本文来自ISACA。
数字信任和数字信任生态系统有很多内容,但网络安全仍然是核心组成部分之一。一个组织的网络安全声誉有多好?它是否有任何已知的违规行为?这些违规行为是否极其严重,或者造成了业务影响(和产品损失)或造成了客户数据丢失?一个组织的数字可信度受到许多非网络安全因素的影响。组织应该关注他们的品牌和整体声誉。他们必须改善关系,包括与第三方和客户的关系。他们必须确保他们的执行和交付能力符合预期。然而,现实情况是,在网络安全方面表现不佳可能会影响所有这些事情。
网络安全对产业链上下游仍很重要
今年年初,信息安全领域的大新闻是GoDaddy持续多年的安全漏洞事件。GoDaddy披露的内容令人震惊:它不知道攻击者是谁;客户和员工的证书被盗,攻击者能够安装恶意软件,导致合法网站被重定向至恶意网站(又称“水坑攻击”)。在写这篇文章的时候,此次事件对GoDaddy及其现有客户的影响程度还未知。会有多少客户将离开?目前GoDaddy的客户体量约为2100万,2022年的收入约为40亿美元。
关于什么被攻破和如何被攻破的细节,以及被攻破的时间,都令人震惊。虽然GoDaddy可能有强大的网络安全资产,但这显然是不够的。此次事件不仅损害了GoDaddy的声誉,而且还可能损害依赖GoDaddy托管的客户的声誉,例如通过GoDaddy WordPress托管解决方案的客户。毕竟,如果客户进入一个组织托管在GoDaddy上的网站,并被重定向到一个恶意网站并受到感染,看起来仍然是该组织的网站造成了损害。它的客户不可能将问题一直追溯到GoDaddy身上。即使他们有足够的技术知识来这样做,他们也可能没有时间,或者他们可能并不关心它是如何发生的。
当LAPSUS$(某黑客组织)声称在2022年入侵Okta时,许多信息安全领域的人都注意到了。更重要的是,现有和潜在的客户也注意到了。事情的真相是,Okta本身没有被直接入侵。相反,一个外包呼叫中心供应商才是目标,这使得LAPSUS$可以接触到Okta客户。这个事件对Okta客户的总体影响很小,只有2.5%的客户受到影响。然而,黑客攻击的消息在行业媒体上持续了数周,很可能导致一些潜在客户被劝退使用Okta,一些现有客户选择迁移到其他供应商。到头来,即使Okta不是直接目标,这也并不重要。这是一个很好的例子,说明潜在和现有客户由于第三方的问题而对一个组织失去信任。
一个的组织的网络安全实力是很重要的。GoDaddy必然会遭受声誉上的打击,这将导致品牌信誉度降低,几乎肯定会导致客户流失。然而,面对GoDaddy遭遇的漏洞,GoDaddy自己的一些客户可能也会失去客户。Okta也很可能因为第三方呼叫中心的违规事件而失去了客户,原因是客户对其品牌的信任的降低。
云的使用及其对数字信任的影响(或缺乏影响)
这是一个值得点击的小标题,但要注意的是,如果一个组织正在使用基于云的资源,并且出现安全问题,那么与本地部署资源相比,它是基于云这一事实造成的影响似乎差别不大。
再次,值得关注的是Okta。它被曝光在2022年12月又遭遇了另一次入侵。在该事件中,托管在GitHub上的Okta代码库被攻破,Okta的一条产品线的源代码被复制了。关于入侵者是如何访问这些存储库的,目前还没有公开的细节。即使有,事实仍然是,所有的审查和责任又一次落在了Okta身上。
关于该事件的报道中没有提到Github基于云的事实,只是作为对那些了解Github的人的一个知识点。因此,Okta使用基于云的代码库似乎不是影响Okta品牌的一个因素。如今,使用基于云的资源是一种预期的做法,而且在大多数情况下,人们对其的处理与对本地资源的处理没有任何区别。实际上,Okta的服务是建立在亚马逊网络服务(AWS)提供的功能之上的,这意味着它们完全是基于云的。回到GitHub,如果GitHub的实施有缺陷,Okta的客户可能也不会关心,原因与GoDaddy的客户不关心一样。
需要明确的是,Okta不是第一个遭受云端资源入侵的组织,当然也不会是最后一个。该组织是一个有趣的案例,因为它的漏洞是最近发生的,尤其是LAPSUS$黑客事件,它的弱点可能是业界没有认真考虑过的,直到它发生在Okta身上。在使用云时,重要的是要记住有一个共享的安全模型,这意味着安全不仅仅是提供商单方面的责任。例如,人们会期望提供商处理物理安全,但提供商无法阻止客户实施糟糕的身份和访问管理(IAM)模式,这可能会导致漏洞。客户侧无疑是共享安全模型中的一个弱点。也许是由于云计算对太多的IT专业人士来说仍然是一个模糊的概念,但许多转移到云计算的组织都在试图尽力地保护资源。例如,2020年的一项研究发现,大量的AWS S3存储桶的安全防护不当。自这项研究以来,媒体持续对更多组织(包括私营部门和政府)进行定期报道。
这就引出了一个问题:云重要吗?不,它不重要。简而言之,客户和潜在合作伙伴并不关心资源的位置。他们关心的是,自己已经被入侵了。这不再是关于云或本地的问题了,它是关于一个组织的网络安全/信息安全态势是否足以覆盖其资源。
一些组织有(部分)豁免权吗?
有些组织确实对导致失去信任的事件至少享有部分豁免权。通常情况下,这些组织处于利基市场,或处于这样的位置,以至于他们的客户和合作伙伴除了与他们打交道外没有其他选择。例如,在一篇反映Colonial Pipeline勒索软件攻击的文章中,唯一引用的美元数字是支付的原始金额和追回的金额。没有关于客户损失或声誉损失的讨论。毕竟,Colonial Pipeline并没有像GoDaddy或Okta那样的竞争对手。即使失去了信任,一些组织也不会看到对其底线的影响。
然而,大多数组织都会看到数字信任越来越重要。如果我不能信任一个组织,我就不会和它做生意,除非我别无选择。作为一名合伙人,我不希望导致组织声誉不佳的因素影响我的声誉。作为一名客户,如果我可以在两个供应商之间做出选择,除非有什么令人信服的事情使我能够给不太信任的组织一个机会,否则我会选择更受信任的组织。其中一个令人信服的因素可能是巨大的成本差异。但这意味着受到质疑的组织从与我的任何交易中赚取的利润更少。因此,提高其可信度对该组织的底线很重要。
网络安全不容忽视
Colonial Pipeline可能没有失去客户,但由于其网络安全态势,仅在赎金支付方面就损失了数百万美元。所以,显然它只有部分豁免权。即使是一个不依赖数字信任的组织,也需要确保其网络安全是达到标准的。
对于大多数组织来说,网络安全态势对整体数字信任至关重要,并影响到合作伙伴和客户(以及潜在的合作伙伴和客户)对组织的看法。GoDaddy可能因为宣布漏洞而失去客户的例子,以及Okta可能将失去一些客户的预期,都是基于这种反复发生的结果。
不同组织的多项研究显示了相同的结论:数据泄露会导致信任的丧失,从而导致业务的损失。例如,普华永道(PwC)的一份报告发现,85%的消费者如果担心某个组织的(网络)安全实践,就不会与该组织进行交易。很显然,网络安全不容忽视。虽然数字信任生态系统的其他方面也很重要,但它们都可能在一夜之间被一次数据泄露事件所破坏。网络安全并不是数字信任的全部,但它是一个不应该被忽视或低估的关键组成部分。