在这个十月,除了蜘蛛网、蝙蝠和食尸鬼,还有更多值得注意的东西--它们就潜伏在企业电子表格、附加应用程序和收件箱的黑暗角落里。
小心:外面是一张扭曲的网,今年可能是最令人不寒而栗的一年!以下是一些简单的统计数据,为我们定下基调:
- IT 安全公司 NCC Group 最近发布的《2023 年 3 月威胁脉搏月报》报告称,与 2023 年 2 月相比,2023 年 3 月的勒索软件攻击增加了 91%,与 2022 年 3 月的数据相比,同比增加了 62%。
- 德勤控制中心的一项民意调查显示,近一半(48.8%)的C-suite 和其他高管预计,未来一年针对其组织会计和财务数据的网络事件的数量和规模都将增加。
- 根据Cybersecurity Ventures 的预测,2023 年网络犯罪的成本将达到 8 万亿美元,到 2025 年将增长到 10.5 万亿美元。
让我们潜入阴影之中......如果你敢的话。
影子 IT:揭开网络暗面应用程序的面纱
面对威胁数字领域的不受控制、未经授权和看不见的力量,看不见并不一定意味着想不起来。
终端用户未经 IT 部门明确批准而使用的任何信息技术系统、应用程序、软件或服务都属于影子 IT 的范畴。这些风险隐藏的地方比你想象的要多(而且不受传统企业应用程序的监控)--平均每个企业包含的影子 IT 应用程序是企业管理应用程序的 4-10 倍。这就是为什么从识别和分类威胁到建立响应协议,许多企业都在采用基于系统的方法来支持其控制框架。
想进一步了解自动化 EUC 风险管理?了解以下使用案例:
水中的食人鱼:网络钓鱼、预发短信、诱饵等
如果你需要证明社会工程学攻击(如网络钓鱼)呈上升趋势,那就看看最新的头条新闻吧。以针对米高梅度假酒店(MGM Resorts)的网络攻击为例,据称黑客利用 LinkedIn 信息冒充一名员工,从另一名员工那里套取敏感信息。结果,一场大规模的网络攻击影响了米高梅的操作系统,导致整个赌场楼层、预订系统、订票系统、电子邮件系统等瘫痪。
在联邦调查局的 IC3 报告中,网络钓鱼诈骗一直被列为最普遍的网络犯罪之一,这是有原因的。事实上,2022 年移动网络钓鱼攻击的数量创下了历史新高。
网络安全基础设施和安全局(CISA)将网络钓鱼作为今年网络安全宣传月期间需要警惕的网络犯罪之一。网络安全基础设施和安全局重点关注个人、家庭和中小型企业如何通过以下方式保护我们世界的安全:
- 使用强密码
- 开启多因素身份验证(MFA)
- 识别和报告网络钓鱼
- 更新软件
小心:恶意软件、勒索软件等
根据SonicWall 的《2022 年网络威胁报告》,2020 年的恶意软件攻击略有下降,这是五年来的第一次,但现在又开始上升,每年达到 1040 万次。仅在 2022 年上半年,该报告就发现了 270,228 种 "前所未见 "的恶意软件变种。
更不用说,新技术(如 GenAI)并不一定会带来新的威胁能力,反而会帮助坏人变得更加敏捷和有效。现在,不良行为者可以利用语言模型来提高说服力,例如,使社交工程攻击更具说服力和危险性。有些不良行为者甚至可以建立自己的语言模型。
事实是:威胁正在以更快的速度、更有效的方式蔓延,因此您的风险管理也必须如此。
我们如何才能提高意识?
为了扩展风险战略,并使其成为一个可以持续不断改进(和衡量)的流程,您需要从组织中引入更多人员,不断分享新的可用信息,并利用基于自动化的技术保持灵活性。安全培训也会有所不同;员工需要更好地发现威胁指标(如发送地址/发送名称不匹配),而不是明显的拼写错误。
惊吓:第三方风险
虽然勒索软件的新闻报道已有数年,但第三方是一个新兴的目标,因为它们通过合作生态系统为威胁行为者提供了规模经济。
在远程工作、全球供应链挑战以及支持业务的供应商生态系统不断增长的世界中,风险不再局限于总部,这意味着您需要能够:
- 识别与扩展供应商生态系统相关的风险
- 降低第三方和第四方供应商带来的风险
- 确定您当前的战略和技术是否支持全面的第三方风险管理计划
想要了解有关识别和降低第三方风险的更多提示?下载我们全面的 TPRM 清单。
让您的风险管理从可怕走向安全--并加以衡量
当威胁被蒙在鼓里时是最可怕的,因此,成功的风险管理战略就是要清除蜘蛛网,打开灯。威胁不应再被想象为从暗处跳出来的意外,而是影响每个企业的预期事件。为了驾驭这种变化,战略性企业采用了将机器学习与持续警惕相结合的风险管理技术,以帮助用户识别、减轻和报告风险。
探索屡获殊荣的影子 IT 和 EUC 管理
查看为什么 ClusterSeven 荣获《2023 布卢尔简报》金奖
