在五年多的时间里,我在“踩着耙子”系列中发表了关于从当前事件中学习的演讲. 虽然每年的头衔都略有变化, 材料总是新鲜的,不缺乏新的主题. 我清楚地记得我在这个系列中的第一次演讲, 其中一个关键话题是缺乏及时的补丁. Afterwards, 我的一位听众朋友告诉我,这个话题太基本了,不需要提醒. 然而,两个月后的深夜,我接到他的电话寻求帮助. Guess what? 该漏洞是由于一个未打补丁的系统,导致数百小时的补救工作.
为什么我们还在一次又一次地踩着同样的耙子? Why don’t we learn from others’ mistakes? 是缺乏技术,还是我们的流程和程序失败了? 让我们在这篇博文中看看当前的威胁形势, 然后在本月晚些时候即将举行的2020年虚拟GRC会议上进行更深入的研究, 届时我将更详细地探讨这些主题. (编者注:GRC会议将于8月17日至19日举行).
First, let’s consider our adversary. 不,他们并没有成为更好的网络罪犯,也没有变得越来越聪明. 他们只是顺应时代,改变自己的模式,走阻力最小的道路. 他们有更好的工具,更好的能力,更好的教程. 一个普通的网络罪犯越来越远离核心技术,而核心技术曾经是过去的推动力. 我们的标准对手不仅是技术专家,而且是社会工程师, a relationship manager and a salesman.
The COVID-19 crisis is tough on our society; however, 它让网络罪犯发挥出了最好的一面, 当他们坐在家里用他们的技能伤害我们. 他们甚至比以前有更多的钱,因为大流行限制了不良收益的共同支出. 我们的第一个案例研究是COVID-19时代最常见的攻击——网络钓鱼. It is not a simple scam, 而是一场深思熟虑的犯罪,利用COVID-19引发的危机作为优势,策划了数十万美元的抢劫. And then we have an opposite example, 多年来良好的安全文化在哪里帮助另一个组织在面对冠状病毒时加强了网络安全实践, 提高他们在组织各个层面的警惕性.
我们也生活在一个坏人不一定需要突破你的边界的时代, 但有一群研究人员正在扫描你的系统,寻找任何暴露. Some of them go overboard, 几乎是勒索任何一家犯错并意外暴露其数据的公司. 这种情况经常发生,有时甚至到了如此程度,以至于好人和坏人之间的界限变得模糊. 让我们学习别人处理这种情况的经验, 哪些可以帮助您避免成为技术错误的受害者. At the same time, on a positive note, 有一些方法可以让你通过一个好的漏洞赏金计划保持警惕, internal empowerment, and constant monitoring.
在今天的环境中,我们读到的勒索软件比任何其他类型的网络攻击都要多. “我以为这永远不会发生在我们身上”,这是我在过去几年里几乎每天都听到的受害者的话. Yet it still happens. But why? 我想确保赎金和勒索软件的过程不会被视为一个谜, but rather a simple, predictable attack. As a cautionary tale, 让我们来看看勒索软件攻击,并确保你知道如何检测, deter and properly address the situation.
Why are we still making the same mistakes? 因为我们是人,有时候我们会试着向别人学习, yet we learn better from our own mistakes. However, 我们都在努力改进,并获得实用的建议,以保存我们的数据, our users, 让我们拥有更好的网络安全专业技能. 我喜欢分享我的经历,不仅是可怕的战争故事,还有伟大的成功故事. They are not fairy tales, 而是长期战略,这些战略正在取得成效,使我们更加安全.
Editor’s note: 你错过了ISACA 2020北美CACS虚拟会议了吗? View highlights from the conference in our key takeaways report.
