塞思·伯曼(Seth Berman) 塞斯·伯曼(Seth Berman)*

在英国,律师监管局’(SRA)最新的《风险展望》更新首次将网络犯罪确定为对律师事务所的威胁。将此类风险描述为“significant”之前,有报道称SRA伪造了网络钓鱼电子邮件,这些电子邮件可能被用于非法访问计算机系统。同时,监管机构发布了 网络蜘蛛:网络犯罪对合法业务的风险,其中列出了有关公司的具体指导’负责保护其计算机系统并采取适当措施解决其所描述的问题“an emerging risk”.

The shape of cybercrime is changing. Viruses are being created and mutating too rapidly for virus detection software to keep up. Today, malware is 重大ly more difficult to identify and remove than the viruses and spyware of only a few years ago. Such Advanced Persistent Threats (APTs) present a particular challenge and are a very real and present danger for law firms.

现实情况是,许多律师事务所比其客户更容易成为黑客的目标

APT攻击通常是针对组织的特定目的而进行的,如果攻击者无法直接访问特定目标(有时甚至可以),则通常可以通过渗透目标的外部顾问和律师来获取专有秘密。可悲的现实是,与律师事务所的客户本身相比,许多律师事务所更容易成为黑客的目标。

黑客不仅善于发现和利用技术漏洞,还利用人类的弱点。通过对公司中一些特定人员的研究,攻击通常是通过使用复杂的鱼叉式网络钓鱼电子邮件来发起的。一旦黑客找到了自己的标记,网络钓鱼攻击便允许一个初始进入点,通过该点,黑客可以部署更复杂的恶意软件。律师事务所特别容易受到鱼叉式网络钓鱼的攻击,因为有关律师的信息可用于制作似是而非的电子邮件。

面对APT的兴起,律师事务所该怎么办?公司必须首先进行全面的安全评估。这必须确定公司’关键资产,发现其物理和计算机安全性方面的潜在弱点,并制定减少这些漏洞的计划。与安全检查表相比,此评估要包含的内容要广泛得多。遵守特定的安全标准可能是一个有用的起点,但是这种方法造成了一个真正的危险,那就是公司将成为安全标准检查表综合症的受害者,因为标准的要求没有考虑到其特定的设置。安全评估将确保安全工作的重点放在正确的位置,从而保护公司最有价值的资产。

公司还需要认识到,网络安全问题并不是仅IT部门就能解决的问题。良好的安全性不仅需要足够强大且有针对性的IT预算,还需要知道威胁及其在预防威胁中的作用的用户。仅当用户单击恶意电子邮件中发送的链接时,网络钓鱼攻击才能成功,并且只有当用户意识到此类行为可能造成的损害时,网络钓鱼攻击才能被迅速纠正。尽管我们所有人都希望,但仅靠IT不能阻止此类攻击。

需要进行文化变革,使用户了解他们对安全负责与IT部门本身一样重要。 IT部门和用户之间需要进行更好的对话-首先要教育用户不仅是IT策略的细节,还包括其背后的目的。只有用户理解为什么存在某些限制,他们才会避免绕过这些限制并创建新的攻击媒介。用户还需要清楚地了解他们应该立即报告任何问题,并且不要冒险陷入麻烦。

律师事务所还必须认识到,攻击不仅是可能的,而且是肯定的。公司必须假设,他们将在某个时候遭受APT攻击并做出相应的计划。这需要高级计划。现在还想不出攻击发生后如何应对。响应漏洞所需的时间越长,黑客对系统的访问时间就越长。对于APT来说,这是一个特别的问题,APT通常在发现数据之前就悄悄地渗入了几个月。公司需要在攻击发生之前制定响应计划,以识别负责采取行动的人员,将做出响应的外部供应商以及发生攻击后需要做出的决策过程。

经验表明,律师事务所仍然是黑客攻击的主要目标。对于有意为财务,技术或政治利益渗透计算机系统的网络罪犯,企业有责任管理此类风险。但是,没有任何一种安全解决方案可以提供针对快速发展的APT的免疫力。作为回应,公司必须采取步骤来了解此类威胁的性质,并建立有效的安全框架,以承受客户,监管机构和合作伙伴的严格审查。

*塞斯·伯曼 是调查,情报和风险管理公司Stroz Friedberg的执行董事总经理。 www.strozfriedberg.com