干货整理：2023 年网络安全待办事项

【编者按】2月15日，国内网络信息安全领域领先企业安恒信息在其微信公众号发文称，近期境外一款即时通讯应用Telegram各大频道突然大面积转发某隐私查询机器人链接。疑似有电商或快递物流行业泄露了国内45亿条个人信息。

当日，此消息引发圆通速递、顺丰控股、永泰运、韵达股份、申通快递等股票普跌。其中以圆通速递跌幅最大，2月15、16日两个交易日跌去9.4%（见下图）。

《互联网法律评论》观察到，近年来数据泄露事件频出，每一次数据泄露背后，都是一次、甚至多次不可估算的损失。由此，我们今天刊发美国领先律所Polsinelli律所律师的一篇文章，为相关企业的信息安全保护提供参考。

网络安全威胁形势不断演变，并对电子存储信息保护提出新挑战。 黑客们不断进行战术创新，继续以常见的系统漏洞为目标，以获取对目标组织的计算机网络、系统、服务器、电子邮件帐户等初始的未授权访问。这意味着，通过实施已知的安全控制和消除常见漏洞的方法，通常可以阻止未经授权的访问，所以黑客才会转移到更容易的目标。

本文概述了黑客经常利用并获取对储存信息未授权访问的安全漏洞，以及建议组织实施的隐私和安全控制措施，以减轻潜在网络安全事件和/或数据泄露的风险和严重性。

商业电子邮件泄露（以下简称BEC）是最常见的、具有经济破坏性的网络安全事件类别。据《2021年互联网犯罪报告》报道，2021年美国联邦调查局（FBI） 收到约2万起BEC投诉，损失接近24亿美元，预计FBI 2022年年度报告中反映的数字将大幅增加。

黑客通常依赖于两种方法完成BEC：网络钓鱼电子邮件或凭证泄露。在钓鱼电子邮件情景中，黑客从一个“行骗用的”电子邮件帐户发送电子邮件——即使用与合法电子邮件地址略有不同的电子邮件地址或通过不同的域——诱使收件人认为该电子邮件地址是合法的；在凭据泄露场景中，黑客利用恶意软件获得对组织系统和电子邮件帐户的未经授权的访问，从而允许黑客插入和/或拦截合法的电子邮件线程。

网络钓鱼电子邮件或凭证泄露使黑客能够实施各种欺诈和非法行为。欺骗电子邮件的内容可能诱使电子邮件收件人点击恶意链接或打开恶意文件。根据黑客的复杂程度，恶意链接或文件可能允许黑客通过以下一种或多种方法未经授权访问电子邮件帐户：将电子邮件收件人重定向到虚假的登录页面，提示电子邮件收件人输入有效的登录凭据，随后唆使窃取电子邮件收件人收件箱的内容，和/或启动恶意软件安装，以便黑客随后未经授权的访问、窃取等。

一旦进入帐户，黑客可能试图使用合法的电子邮件地址获得其他帐户的额外访问权限，向电子邮件联系人传播额外的恶意软件，或尝试社交引擎攻击以方便金钱交易。

虽然BEC占了大多数网络攻击，但它们是最容易预防的攻击之一。例如，通过实施以下推荐的技术和操作协议：

首先，多因素身份验证（以下简称MFA），系统要求用户提供两个或多个凭据的组合来验证用户登录时的身份。这种方法易于实现，以最低限度地干扰，并且负担得起。在网络保险政策下，MFA通常也是覆盖范围的要求。

其次，在常规基础上强制重置所有用户帐户的密码，对于降低因获取受损凭据而引起的攻击风险是非常宝贵的。

第三，执行数据保留、存储和电子传输的政策。

第四，应大力组织网络安全意识培训，重点是网络钓鱼培训（以发现可疑链接和域名/电子邮件地址不准确）。

多种保护措施的组合可以阻止黑客寻求对组织的系统和数据进行未经授权的访问。

勒索软件是指未经授权的数据加密，并向黑客支付费用即可使用解密工具。加密是数据安全的合法工具，它使用一种算法将纯文本转换为密文，这种算法通常有一个已知的解决方案。密文只能通过使用解决方案（通常称为解密密钥）转换回纯文本。如果使用得当，加密是保护静止和传输中的数据机密性的极好方法。然而勒索软件却为这种有效的安全工具提供了负面案例。

绝大多数勒索软件攻击始于以下三种攻击手段：未经授权或未知地使用远程桌面协议（RDP）、网络钓鱼攻击以及环境中预先存在的合法软件的漏洞或错误配置。

一旦进入环境，黑客通常会尝试横向移动到似乎具有关键任务、包含高价值数据的系统，特别是将目标对准网络内备份。一旦他们的初步侦察工作完成，黑客将在每台受感染的机器上部署勒索软件，并投放赎金通知（通常是一个txt文件），其中将包含一个到TOR（洋葱路由器的简称）/暗网的链接，并要求目标联系黑客。

深网的深处被称为“暗网”（Dark Web）。暗网是由美国军方发起的一个科研项目，并于2003年开始实施，就是著名的TOR（洋葱路由器的简称）项目。

其研发的主要目的就是为互联网用户提供隐藏自身身份的服务，正是由于这一特性，造成了暗网具有两面性，一方面可以用于正常的保护互联网用户的隐私，另一方面也可以被不法分子用户隐匿犯罪痕迹或者从事其他恶意行为。

如果准备充分，组织可以在入侵阶段挫败勒索软件攻击。除了上面描述的反钓鱼措施之外，通过删除对RDP的访问(通常是通过关闭端口3389对外部通信)，可以避免大量的勒索软件事件。相关的，远程访问工具，如TeamViewer， AnyDesk和SupRemo应被阻止，除非绝对必要。相应的，软件补丁应该是常规的，以避免过时的版本被利用。虽然打补丁不一定能防御零日攻击(软件开发人员在野外利用后才知道漏洞的攻击)，但常规打补丁可以减少此类漏洞的暴露。

网络风险的另一个重要领域来自组织外部。虽然大多数网络安全和数据隐私专业人士通常都熟悉第三方风险的普遍性，但我们仍然看到大量由于第三方泄露而导致的事件。

首先，重要的是要注意，组织不会因为第三方处理或托管其数据而免除自身的隐私和安全义务。在大多数情况下，也就是默认情况下，数据所有者在发生网络安全事件或数据泄露时负有对个人进行适当的响应、调查和通知的责任。因此，数据所有者有责任确保充分的隐私和安全控制措施到位，否则就会受到数据泄露的损害。

因此，大型企业越来越多地要求其供应商和业务合作伙伴在一定程度符合网络安全最低要求，购买足够的网络保险，并在发生网络安全事件时迅速通知数据所有者。相比之下，一些小型组织继续依赖外部业务伙伴，并且经常成为网络安全事件的受害者。

上市公司面临的风险甚至更大。监管机构对上市公司附加了更沉重的隐私和安全义务，因为它们必须遵守行业最佳实践，并达到审慎标准，包括隐私和安全问题。

进入2023年，每个组织都应该审查其合同协议，以确认其潜在的风险，特别强调数据保留、赔偿和通知。此外，越来越多的法律和行业指南要求组织在其供应商合同中包含与敏感信息的网络安全保护相关的特定语言。组织应要求其数据处理者保持与其暴露程度相称的网络保险。2023年是重新审视组织的供应商尽职调查计划的好时机，以便在供应商获得组织的敏感数据之前充分和系统地审查供应商，以降低第三方事件的风险。

对于公开交易、在高度监管或基础设施部门运营或拥有或处理个人数据的组织，强烈建议组织制定和/或更新其事件响应、数据保留计划。为了准备遵守本国关于网络安全风险管理和网络安全事件报告的规则，上市公司必须有既定的事件响应计划，以识别潜在事件，遏制、补救和应对此类事件，并快速评估此类事件的重要性（单独和总体）。上市公司还应制定和实施网络安全风险评估计划，并与证监会和网络安全顾问合作，起草必要的披露内容。

以下清单虽然不全面，但对减轻网络安全事件或数据泄露的风险有很大帮助。

1. 为所有用户实施（并强制执行！）基于应用程序的多因素身份验证(MFA)。

2. 在Office 365、Office 365 Defender或类似的电子邮件应用程序中实现自动标记和删除可疑电子邮件和/或提供关于发件人验证的警报。

3. 实施网络安全意识培训，重点是网络钓鱼培训（发现可疑链接和域名/电子邮件地址不准确）。

4. 实施定期的道德网络钓鱼测试。

5. 建立并执行记录和数据保留和处理政策，包括电子邮件保留。

6. 确认证书满足一定的长度、年龄和复杂度要求。

7. 阻止所有非必要的远程桌面协议(RDP)访问。

8. 阻止所有不必要的远程访问工具。

9. 执行所有软件的例行补丁计划。

10. 立即审查所有供应商协议，以确认数据保护、数据保留、赔偿、通知和保险条款。

11. 更新事件响应计划，以遵守即将到来的简化报告义务。

12. 更新数据保留策略以遵循数据最小化原则。

13. 与员工和商业伙伴谈论并教育他们的网络安全实践

作者：Polsinelli律所律师。 Polsinelli律师事务所是美国综合性领先的律师事务所。2023年，在由《美国新闻与世界报道》(U.S. News & World Report)评选的“最佳律师事务所”中，Polsinelli律所在33个执业领域中榜上有名。此外，该所还被评为专利法“年度最佳律师事务所”。事务所的218名律师被评为2023年“美国最佳律师”。

译者:《互联网法律评论》

【免责声明】本文撰写所需的信息采集自合法公开的渠道，我们无法对信息的真实性、完整性和准确性提供任何形式的保证。

本文仅为分享、交流信息之目的，不构成对任何企业、组织和个人的决策依据。