2017年5月,黑客组织Shadow Brokers利用美国国家安全局掌控的漏洞武器“永恒之蓝”,开发出了新一代的蠕虫病毒WannaCry,对至少99个国家进行了大规模感染,并要求每个用户支付比特币约合300美元才能解锁被感染的电脑。
此次事件后,网络勒索成为黑客的朝阳产业。
近日,国内外各大媒体陆续报道了多起网络勒索事件。如中国工商银行美国子公司遭勒索软件攻击,导致部分系统中断;波音公司遭LockBit勒索软件,拒绝支付赎金后,超43GB的波音文件被泄露;全球最大半导体制造设备和服务供应商,美国应用材料公司遭勒索软件攻击,损失超17亿元......
这一桩桩、一件件都在警醒着企业,要随时做好被勒索的准备。这绝不是危言耸听!
PART ONE
新技术与数字化转型激增企业安全威胁
随着新技术的发展与加速应用,企业数字化转型进程日益深入,业务不断线上化、数字化,甚至逐步走向数字业务化、产业化。企业高价值数据,人们的衣食住行、财产等被不断迁移到网络数字世界中,并在其中高频协同交互。
然而,这个由各种技术构建而成的数字世界,从内核就是危险的。这是技术天生固有的缺陷。我们一边用新兴技术带来赋能未来商业模式的创新型解决方案,一边也将不可预知的网络安全挑战置入其中。
今年火爆的AI技术就是一大例证。还有让人担忧的物联网,甚至由此生出的镜像世界。
随着越来越多的物联网设备进入市场,它们将为网络犯罪分子提供数十亿种新的攻击载体,可能让黑客劫持你的联网房屋或联网汽车作为人质,甚至在你的智能冰箱或电视上发现一封勒索信......
PART TWO
“事件后再考虑网络安全”的做法已过时
过去,网络安全工作往往是企业战略规划的滞后项。的确,就像很多行业人士吐槽一样:网络安全就像小区保安。不出事,觉得要这玩意儿有什么用;出了事,觉得要这玩意儿有什么用!
乍一看,确实很有道理。但细品之后,会发现不一样。以网络勒索事件为例,从攻击者的角度来看,当两家实力相当的企业,A公司不注重网络安全,B公司采取了各种安全防护手段。
理论上,攻击者会对A公司发起更多针对性的攻击,以便获取更多赎金。即使对两家企业同等量发起攻击,没有安全防护的A公司被攻破的几率也会更大。
当然,我们的确也不能保证事前做好了安全防护的B公司就没有安全威胁。这就好比,航空公司不敢保证每一趟航班百分百安全抵达。这是上面提到的技术天生固有缺陷造成的!
但安全程度的差异却会影响用户的选择。就像两家规模相当的航空公司,A航空发生的安全事故较B航空更多。作为顾客的你必须从二者选其一,那必然是选择安全相对更高的B航空。
所以,企业若继续将网络安全工作滞后,注定走不安稳。数字时代,每一家企业要明白,企业的网络安全直接影响着企业的品牌声誉、客户和数字信任、运营稳定性(包括供应链和合作伙伴生态系统),甚至企业营收。
PART THREE
网络安全问题从IT问题转变为业务问题
回到近日日益增加的网络勒索事件,我们会发现攻击者发起的攻击往往是与企业业务密切相关内容,通过加密这些关键数据,并以此为要挟,逼迫企业支付高额赎金以换取解密密钥。
这些被攻击的企业不仅面临数据丢失的风险,还会因为业务无法正常进行而遭受巨大的经济损失。所以说,网络安全问题就是企业的业务风险。
事实上,如果脱离了业务,也就没有影响企业生死存亡的关键价值数据,遭遇网络攻击的迫害程度也将大大降低。
所以,传统的将网络安全问题视为IT问题的做法已然不可取。企业需要正确地认识到,数字时代,网络安全问题已经从IT问题转变为业务问题。网络安全战略亦从IT战略转变为业务战略,并最终支持战略业务目标和增长。
庆幸的是,当下很多企业高层领导已经认识到这个问题。据德勤数据调查报告显示:企业董事会层面日益重视网络安全,并将其作为业务优先事项之一。调研中,70%的受访者表示网络安全已是董事会常规议题。
越来越多的企业领导人认识到,若不考虑信息安全和隐私影响,并将其嵌入适当的流程中,就无法实现战略和业务目标。所以,在业务构思阶段就要将网络安全纳入考量,从而安全合规地推动企业业务发展、促进增长。
正所谓,业无信则不兴,网络安全正是实现和维护数字信任的基石。随着企业持续推进数字化转型,在开启全新上云之旅、开发新产品和服务、采用第三方服务、向员工提供新工具时,制定有效的网络安全策略将有助于企业构建适宜的数字生态系统,从而真正实现业务成果。
派拉软件作为国内领先数字身份安全原厂商,始终践行将安全战略置于安全产品研发中,致力于为各大企业的内生数字世界守好第一道安全门。
通过结合以“身份优先”的零信任安全架构,将身份安全能力延伸到服务安全(API安全)、数据安全,帮助企业提高自身的信任构筑能力,降低IT风险和业务风险,提升IT运维效率,并为企业持续挖掘其潜在商业价值,实现业务目标。
数字时代已来,你的企业做好了“网络安全”准备吗?