网络攻击对小企业造成的风险剖析

2019-05-24 10:28:41  浏览:605  作者:IDC圈

中国IDC圈7月1日报道,一名小企业主为我们讲述了她的企业是如何差点被网络攻击者毁掉的故事,以及她从那些网络安全专家那里所汲取到得经验教训。2013年,李·穆尔的小生意经历了长达七个月网络攻击。后来,在伍斯特大学计算机高级讲师理查德·汉森的帮助下,她的企业的业务才逐渐恢复正常,但她的经历则向我们展示了在现如今这样一个全球互联且从满网络安全威胁的大环境下,小企业要学会怎么做生意。

 网络攻击:李·穆尔的故事

当我刚刚创建我的小公司时,我很高兴聘请了一名Web开发人员,专门负责为我解释我对于不同网络问题的疑惑和忽视。这名Web开发人员是经我的一位女性朋友推荐来得,我的这位女性朋友非常喜欢他为她设计的网站,而我也十分信任他在这方面的能力。

我遵循着他的第一个指示:从不关我的电脑或无线路由器。我相信他的解释:如果电脑因为被关掉而无法在第一时间进行最新杀毒软件的安装更新,那么其将很容易受到网络病毒的攻击。他还说,如果电脑/路由器每天都正常开关,我将能够节约更多的电费。他坚持要我通过他自己的网站用信用卡向他支付费用。

现在我知道了我当初其实应该提出更多质疑的。彼时,我当然不知道如果一直开着我的路由器会让他知道我的IP地址。而由于路由器长期永久性地连接到互联网,IP地址保持不变,这使得他能够更容易的冒充我,如果他愿意的话。

由于一心急着赶紧上线,并快速展开网上贸易,我忽略了自己对于完美修饰的追求。我当时根本不知道自己新生的事业、品牌对于网络攻击是多么的脆弱。

新闻报刊上鲜有对于网络犯罪的报道。而那些指导如何创业的公司也不会教给那些刚刚崭露头角的企业主们如何应对网络安全对于他们业务的威胁,也不会在其商业计划中为他们推荐包括IT安全策略或信息风险评估之类的服务。

用Web开发者来描述他是相当贴切的,他非常谨慎的将他的网站围绕在我周围。我也信任并允许他这么做。

在接下来的两年里,他购买了我的域名。并将我个人和公司的网站及电子邮件账户托管到了他的服务器上。他创建了我的社交媒体账户。并了给我用户名和不同的密码用于访问这些社交帐户。他是如此的友好和乐于助人,使我逐渐让这种职务关系发展为私人关系。他会与我分享一些个人信息,而我也会进行回应。

当我告诉他我的丈夫病危之后,我收到了一封电子邮件,通知我说,我的网站已经过期,容易受到黑客攻击。他反驳了我对于被告知我的仅仅不到两年的网站可能会感染托管在他的服务器上的其他网站,因而需要新建一个网站的不满。而他则可以以1,250英镑的‘友情折扣价’为我打造一个新的网站。

由于当时沉浸在丈夫死亡的悲痛阴影中,也嫌麻烦不想再找一个网页设计师,我同意了。并向他支付了1250英镑。

电子邮件威胁

在新网站上线的24个小时之内,我收到了一个为期五天的未指定的额外工作需求,再加上25%的第一时间通知费用。

我对于这样一份意外强加的费用征收提出了抗议,却收到了“不付钱就让我的生意完蛋”的电子邮件威胁。我请求贸易标准协会进行调解,但他们的干预遭到进一步的威胁,通过他们的代表反馈给我,“告诉李:不给钱将让服务器挂掉”。

我还没来得及回答,我发现我已经不能再访问我的社交媒体账户、我个人和公司网站或我的电子邮件了。这名Web开发者已经改了所有的密码。我的网站就只剩下一个页面通知访客说:我的公司和我已经陷入持续的债务纠纷,而我本人也是一个高风险的生意人。

他还利用搜索引擎优化技术,让我的名字出现在所有互联网搜索引擎的顶部,并在谷歌上的我的照片之间插入了一个包含有他的logo的横幅。而那些点击了他的logo的访客将被链接到他的网站的一个页面,该页面上,他不断的对我本人和我的公司进行诽谤评论。

由于无法再做生意,我选择告上法庭,他则起诉了我和公司要求支付争议款项。他不顾我的建议,并在维特上发贴辱骂我。

我创建了新的电子邮件地址和一家新的公司,但他在48小时内就发现了,然后就开始用攻击性电子邮件来骚扰我。而我一旦拉黑了他的一个电子邮件地址,他会另设一个来继续骚扰。

他使用我的品牌、我的家庭地址注册了域名和公司。然后使用该域名创建了另一个网页来重复说我的公司和我本人是债务人。他将我的新公司名称添加到所有关于我的诽谤网页,而且持续六个月每天刷新。

后来,从我的PC上发现了一个木马并被删除。尽管并没有证据表明是由于木马使得我电脑上的文件被无端加密,而且许多邮件莫名其妙的消失。

警察说这属于民事纠纷,不是刑事案件。

我找到了律师,该律师一项诉讼的报价就达15000英镑,而我有三项诉讼。光法律费用就高达六位数。

在我忍受了网络攻击好几个月,同时在经过了我的律师多次要求之后,警方找到了对我进行网络攻击的人。他交给了警方据称是我从我Twitter帐号所发布的冒犯他的帐户页面的复印件。于是,警方又撤销了该案件。

最后,是理查德·汉森才帮我处理,并从此次网络攻击的影响中恢复过来。

网络的教训:来自理查德·汉森的反馈

您不会知道网络攻击会是什么感觉,直到其真实的发生在您自己身上。

李·穆尔的遭遇是相当可怕的。近几年来,我一直在参与为小企业提供网络安全事务服务,从我所遇到过的相关案例来看,李·穆尔的案例可以被归纳为不对称的内部攻击的一个例子。我很诧异地发现,仅仅是一名Web开发人员就可以很容易地让一家企业及其主人受到这么大的伤害。

李·穆尔的公司被提供的服务没有任何相关的服务保障措施。一家互联网服务提供商(ISP)和网站开发者(这可能是同一个人或同一家企业)可以没有任何特殊的原因,仅仅只是因为他们可以提供相关的服务就能够被企业客户信任到如此惊人的程度。根本就没有任何措施来保护小企业应对他们的网络提供商,除了《消费者权益保护法(1987年)》,也没有相关的法令能够将他们作为普通消费者来保证他们的权益。

英国没有任何一部法规涉及到web开发人员操作实践的规范,除了BCS之外,也没有任何的专业机构来对他们实施监管。

对于中小企业而言,能够充分检测服务提供商的服务质量是相当重要的。在缺乏诸如业界排行榜的条件下,这往往靠口碑。

李·穆尔是被这名开发人员弄傻了眼仅仅是因为他比李·穆尔拥有更多的互联网和Web应用程序的相关知识——而这一现状在当前的小企业主中间非常普遍。人们可能已经对于《数据保护法(1998)》有了一定的了解,也知道《计算机滥用法案(1990)》,但很少有企业有这样的意识。

在相应的监管缺席的时候,违法者就能够在任何情况下滥用自己的知识,并制造一些计算风险来掩盖自己的违法痕迹,因为没有证据就没有案件。

多年来,《计算机滥用法案》的落后已经让人民有一些惊讶了。这一法案在手机数字智能话之前就已经被拟定了,其只在2006年进行了修正,使其可以明确地针对电脑进行规范。尽管媒体上有对于流氓国家网络攻击的炒作,但根据最近针对英国企业的网络攻击来源的研究表明,有超过70%的网络攻击是在英国内部发起的。

中小企业需要网络安全建议

警方侦查网络犯罪是基于4P的方法,即预防(prevent)、保护(protect)、准备(prepare)、追捕(pursue)。这显示了企业了解潜在的网络风险的重要性。

但警方没有足够的资源来收集证据,以确保根据《计算机滥用法》对任何针对中小企业的犯罪行为进行定罪,因此这些企业要么将不得不自己收集证据或雇用别人作为自己的代表来收集证据。

违反《数据保护法》是由信息专员办公室(ICO)专门监管的,这可能会让一些小企业主感到惊讶,因为盗窃数字资产与盗窃有形实物资产同样是非法的。对任何小企业而言,充分了解政府的网络要点概述,并遵循建议的步骤无疑是非常好的建议。那些很容易成为网络攻击目标的企业必须采取措施,以减少他们的脆弱性。

在选择一家服务供应商之前,进行尽职尽责的事前调查无疑使企业自己的责任。目前,针对初创企业如何搭建自己的网站的建议一般并不包括信息安全、对供应商资格检查以了解该供应商是否注册了ICO或如何谨慎选择一名网站设计师和ISP等方面的建议。

如果创业公司没有被事先警告,他们不可能查找到这些问题,尤其是当创业之初有这么多的事情要做,以便让业务尽快走上正常轨道。

数据泄露和网络犯罪等相关问题应该成为计算机和法律相关专业人士的兴趣所在,而不只是作为对于小企业的一种服务,也可以作为一个独立的商业机会。

一位精明的IT律师或法律网络培训专家可以确保企业需要如何以获取和存储安全信息,如果发生违约,如何以一种合适的方式在法庭上呈现安全证据。新一代的能够为小企业提供相关建议的IT专业人士可能已经出现,但这一过程需要加快,否则,将会有更多网络犯罪和惩罚等不愉快经历发生。

何时考虑建立网上业务

李·穆尔的案例尤其突显了一些小企业需要重点考虑的要素。这名Web开发人员有她的用户名和密码,并将其上传到互联网上的Web服务器。人们在将自己的用户名/密码告诉他人之前真的需要三思。这样的用户名/密码组合将是确认他们的在线身份,并让身份盗窃瞄准企业主的关键。

允许像这位Web开发者一样可信任的人知道自己的用户名/密码组合,也许是企业希望借此与之建立起良好的业务关系。但这种信任的破坏和断裂将难以发现和打击制裁。

这名Web开发者也常负责该网站的经营和管理,毕竟该网站没有受外部监管。但没有标准以衡量该开发者是否是安全的或甚至是一个好的程序员。一个技术差的网站将对企业的声誉造成很坏的影响,将有可能出现让数据暴露给跨站点脚本、SQL注入或其他常见的漏洞。

Web开发人员通常建议小企业如何选择路由器和配置路由器。这应包括改变默认密码,但这又为开发人员提供了对业务更大的控制。还有诸如无线路由器、黑客攻击、交换机的关闭、IP地址和网络健康等问题。企业也需要意识到。

根据英国政府在2011年的研究显示,每年因网络犯罪所导致的英国企业和个人的损失估计高达270亿英镑。2014年的这一数据目前尚未统计。但随着电子商务和黑客活动的增加,其不太可能下降。

这似乎背离了政府所提出的“让英国成为世界上做生意最安全的地方”的目标。

革命尚未成功,小企业和警方还有许多工作要做。英国并不缺乏专业知识,但这些知识迫切需要被充分利用起来。

评论区

共0条评论
  • 这篇文章还没有收到评论,赶紧来抢沙发吧~

其他推荐

返回顶部