组织在冲突时期的网络考虑

组织在冲突时期的网络考虑 首席信息安全官（CISOs）如今面临着加强组织网络安全和维护企业整体完整性的关键职责。随着地缘政治紧张局势的升级和冲突的展开，网络空间已经成为一个战场，在这里信息既是武器也是目标。这些冲突可能导致全球供应链中断、激增的网络攻击事件，并产生连锁效应影响处于冲突区内外运营的企业——导致操作延迟、成本上升、公众信任度下降以及暴露于加剧的敌对审查之下。 在这份波动中，CISOs必须主动且适应性强。通过理解不断变化的威胁、加强安全措施，并将人为因素纳入考量，CISOs可以更好地保护其组织免受地缘政治冲突带来的复杂风险的侵害。 CISO应该知道什么 CISO的角色职责相互关联，提高了责任的重要性。如今，CISO的职责已超越传统的网络安全范畴，涵盖了管理危机应对团队、确保业务连续性、保护供应链、审查第三方供应商、保障通信渠道安全以及与内部利益相关者 、政府机构、行业同行和国际合作伙伴协调。此外，CISO还需确保员工充分培训并准备好应对增加的风险。 地缘政治紧张局势和冲突引入了新的风险等级。随着冲突升级，国家资助的网络攻击、间谍活动以及对关键基础设施的针对性攻击变得更加普遍。经济制裁及类似限制迫使各国发展进攻性能力以规避这些约束、报复被视为敌对的国家，并弥补传统军事选项的不足。一个显著的例子是2017年的WannaCry勒索软件攻击，由朝鲜的Lazarus集团策划，导致全球150个国家的关键基础设施受到干扰。此外，Lazarus集团还被牵涉到高调的网络犯罪活动，包括通过欺诈性的SWIFT交易窃取8100万美元。 参与规则在冲突中演变。冲突期间动机动态变化——从间谍活动、破坏和经济破坏到心理战。经济制裁促使威胁行为者报复并加剧其活动。出于经济和政治动机的网络犯罪分子扩大了其目标，以利用随之而来的混乱和困惑。黑客活动团体——有时被国家行为者如与俄罗斯相关的Killnet等国利用作为幌子——进一步复杂了局势。国家资助的网络攻击变得更加猖獗，旨在渗透关键基础设施、扰乱运营并窃取数据。鉴于当今企业之间的紧密联系以及支撑全球系统的性质，这使得情况更加错综复杂。 ©2024byTrentdMicro,Incorporated.Allrightsreserved. 他们，这些网络犯罪活动的影响远远超出了直接冲突区域。此外，自2014年以来针对乌克兰的网页篡改、恶意软件和虚假信息运动等攻击，以及归因于VoltTyphoon的对关键基础设施的网络攻击，凸显了CISO们需要预见威胁行为者行为变化的必要性。 人类是CISO的不可预测的阿喀琉斯之踵。人为因素仍然是网络安全中最显著的脆弱性之一，但同时也是确保组织韧性和可靠性的关键。地缘政治冲突和网络攻击加剧了紧张和混乱，从而增加了人为错误的可能性。这种易感性因误导性宣传和社交工程攻击而被放大，这些攻击利用动荡局势操控员工泄露敏感信息或犯下关键错误。当实施旨在增强员工意识、建立强大支持系统并确立明确沟通协议的计划时，CISO必须将人为因素纳入考虑之中。 CISO必须采取什么行动 冲突前的积极措施： 评估该组织是否为感兴趣的目标。利用威胁情报平台和框架来识别可能针对公司的战术和技术。 制定关键业务资产和服务的规划，并识别其脆弱性。深入防御、零信任和虚拟补丁策略可以为这些资产增加一层保护。 为了降低风险并增强韧性，多元化供应链。在当地和国际上建立合作伙伴关系，特别是在战略重要地区。审查长期供应商合同，识别可能受到干扰影响较大的合同，并建立备选方案以维持连续性。 创建危机管理团队。明确划分角色、职责以及制定操作和程序指南。这一准备措施能够确保在冲突期间迅速且协调地作出响应。 定期对员工进行培训。通过定期的培训和模拟来武装员工，为应对诸如网络攻击、供应链中断和安全漏洞等场景做好准备。 即将发生的冲突的战略准备和调整： 加强网络安全防御。准备应对预期增加的网络间谍活动和虚假信息。确保所有应急计划都是最新的。考虑您的组织是否应该拥有更多样化的工具和防御措施以防止过度依赖单一供应商 。 模拟中断。测试供应商的主要硬件、软件或服务不可用的场景。准备随时切换到替代供应商以保持运营连续性。 预计黑客活动将增多，请加强防御。巩固基础设施和流程的完整性。加大检测敌对势力的努力 ，因为在冲突期间忽视威胁的成本可能要高得多。 更新基础设施和流程。审查并更新基础设施、资产以及流程的状态。评估哪些系统应完全隔离 ，并确定何时应暂时禁用更新或更改。 创建备份。它们应位于替代、分布式或离线位置，以确保在中断期间的数据韧性。 增加电力和互联网冗余度。考虑实施能够持续运行至满足运营需求的自主电源系统。 保护关键资产。保护和隔离关键资产，以保护它们免受直接威胁。 当冲突似乎不可避免时激活危机管理团队。随着情况的发展进行管理，确保所有角色和责任都明确且可执行。 实施通信协议。确保及时且准确的信息在内部和外部都得到传播。 冲突爆发时的紧急措施： 执行紧急计划。持续监控不断变化的情况，并立即实施紧急响应措施，包括调整运营模式或工作安排。 确保所有员工的健康与安全：优先考虑员工福祉，特别是受影响区域的员工。确保安全规程到位，并确保员工得到通知和支援。 与利益相关者保持持续沟通。与员工、合作伙伴和客户保持开放的沟通渠道。确保及时传递准确信息。 评估资产的可信度。评定哪些资产仍值得信任，哪些可能被滥用或视为不可信。对任何存在重大风险被对手利用（无论是通过网络还是面对面）的资产进行禁用或清除。 持续和未来冲突的持续战略: 随着冲突初期阶段的稳定，组织需要评估所采取行动的有效性，并做出必要的调整： 持续关注情况。根据实时威胁情报调整工作方式和供应链活动。重新评估风险和业务策略，以及重新审视数字化基础设施。 适应可能影响运营或安全态势的监管和政策变动。贸易限制、制裁、跨境控制、资产没收以及法律规定的数据本地化都可能对业务运营、供应链活动及合规工作产生重大影响。 长期规划包括从持续的冲突和过去的危机中吸取具体教训: 确保数字资产和基础设施的安全性在未来得到保护。增强威胁检测系统，收紧访问控制，并提升网络分段和恢复能力的措施。考虑多样化能源来源以保障业务连续性。定期测试和更新这些系统以适应不断变化的威胁。 培养持续改进的文化。定期回顾和更新安全协议及网络安全实践，包括事件响应计划、员工培训项目、访问管理政策、补丁管理、第三方风险评估、数据加密标准以及备份与灾难恢复程序。 加强本地和全球的战略联盟。积极参与连接公私部门的情报共享网络、平台和社区。与当地行业团体、国家网络安全机构以及全球网络安全组织合作，以获取最新威胁和最佳实践信息。考虑参与网络安全演习和模拟活动，以提升协调和响应能力。 要了解更多关于为什么CISO需要在冲突局势中实施必要的调整和战略的信息，请访问https://research.trendmicro.com/ciso-guide-conflicts.