多种技术和策略。最常见的网络攻击有哪些?

Vishal Salvi:90%的攻击使用的是社会工程方法，这意味着它们总是通过电子邮件发起给一个没有怀疑的用户，然后凭据。一旦他们进入，你就会有一个横向运动，攻击就会转移到组织的其他部分。

Vishal Salvi:如果你看看，就发生过的任何攻击而言，你看看这些攻击的剖析，你会发现所有这些攻击都有一个内部人员在扮演着主动或被动的角色。当您从风险的角度来看待内部人员和内部威胁的问题时，风险是关于内部人员在不知情的情况下对凭证做出妥协，从而威胁参与者实际上可以进入您的组织并造成损害。

Vishal Salvi:第二种是关于一个内部人员，他可能会去竞争对手那里，窃取知识产权，如果不受保护的话，并把那些有竞争力的数据或有竞争力的资产带到竞争对手那里。

Vishal Salvi:第三，他们可能被国家或非国家的威胁分子招募，他们可能是积极皈依的，也可能是潜伏的组织，或者其他任何形式，他们可能会违背组织的利益来发动袭击。

尤利娅·德·巴里:如果我们说到战术，你有没有看到由于远程工作而出现的新战术?有什么新模式是公司必须注意的吗?

Vishal Salvi:我们现在也开始看到，鉴于现在75%的人都在家工作，家庭路由器正成为一个弱点。我们已经看到家庭路由器的漏洞被利用的攻击。当你在家里的时候，组织已经实现了分割隧道，这意味着你可以将VPN连接到你的公司网络，但你也有一个通信通道，可以通过本地路由器浏览互联网，这就导致了分割隧道的风险，它被骗子利用，通过公司网络发起命令和控制通信，通过脆弱的家庭路由器。

尤利娅·德·巴里:谢谢你！现在存在许多不同的网络攻击，犯罪分子使用不同的策略。为了时间,我们今天不谈论他们所有人,但下一个问题是,公司如何适应这种新环境和实际步骤时可以考虑保护他们的系统不受诸如ransomware内部威胁或攻击其他网络攻击吗?

Vishal Salvi:我认为你应该做的最重要、最基本的一件事是，你需要对你的IT卫生零容忍。我所说的IT卫生是指你的补丁，你的漏洞管理，因为我们看到的大多数攻击都是已知漏洞的攻击。

Vishal Salvi:企业打补丁有三个重要方面。首先了解什么是资产和你的应用程序和库存,和有良好的能见度,所以当有补丁发布的工具或原始制造商,你是能够识别哪些是适用于你的生态系统。

Vishal Salvi:一旦你能够做到这一点，你就有了一个自动化的方法去继续和实现那个特定的补丁，这样特定的漏洞就可以被修复。这是每个组织都需要的三个步骤来实现一个非常健壮的补丁管理生命周期。

Vishal Salvi:第二个重要的方面,你应该做的是,当你看所有的组织都有攻击和你做根本原因分析,然后发现他们破坏或袭击的主要原因是因为他们非常贫穷的行政特权访问控制。他们对所有操作系统的管理和升级都很差。他们的很多系统都已经没有生命和支持了。他们在打补丁和保持系统更新方面的管理非常糟糕。对如何补救漏洞的控制非常差。

Vishal Salvi:我认为这是每个组织都在努力解决的一个非常基本的问题。我的回答不是关于实现更多额外的安全工具和其他东西，因为这并不能解决您的问题。这是网络防御的一个重要方面，但网络防御更基本的方面是做好最基本的事情，这就是我所说的。

尤利娅·德·巴里:除了您谈到的对IT卫生、补丁和漏洞管理的零容忍之外，公司在防范恶意软件时还可以考虑使用什么工具吗?

Vishal Salvi:您还需要做与预防和检测控制相关的多个事情。例如,超出一个杀毒软件,即端点保护平台,你也会想要实现类似的功能,端点检测和响应,这将,实时查看任何代码端点上运行和识别,基于代码的行为,是否有恶意。

Vishal Salvi:大多数现代组织都在确保它们不仅拥有端点保护平台，而且还在所有主机和所有端点上实现了端点检测和响应。

Vishal Salvi:第二点是,你需要有一个24/7监控到位,不断地观察发生了什么在您的环境,能够接收这些信号实时计算,还有人工认知或自动化的机制,是实施帮助你纠正这种威胁,因为它发生。

Vishal Salvi:今天的现代组织完全专注于将它从头到尾地自动化，因此一旦它被识别出来，它就会得到纠正。

Vishal Salvi:第三部分是投资威胁情报和威胁搜寻变得非常重要。这是什么意思呢?病毒或恶意软件只有当它与您的资产接触时才有效和有影响，无论它是在prem或云或在互联网上。

Vishal Salvi:现在，任何恶意软件的现实都是，总有一个零号病人和前100个病人，而你在其中的可能性比你最终在那里的可能性要小得多。因此，威胁情报和威胁搜寻平台可以帮助你纠正并使你的组织系统免受任何这种散发的威胁通过快速协调机制来识别其他地方的零病人，并识别妥协指标，攻击指标，行为指标，这样我们就可以把它应用到你的组织环境中让你的组织对它免疫。

Vishal Salvi:通过EPP和EDR对端点进行预防和保护的三重策略通过网络防御中心的监控来帮助协调补救，第三，能够实现威胁英特尔平台和威胁搜索，使您能够快速行动，在这些威胁来袭并攻击您之前使您的组织免疫，这是保护您免受勒索软件攻击的一个好方法。

尤利娅·德·巴里:非常感谢。我认为这些都是很好的建议。最后，让我们谈谈最坏的情况。如果确实发生了违约，公司必须采取的第一步是什么，他们应该采取什么优先行动，应该如何应对?

Vishal Salvi:这是一个非常困难和棘手的问题。我认为,你要做的第一件事是真正理解正在发生的事情,什么是伤害的程度,和你应该立即响应包含特定的违反唯一有影响的组织的一部分,不允许它在整个组织中传播,这需要非常快速的思维和快速的事件反应。这是第一点。

Vishal Salvi:第二点是，你进入了恢复模式一旦你被控制住了，你就开始恢复你如何确定发生了什么你如何开始采取决定性的步骤来补救和恢复那些受到影响的资产。

Vishal Salvi:第三，一旦你完成了恢复，你需要做的第三件事是开始寻找根本原因分析，找出哪里出了问题，这样你就可以分析并从根本解决问题。

Vishal Salvi:这些是三个步骤,但我认为更重要的是,这些正在发生,你也需要有你的沟通计划,在那里你可以看看如何与客户沟通,如何与你的法律实体,你的合同义务,你的管理者,你的领导,你的董事会。所有这些都非常非常重要。传播计划和媒体外联非常非常重要。

Vishal Salvi:另一个重要的方面是你如何驾驭你的业务，因为当你着眼于业务连续性和危机管理时，所有这些都需要在类似事件发生之前进行良好的协调和计划。你需要做桌面练习，需要有适当的网络实习程序，你需要有明确的责任，你需要确定发言人。所有这些都是你们的补救计划和应对计划中非常重要的方面。如果你掩盖了所有这些事情，那么这就是你需要采取的违约反应的方法和方法，Yulia。

尤利娅·德·巴里:谢谢你,经营范围。我们的讨论结束了。如果你能给我们的听众留下最后一条信息，你会对他们说什么?

Vishal Salvi:我们看到攻击的频率越来越高，我们也看到组织受到影响的频率越来越高。如果我要给这些组织或听众一个信息，我会说，请把网络安全威胁作为一个非常重要和基本的威胁，对你的组织。您需要现在就开始工作，这样就不会太晚，无法保护您的组织和您的利益免受这类威胁。

尤利娅·德·巴里:Vishal，谢谢你的时间和非常有趣的讨论。大家可以在infosys.com/iki的播客部分查看我们的节目笔记。我是Infosys知识研究所的网络安全主管和播客制作人Yulia De Bari。raybet雷竞app下载今天我们和Infosys的首席信息安全官Vishal Salvi在一起。

尤利娅·德·巴里:您一直在收听知识研究所的网络叮咬版，在那里我们回顾了该公司在新冠肺炎时代应对网络安全威胁的一些关键措施。下次见，继续学习，继续分享。