[ad_1]
早在 2021 年 1 月,微软就宣布其软件,特别是运行某些 Microsoft Exchange 服务器的软件,遭到中国政府资助的犯罪集团的黑客攻击。 此外,该公司表示,在修补之前,使用该软件的每个人都容易受到攻击。
在世界各地,包括小型企业在内的各种规模的组织都争先恐后地上传补丁并弄清楚它们是否已被渗透。 尽管付出了努力,但仍有一些人落入陷阱; 至少 200 次勒索软件攻击 被归因于黑客攻击,一些企业在向犯罪分子支付费用时损失了数百万美元。
这次黑客攻击凸显了 3200 万小企业的脆弱性,其中许多小企业无力聘请网络安全公司,而且大多依赖软件和硬件公司的内置安全功能,如巨头 谷歌, 微软 和 苹果. 尽管这些公司已经取得了进展并且问题也不是新问题,但仍然存在漏洞,尤其是在电子邮件和其他软件程序(包括操作系统)中,这些漏洞早在当前网络犯罪和网络间谍活动猖獗之前就已经设计好了。
“(社会)要求小企业与国家、有组织的犯罪集团和地下室的 16 岁儿童作对,”初创网络保险公司 At-Bay 的创始人之一 Rotem Iram 说。 “他们支付的技术堆栈继续让他们失望,堆栈不承担任何责任。”
Iram 是一名前以色列情报官员,他说大型软件公司应该让他们的程序开箱即用,以在攻击者到达中小型企业之前抵御攻击者。
“是的,默认值很重要,”经营网络安全网站 KrebsOnSecurity 的布赖恩·克雷布斯 (Brian Krebs) 说。 “默认设置很重要,因为很少有用户会更改默认设置,也许除了密码之外。”
他指出,每次大型软件公司更改默认设置或考虑网络安全进行全面更改时,网络犯罪都会显着下降。
“当浏览器制造商开始向未使用 SSL 证书的网站添加警告时,我们很快就看到了 HTTPS:// 在大多数网站上的大规模采用,”克雷布斯说。
微软在少数几个拥有巨大市场份额的市场中拥有特别的实力,包括企业电子邮件。 电子邮件虽然是一项古老的技术,但仍在许多勒索软件和网络钓鱼攻击中使用,这些攻击都是从某人点击链接或下载软件开始的。 根据技术研究公司 Gartner 的数据,微软在企业电子邮件/文字处理市场占据主导地位,市场份额超过 86%。 谷歌拥有近 13%。
过去,微软做出了一些改变,包括启用操作系统的自动更新、内置防病毒产品以及默认启用防火墙。 “但微软花了很多年才看到这样做的商业案例,以及他们用户的安全案例,”克雷布斯说。
电子邮件的“老化”是个问题
今天的技术堆栈的许多问题源于这样一个事实,即它的某些部分是在网络犯罪分子成为这样一个问题之前很久就开发出来的。 “电子邮件是一种僵化的产品,”促进数字权利的无党派组织民主与技术中心的首席技术官 Mallory Knodel 说。 它的一些 捐助者 是大型科技公司。
主导该领域的大公司并没有在基本软件中内置默认安全功能,而是通常将其留给网络安全市场来增加安全性,这导致了新类别公司的巨大增长,例如 人群罢工 和最近被 Alphabet 收购的 Mandiant。
但 Knodel 表示,特别是向电子邮件添加更多控件或过滤器可能会引发数字隐私问题。 “我可以看到人们说,‘我不想让谷歌阅读我的电子邮件。’”
她补充说,在复杂的产品中,新的安全措施可能会适得其反。 “有了安全层,就可以进行权衡,有些可以交叉使用。”
“微软非常重视电子邮件安全,”Microsoft Defender for Office 负责人 Girish Chander 在给 CNBC 的一份声明中说。 他表示,该公司打击电子邮件传播攻击的战略基于三个原则:基于研究的产品创新、通过摧毁攻击网络与攻击者作战,以及专注于帮助组织改善他们的态势和用户弹性。
每个月,Microsoft Defender for Office 365 都会检测并阻止近 4000 万封包含商业电子邮件妥协 (BEC) 的电子邮件,阻止 1 亿封带有恶意凭据网络钓鱼链接的电子邮件,并检测并阻止数以千计的用户妥协活动。
该公司的数据突出显示了全球每天发生的攻击次数,以及科技巨头也成为网络安全参与者的方式。 谷歌’收购 Mandiant 的定价为 54 亿美元。 微软既是软件供应商,也是通过其 Microsoft Defender for Office 保护软件的服务销售商。
攻击和网络保险费在增加
Iram 于 2016 年与他人共同创立了 At-Bay,他说他愿意为自己对微软的批评承担一些责任——包括他说他接到微软的电话以回应他对公司的公开批评。 (通过其风险投资部门,微软也是 At-Bay 的投资者)。
他指出,微软花了 18 年的时间来更改 Microsoft Excel 中的默认设置——例如电子邮件,这是另一个多年来基本保持不变的程序——以击退攻击者。 微软的黑客攻击导致对 At-Bay 的索赔,后者有 25,000 项有效的政策,比谷歌更频繁,其中包括一些微软没有的针对诈骗者的保护,Iram 说,包括一个大红旗警告你打开或发送电子邮件到您网络之外的人。
但网络安全专家表示,将默认设置更改为更安全的设置会激怒客户并导致强烈反对。
在回答 CNBC 关于 Excel 宏的问题时,微软指出了今年 2 月的一篇博客文章,其中写道将安全更改设为默认设置。 它 暂时回滚更改 回应用户投诉。
At-Bay 是众多网络保险公司之一,随着攻击次数的增加,他们的业务压力也在增加。 在最坏的情况下, 保险公司发出警告 即使与气候变化和流行病相比,网络安全也可能变得“无法投保”。
据该公司称,At-Bay 的年度总承保保费为 3.5 亿美元,已筹集 2.92 亿美元,估值为 13.5 亿美元。 与业内其他公司一样,随着数据泄露和勒索软件攻击数量的增加,At-Bay 去年的保费增加了一倍多。 它的卖点之一——就像 Embroker 和 Coalition 等少数其他网络保险公司的卖点一样——是它的保险带有主动风险监控。
在过去的三到五年里,一些专注于小型企业市场的网络安全公司已经推出,包括 Huntress 和 SolCyber,但它们通常会覆盖至少有 10 名员工的企业。 小企业的广阔天地比这还要小; 该国 3200 万家小企业中约有 2300 万家只有一名员工,即业主,尽管许多可能有固定承包商,因此存在安全问题。
一位 FBI 网络安全专家最近告诉 CNBC 绝大多数受害者 FBI 在 2021 年跟踪的网络攻击中损失的数十亿美元是小企业。
Embroker 的首席技术官 Jonas Edgeworth 在电子邮件中说:“遇到这种攻击的小企业没有办法(在金钱上或技术上)进行报复或承担成本。”
汽车安全如何为在线安全监管提供信息
这些担忧不仅仅局限于小企业。 在一个高度网络化的社会中,一家公司的漏洞,即使是最小的公司,也可能会转移到另一家公司。 在发生大型 Microsoft Exchange 漏洞的情况下, NPR调查 得出的结论是,中国黑客以美国公司为目标,作为收集美国消费者数据的努力的一部分,目的不明。
Iram 说,随着针对没有资源防范攻击或从攻击中恢复的中小企业的攻击变得越来越普遍,政府监管机构可能不得不介入。
他将当前情况比作逐渐使汽车更安全的漫长而稳定的道路,因为保险公司、制造商和联邦政府改变了车辆中包含安全功能的规范。
“想象一下,如果你买了一辆不安全的汽车,而制造商说你应该自己下载并修补它,”他说。 “现在想象一下有 50 个零件。现在你需要聘请一名全职机械师来维护它。……这就是我们要求小企业做的事情。”
这是 CISA 主任 Jen Easterly 的一个例子 最近也用过 在接受 CNBC 的“Tech Check”采访时。
Easterly 说:“我们习惯于称其为网络安全,但这确实是网络安全、消费者安全的问题。” 她说:“几十年来一直在开发根本不安全的产品和软件的技术公司需要开始开发设计安全且默认安全且内置安全功能的产品。” “你可以把它想象成汽车……这就是我们作为消费者对我们技术的要求。……我们已经以某种方式规范了一个事实,即我们已经接受了数十、数百种技术软件和产品。 ,数以千计的缺陷和缺陷,并规范了将网络安全负担加在消费者身上的事实,因为消费者最不能理解威胁。”
Iram 强调了三个存在技术以提高安全性但不是默认技术的领域。
- 要求商业软件在登录时进行多因素识别。 目前,联邦政府已开始规范金融公司和关键基础设施公司的登录。
- 更新电子邮件软件默认设置。 例如, 自动扫描电汇攻击,并自动检查发送电子邮件的信誉或历史记录。
- 迫使供应商更快地解决问题。 他举了一个例子,Microsoft Excel 问题持续了 18 年。
但在 Iram 自己的支持者中,对他对科技巨头的批评持谨慎态度。 Shlomo Kramer,创始人 检查点软件,以及 AtBay 和许多其他网络安全公司的种子投资者,对他的投资对象对微软的攻击持谨慎态度。 “你应该从你信任的公司购买,”他说。 “你应该信任许多国际公司,”克莱默说。
迄今为止,美国政府采取了谨慎的态度——美国网络安全基础设施局的一位女发言人表示,该机构不监管小型企业软件,而是指出 博文 指导旨在帮助足够大的企业拥有一名安全项目经理和一名 IT 主管。
美国国家标准与技术研究院发布了一个复杂的框架,规定企业应该自愿做什么来保护自己免受网络犯罪分子的侵害。 它要求 加密和控制登录,这对于营业额高的行业(例如零售业)中的小型企业或只有少数员工(其中许多人在自己的计算机上远程工作)的小型企业而言可能具有挑战性。
微软发言人通过电子邮件表示:“作为一家公司,我们将继续更加专注于适应监管而不是与之抗争,并寻找主动满足更高期望的方法。”
[ad_2]
Source link
