法证咨询 聚焦 新型冠状病毒肺炎带来 的 网络安全思考、威胁和 应对 毕马威中国1 © 2020毕马威企业咨询( 中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国 际合作组织(“ 毕马威 国际”) 相关联的 独立成员所网 络中的成员。 版权所有，不 得转载。 在中国印刷。 新型冠状病毒肺炎 ( CO V I D - 19 ) 的全球流行正在影响和改变我们生活和工作 的方方面面 。 对疫情的忧虑提升了人们对信息安全的需求 ， 而有组织的犯罪 集团正在利用这种担忧和疑虑 ， 通过多种方法对个人和公司进行针对性攻击 。 在远程办公情况 下，公司的 业务是否 能够有效运 转 ？ 您 需要 确保 公司 的业 务支 持远程 和灵 活的 办公 方式 ， 并 且员 工对 能够 做到 这一 点充满 信心 。这可 能需 要您 重新 考虑 关于 访问 权限 、 授权机 制和 风险 态势 的相 关 决策。 需要考虑的问题包括： 您是否扩展了公司的 虚拟专用网络 、企业信息门户 以及网关的负载能力 ，以满足更多 的远程办公访 问 需求？ 在远程办公期间，相 关第三方（如 供应商和承包 商） 可能因为业务需要访 问公司网络。 您是否考虑到 这 些额外的访问量对公司网 络环境 的影响 ？ 您是否对公司的网络 和系统进行过 测试，以检验 它 们处理预期负载的能力？ 公司的网络和系统是 否会发生单点 故障？公司是 否 具备从故障中快速恢复的 能力？ 您是否需要放宽原先 的访问控制策 略，或者提供 额 外的远程访问账户和密码 ？ 公司是否有足够多的 技术支持人员 来处理用户因 为 无法登录或者不熟悉远程 办公所 提出的 问题？ 公司是否有足够的笔记本电脑满足员工远 程办公的 需要？是否可以通过更多的设备采购和系 统安装来 满足这些需求？笔记本电脑分配的优先级 应该如何 确定？ 在设备资源有限的情况下，您是否需要优 先考虑公 司运营的核心服务， 并为用户提供多种访问方案 （如 O ffic e 365, On eD ri v e 和内部应用）？ 您是否 考虑采 用白 名单 的方式 ， 在 此期 间只允 许用 户访问 特定的 应用 ， 而 禁止他 们使 用其 他非必 需服 务？ 公司的 视频或 语音 会议 系统是 否有 容量 限制？您是 否具备扩展这些相关网络 基础设 施的能 力？ 您是否 需要考 虑使 用其 他基于 云技 术的 远程会 议和 办公解决方案？ 是否所 有员工 都有 参加 远程会 议所 需的 访问号 码或 者链接 ？ 他们 是否 随时 可以获 取相 关培 训材料 ？ 公 司是否 需要 开通 服务 热线，以应 对可 能发 生的 问题 ？ 随 着新 型冠 状病 毒肺 炎全 球流行 的规 模和 影响 日益 扩 大 ， 公 司需 要考 虑采 取有 效措施 来维 持业 务活 动。 为 了确保公 司能够 正常运 营，首席 信 息官 (C IO) 和首席信 息安全官 (C IS O) 在部署相 应措施 的过程 中将起 到至关 重要的作用。 首席信息官和安全官的思考 法证咨询聚焦2 © 2020毕马威企业咨询( 中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国 际合作组织(“ 毕马威 国际”) 相关联的 独立成员所网 络中的成员。 版权所有，不 得转载。 在中国印刷。 首席信息官和安全官 的思考 公司是否依赖 特定 的 信息 技术 人 员 ？ 遗 憾的是 ， 员工可 能会感 染病毒，无法出 差， 或 者因为 疫 情不得 不在家照 顾家人 。 针对可 能出现 的大规 模人员 缺席情况， 公 司需要制 订相应的 计划。 如果核 心信 息技 术人 员（ 包 括承 包商 ） 无 法出 差或 者感染 病毒 ，这会 产生 什么 影响 ？ 公 司是 否依 赖这 一小部分关 键员 工 ？ 您如何 减轻 对这些 关键 人员 的依 赖？ 例如 ， 确保 公司有 一套 紧急方 案，在特 定情 况下允 许其 他管 理员暂时访问核心系统。 信息安 全团 队在面 临相 同情 况时 该如何 应对 ？ 哪 些是 关键 人员 ？ 如果 无法 联系 到首 席信 息安全 官 ， 谁会对 安全 态势以 及公 司可 以接 受的风 险做 出相 关决策？ 在新冠 肺炎 疫情 期间，您 是否 需要 调整 公司 的安 全运营方式 ，包括监控 安全事件 的策略？ 如果出现信息 技术 故 障会 发生 什 么 ？ 铺天盖地 的疫 情新闻 引发了 人们 的持续 关注。与 此同 时 ， 面对 不断 变化的 系统和 网络 需求，以及可 能发 生 的机会主 义网 络攻击 ， 您仍 然需 要注意 信息技 术故 障 的发生。 您是否能够远程处理相关故障？ 您是否拥有必要的 远程会议设备，以及访问故障管 理系统和相关指南 的权限？ 公司是否设置了一个网络指挥中 心，来应对无法现 场处理故障 的情 况 ？ 您是否依赖部分重要员工进行网 络安全应急响应？ 如果是这样，可以采取哪些措施 来减轻对这些员工 的依赖？ 如果无 法联系到主要的应急响 应/恢复负 责人， 公 司 的 应 急 响应 和危机管 理流程会 进行怎样 的调整？ 您是否确信公司拥有最新的系统 数据备份？并且即 使在最坏的情况下，也可以 恢复重要的系 统和数据？ 当大部分员工在家办公时，您会 如何处理在公司网 络中大范围 传播 的 勒 索病 毒 ？ 如果出现网络 攻击 会 发生 什么 ？ 犯 罪集团 会利用新 冠肺炎 带来的影 响， 建 立虚假 网站并 进 行有高 度针对性 的鱼叉 式网络钓 鱼攻击 ， 从而 进一步 增加了网络 安全 风 险 。 您是否 与员工进行过充 分的沟通， 告知 他们如何 获取有关疫情的 权威信息， 以及公司的应对措施？ 犯罪分子会利用 新冠肺炎疫情展开网络钓鱼攻击， 您 是 否 提 醒过 员工相关 风险在日 益增长？ 如果公 司有备用系统或 解决方案（ 包括 购买的云 服务） ， 谁能够协助您 处理涉及这些系 统的网络 攻击？ 如果技术 支持人 员不得 不在家 办公，公司是 否能 够 支持相关业 务的 远 程 运行 ？ 公司是否 准备了 简要的 指南分 发给员 工， 帮助 他们 应对可能出 现的 问 题 ，例如： o 如何登录？ o 如何修改密 码？ o 如何访问关 键服 务 ？ o 如何联系技 术支 持 获 取帮 助 ？ o 如果遇到紧 急情 况 ， 应 该联系谁 ？3 © 2020毕马威企业咨询( 中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国 际合作组织(“ 毕马威 国际”) 相关联的 独立成员所网 络中的成员。 版权所有，不 得转载。 在中国印刷。 疫情带来的威胁 法证咨询聚焦 自二 月中旬以来， 毕马威就已经注意到网络犯罪分子 正在 厉兵秣马， 筹 划利用疫情的影响展开鱼叉式网络 钓鱼攻击 ， 诱导用户访问虚假网站 ， 骗取他们的 O ffic e 365 密码。 以下是一些典型的案例： 通过利用已知的微软漏洞运行恶意代码，犯罪分子 以新冠肺炎为主题，发送包含恶意文档的网络钓鱼 邮件。 犯罪分子发送以新冠肺炎为主题的网络钓鱼邮件， 并添 加包含医疗健 康信息的 W o rd 文 档为附件， 通 过利用该文档开启的宏功能， 欺骗用户触发 E m ot et 或Tr i c kb o t 等恶 意软件 的下载 。 犯罪分子发送多封钓鱼邮件，欺骗用户访问虚假的 美国疾病 控制与 预防中 心 ( CD C) 网站， 并收集 他们 的密码。 犯罪分子伪装成客户服务顾问，声称可以为用户提 供更新来应对由于疫情引起的服务中断，以此欺骗 用户下载恶意软件。 犯罪分子伪装成各类政府医疗机构或者世界卫生组 织 (W H O) ， 发送所谓指导疫情防控的钓鱼邮件， 而这些邮件往往包含恶意 程序。 很多网络 犯罪 集团已 经调 整了策 略，围绕新 冠肺 炎疫 情 ， 发布 所谓 的健康 信息 更新、虚假 治愈方 案、财政 激励措施 、 紧 急救助 计划 ， 以及 供给 短缺应 对方 案， 借此对用户发起攻击。 网络钓鱼邮件的可疑特征 主要包 括： 多处语法、标点和拼写的 错误 邮件设计和内容质量都不 尽人意 邮 件没 有直呼 姓名 ， 而是 使用 “ 亲爱 的同 事” ， “亲爱的朋友”或者“尊敬 的 客户 ”这样 的 称谓 邮件暗含威胁或者给人一 种十分 紧迫的 错觉 直接询问并收集个人以及 财务信 息 当然， 如果 一封邮件 看上去 十分完美 ， 那它也 可能是 钓鱼邮件。 在 疫情 期间 ， 犯罪 分子 发送关 于退税 的钓 鱼邮件 ， 欺骗用 户在 不知 情的 情 况下 访问 虚假 网站 ， 以收 集他们的财务和税务信息 。4 © 2020毕马威企业咨询( 中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国 际合作组织(“ 毕马威 国际”) 相关联的 独立成员所网 络中的成员。 版权所有，不 得转载。 在中国印刷。 应对方法和策略 法证咨询聚焦 当公 司开始远程办 公时， 您可以采取一些措施减轻疫 情给公司和员工带来的风 险： 提高员工的安全意识，提 醒他们犯罪分子 会利用新 冠肺炎展开网络钓鱼攻击 ，而且相关的风 险正在不 断增加。 与团队分享保护安全的权 威信息来源，并 且定期传 达公司应对疫情的措施。 对于 所有远程访 问账户，特别 是O ff i ce 365账户 ， 确保员工设置安全的密码 ，并且最好采用 双重认证 的方式核验身份。 发布简明的指南，帮助 员工使用远程办 公解决方案， 并指导他们如何确保安全 ，以及如何识别 网络钓鱼 攻击 。 确保所有笔记本电脑都装 有最新的杀毒软 件和防火 墙。 开通求助热线或提供在线 技术支持，使员 工可以快 速寻求帮助，或者上报任 何安全隐患（例 如可疑的 网络钓鱼攻击）。 由于设备存在失窃的风险 ，公司需要对远 程办公使 用的笔记本电脑进行数据 加密。 为减轻恶意软件攻击的风险，禁止 US B 设备的使用， 并为员工提供备用的数 据传输方案或协 作办公工具 。 确保公司所有IT 资产（包括远程办公 使用的笔记 本电 脑 ） 都已 安装 重要补 丁，并更新 防火 墙和杀 毒软 件。 您需要意 识到 ， 在 疫情 期间 ， 网 络犯 罪集团 会利 用信 息系统维护的漏洞发起攻 击。 公司需要 确保 对所有 关键 系统进 行备 份， 并对 备份 的 完整性进 行校 验。 理想 情况 下 ，需要 定期安 排备 份的 离线存储 。 同 时由于 犯罪 分子会 利用 疫情进 行网 络钓 鱼攻击 ， 公司 还需 要警 惕勒 索病毒 的风 险在 不断增 加 。 最后，您还需 要与 应急 响应 和危机 管理 部门 通力合 作， 确保公司 拥有 备用语 音和 视频会 议系 统。 当公 司遇 到 勒索病毒 攻击 导致系 统服 务中断 ， 这 些备用 系统 将起 到关键的 作用 。 此外 ， 当 主要的 会议 系统出 现过 载或 者无法使用的情况，备用 方案也 会提供 额外的 支持。 此外 在疫情期间， 公司还需要加强财务流程的控制。 针对 大额付款请求 ， 财务部门应采取进一步措施， 最 好通 过电话或者短 信对邮件请求进行核验， 帮助公司 规避商务电子邮件入侵和 冒充CE O 身份欺 诈的风 险。99 联系我们 浦军华 法证咨询主管合伙 人 毕马威中国 Tel: +86 (21) 2212 3780 Email: paul.pukpmg 朱锴 法证咨询总监 毕马威中国 Tel: +86 (10) 8553 3650 Email: clark.zhukpmg 金毅 法证咨询合伙人 毕马威中国 Tel: +86 (21) 2212 3266 Email: kevin.y.jinkpmg 刘达恺 法证咨询与网络应 急合 伙人 毕马威中国 Tel: +86 (21) 2212 3371 Email: dakai.liukpmg Ravindranath Patil 网络应急总监 毕马威中国 Tel: +852 2826 7295 Email: ravindranath.patilkpmg 张林 法证咨询总监 毕马威中国 Tel: +86 (21) 2212 3153 Email: carter.zhangkpmg 所载资料仅 供一般 参考用 ，并非针 对任何 个人或团 体的个 别情况而 提供。 虽然 本所已致力 提供准 确和及 时的资料 ，但本 所不能保 证这些资 料在阁 下收取时 或 日后 仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意 见下依据所载 资料行事。 © 20 20毕马威企 业咨询 ( 中国) 有 限公司 中国 外商独资企业 ，是与瑞士实 体 毕马威国际 合作组织(“ 毕 马威国际”) 相关联的 独立成员所网 络中的成员。 版权 所有，不得转载。在中国印刷。 毕马威的名称和标识均属于毕马威国际的商标或注册商标。 kpmg/cn/socialmedia 有关毕马威中国办 事处 的名 单， 请扫 描二 维码 或访 问我 们的 网站 : home.kpmg/cn/en/home/about/offices.html.