KPMG说,网络攻击没有业务安全
据KPMG网络安全实践技术总监大卫·费尔布里格(David Ferbrace)表示,每个组织都必须考虑它面临的网络风险,并且攻击可能拥有的影响可能拥有。
“只有这样一个组织可以评估网络威胁可能对其业务意义的意义 - 也许是它的生存,”他在博客帖子中写道。
Ferbrach表示,公司应该在网络保护和恢复力方面投资更多的时间和精力,而不是以前在威胁中不断变化的网络犯罪威胁。但他指出,许多公司正在遭受“网络疲劳”,并将其投资于各种新兴技术,例如机器学习,以牺牲安全性为代价。
FERBRACHE表示,内部审计(IA)的内部审计(IA)需要“激进重新思考”,这通常侧重于将控制网络映射为防止网络犯罪的一种方式。
“问题是,这并不总是镜像犯罪是如何犯罪的,”他说。“现在是时候有不同的方法。”
他将网络罪犯描述为“理性商人”寻找他们在他们用来窃取,欺诈和勒索金钱的策略和工具上投资回报。“他们不做的一件事就是思考是组织筒仓结构 - 所以也不应该是IA团队,”费布布拉说。
虽然技术和行为控制的组合在一个强大之中,但敏捷的治理框架是一种很好的方法,但他表示,许多组织仍然无法获得基础知识或始终如一地申请控制和治理。
“关键是专注于运营韧性 - 关注威胁,评估本组织试图捍卫的内容,然后对齐其独特的控制水平的目标,”费布布拉克说。
他说,建立真正的恢复力依赖于理解组织的相互连接和相互依存的不同细分以及他们依赖的第三方。
“只有通过获得整个业务的整体视图,可以将其安全的人掌握,形成其弱点和漏洞的真实情况。
“通过了解网络威胁的对抗性和网络罢工后果的级联,组织可以为迅速和敏捷的反应做好准备对攻击 - 适当的弹性组织的标志。”
Ferbrache建议组织开始通过评估他们在网络风险管理中的阶段。
“太多的公司要么否认它是对他们来说是一个问题,或者对他们的流程有虚假的信心,”他说。“在规模的另一端,有企业担忧,他们希望尽可能多的安全 - 而不会对日常业务的影响。这些极端位置都没有帮助。“
毕马威建议组织应该:
通过考虑追求网络罪犯,以及如何让它来实现他们面对的网络威胁。使用可信的攻击方案来测试控制的充分性和集成。从组织的领导人建立买入的控制,以便在业务的所有领域按比例申请。想想组织在一个主要的网络攻击后需要做些什么来生存和重建。在加入报告与行业机构英国财务中,毕马威还向英国的金融公司提供了建议彼此,政府和执法将联网络犯罪进行协作。
该报告要求采取新方法,在金融部门打击网络犯罪,旨在扰乱网络刑事市场,工具和系统。
“这种方法对他们进行了成本[犯罪分子]因为他们必须重建那些僵尸网络,那些网络钓鱼网站,”Ferbrache告诉路透社。“对我们来说,它非常有点呼吁穿越社区。我们可以做更多的事情。“
据报告提交人Ferbrache和Dan Crisp,Instim Director称,有基于网络防御联盟(伦敦)的群体的公私伙伴关系等团体英国金融技术与数字政策。
该报告指出,网络犯罪现在仅次于金融部门面临的挑战,以及2016年孟加拉国银行的袭击,其中网络罪犯以8100万美元脱落,表明攻击越来越复杂它说,金融公司。
在2016年,英国银行仅在其上花费了360米,但报告称,近方的方法往往受到监管的缓慢和限制,而可以超越边界和法律的网络犯罪分子正在不断更新他们的方法。
报告称,这需要更快和更具合作的回应。“最终,金融部门作为一个社区需要组织这本身,”费布布拉赫说。