與網路安全威脅相逢:CIO要冷靜頭腦勝
你將讀到關於網路安全威脅的故事是真實的;考慮到尊重當事人的隱私,只有人名和地點做了改動。當這件事發生時,我30年職業生涯的輝煌部分都在處理大規模、複雜的全球運營和技術,並且認為我已經看到聽到太多,即便不是全部。
我當時在BigWorldBank擔任全球消費者集團的CIO已經兩週了。負責運營、技術健壯,以支援分佈在54個國家的約20萬員工和1.5億客戶。行政上我負責大概25億的年度預算。在最初的兩週裡,我竟然時而會感覺幾乎一切盡在我掌握。
不知是誰說過在一個新的執行角色裡,你有100天的時間來找到你的腿並建立你自己。他顯然不是一名CIO。
電話
在我上任第二週週五下午晚些時候,電話突然響起。Sonali Kumar是Kafiristan旗艦店的經理,他打來電話詢問一個問題。我瞟了一眼手錶,注意到是紐約時間下午5:45,意味著他那裡是週六早上4:45。我有種不祥的預感——我的第一個100天就在此刻終結了。
“一個顧客打電話來告知他發現了我們線上銀行系統的一個安全漏洞。”Kumar說到。“他把自己用的技術錄製成了視訊,願意把視訊移交給我們,希望能因為他的付出獲得一筆諮詢費用。我們該怎麼辦?”
我當時就感到心臟急速跳動,喉嚨發乾。這是一個網路安全威脅。我忙問他是否見過該顧客或看過那個視訊。他表明還沒有。意外收穫的是,我抬起頭,正看到Fred Simon(中東業務區域的業務領導)路過我門口。我讓Sonali別掛電話,叫住Fred,並迅速解釋了下情況。他建議我命令Sonali在當地報警,並告知警察我們分行的安全性被破壞,然後轉身離開我的辦公室,正如他出現時一樣快。
我琢磨了會Sonali的建議,思考了另外兩個注意事項:首先,把顧客關進監獄不像是銀行提供的優質服務,尤其在Kafiristan這個司法系統還常用鞭刑的地方。其次,如果我們把這人抓起來,我們可能永遠也無法找到他在我們線上系統裡發現的安全漏洞。我回到電話旁,指揮Sonali邀請該顧客會面,並通過友好的交談弄清他到底發現了什麼。另外,我還闡明諮詢費(任何一種付款方式)不在討論範圍內。我們同意等Sonali與顧客談完再溝通。
擴大
每一個程式,任何網路安全威脅都需要升級,於是我接著打電話給我的老闆,公司CEO。我簡明扼要地向她闡述了這個情況,然後我們達成一致——我會整個週末都跟進Kafiristan的團隊,協調網路安全和風險管理團隊,在週一早上向她報告最新進展。最後我祝她週末愉快。
然後,我協調開了一個會議,參會人員有我的CISO,全球風險管理領導和BigWorldBanking線上技術負責人。我簡要告訴他們我對網路安全威脅知識的侷限性,我們討論了當前已知的線上銀行問題(通常總會有一些)以確認是否有可能我們正在處理的是已知的漏洞。基於已知的事實,我們一致認為,目前沒有足夠的資訊來得出任何結論。
15小時以後
我的電話在週六凌晨3點響起,對應Kafiristan的下午2點鐘。是Sonali來彙報最新的進展。距離網路安全事故發生,已過去15小時。
Sonali先為吵醒我感到抱歉,然後告訴我他已經跟那位顧客溝通過,顧客同意進行私人會面,並當場揭示他發現的漏洞。沒有進一步提到諮詢費用。
我謝謝Sonali提供了最新進展,並要他在私人會面結果出來後給我打電話。我感到有點被激勵了,似乎情況正朝好的方向發展。我能得再睡一會了。
視訊
週六晚上10點(Kafiristan週日早上9點),Sonali打電話來告知我,他已經跟那位顧客會面了,也看了視訊,並且從顧客那得到了一份拷貝。謝天謝地,仍然沒有談論到諮詢費或者其他形式的酬勞。我表揚Sonali在處理這種情況時所表現出來的專業技巧,並讓他給我發一份拷貝。半小時後,我正抱著極大的興趣觀看該視訊。我看到的是一個相當典型的BigWorldBanking線上對話,一切都看起來很正常。
接著,我看到顧客完成交易後,沒有退出登入,而是簡單地通過點選右上角的“X”關閉線上銀行視窗(不是瀏覽器)。然後他開啟瀏覽器歷史視窗,找到剛才他瀏覽的線上銀行會話的網址,當他點選該網頁地址時,“好像施了魔法”,瀏覽器重新開啟了他剛剛離開的頁面。
這就是那個顧客起初要求諮詢費的所謂漏洞嗎?為確保萬無一失,我打電話給Sonali以回顧和確認我對正在觀看的視訊的理解。我的理解是對的。那名顧客發現的並不是漏洞,而是瀏覽器的工作機制:關閉一個視窗,然後它消失,開啟同一個的視窗,然後它出現了。
我給CISO,全球風險管理領導和BigWorldBanking線上技術負責人發了一份視訊拷貝,以徵詢他們的檢查和評估。網路安全威脅驚嚇、結束。
結果
週日早上跟我團隊的跟進電話中,我們再次確認沒有發生任何安全漏洞,因為沒有個人身份認證資訊顯示出來。如果客戶沒有重新輸入他的密碼,就不會執行任何金融交易。如果視窗被關閉超過30秒,顧客的線上對話會自動超時。我謝謝我的團隊,並結束了通話。我決定放鬆並享受夏季美麗的一天的剩餘時光。
第二天早上,按原定計劃,我面見老闆,給她陳述了情況。我們都放下心來,尤其是我,沒有因為這個事情就把顧客關進監獄。相反,我們決定送他一個46英寸的平板電視作為禮物,以獎勵他的高度配合,以及他想幫助我們改進產品和服務的主動性。
處理這種潛在網路威脅事故讓我吸取了幾個經驗教訓:當你需要作出重大決定時,尤其涉及到客戶和監獄時,一定要了解真實情況後再作出重大行動;當你覺得你已經見識過所有東西時,請三思。
本文轉自d1net(轉載)
相關文章
- 網路安全威脅國家安全
- 什麼是網路安全威脅?常見威脅有哪些?
- 如何有效區分網路安全威脅?
- 網路安全威脅的新變化
- 常見的網路安全威脅詳解!
- 網路安全“零日威脅”近在咫尺
- 網路安全(一):常見的網路威脅及防範
- 3·15再爆“網路威脅”,4·29力保“網路安全”
- 工信部:非法“挖礦”嚴重威脅網際網路網路安全
- 網路安全中*具威脅的攻擊方式!
- 2020年新威脅,無人機可能成為主要的網路安全威脅無人機
- 應對網路威脅NGFW看得懂的安全更安全
- 【網路安全分享】移動網際網路所面臨的安全威脅有哪些?
- 2019年網路安全威脅統計
- 盤點常見的7種網路安全威脅
- MIS607網路安全評估威脅模型模型
- 網路安全需求分析,傳統威脅有增無減新型威脅層出不窮
- 《工業控制網路安全技術與實踐》一第3章工業控制網路安全威脅
- 《工業控制網路安全技術與實踐》一一第3章工業控制網路安全威脅
- 安全要素與 STRIDE 威脅IDE
- 物聯網使我們面臨更多網路安全威脅?
- 網信辦副主任:網路安全的威脅越發突出
- Websense網際網路威脅報告:Web威脅更具混合性Web
- 網站容易受到哪些安全威脅網站
- 駭客組織Anonymous威脅要幹掉整個網際網路
- 網路安全戰威脅愈緊,駐軍AI國家隊的360安全大腦改變了什麼?AI
- 活動 | 歡迎加入網路安全威脅資訊共享計劃
- 研究顯示,網路安全威脅在不斷演變
- Secureworks 威脅評分迎來網路安全 AI 新時代AI
- 保險巨頭的野心:平安進軍網際網路會威脅BAT嗎?BAT
- 郵件安全威脅
- 谷歌發安全警告:社交網路威脅使用者隱私谷歌
- 使用基於 AI 的網路安全更快地檢測威脅AI
- 常見網路安全威脅及攻擊型別介紹!型別
- 僅42%的網路安全專業人士用共享威脅情報
- 應對網路安全威脅我們又該做些什麼?
- 為什麼我們要關注醫療衛生服務面臨的網路安全威脅
- 2016三大網路安全威脅:手機超PC成頭號攻擊目標