脉冲

网络安全：未能做好准备……

与许多其他行业一样，游戏行业面临着法律顾问越来越大的压力，要求他们在日益复杂的监管和风险环境中提供指导。 GLI 公司 Bulletproof 的首席安全研发主管 Scott Melnick 分享了他在赌场应采取的 IT 措施以防止网络攻击以及如何处理发生网络攻击的后果方面的专业知识。

网络泄露现在不可避免吗？而为什么会出现这样的现状呢？

是的。身份盗窃资源中心 (ITRC) 报告称，从 78 年到 2022 年，身份盗窃事件增加了 2023%，而且没有停止的迹象。部分原因是疫情期间商业惯例的转变以及大型新市场的出现，例如在家工作、在线游戏、送货服务等。 

谁是试图突破赌场数字防御的实体？他们的动机是什么？

目前，大多数勒索软件即服务 (RaaS) 独立运行，并将其服务出售/代理给已经获得访问权限的攻击者，甚至组织内部的员工可以提供对 RaaS 访问权限的内部威胁。 

他们的动机主要是经济上的，但也可能与心怀不满的员工有关。 2020 年，一名 Telsa 员工收到 1 万美元的报酬，要求其植入勒索软件。 

不良行为者试图/并成功渗透赌场的方法是什么？

今天，我发现客户使用了几种方法遭到破坏。一是缺乏安全补丁和错误配置，导致攻击者可以通过 VPN/防火墙、本地服务器或员工系统访问赌场网络。 

然而，当前的趋势是社会工程，即网络钓鱼，攻击者通过电子邮件发送漏洞/链接，该漏洞/链接可以针对特定个人（鱼叉式网络钓鱼）或发送给组织内尽可能多的人。 

正如我们在米高梅违规事件中看到的那样，通过电话获取用户或服务台员工访问权限的社会工程技术也在不断增加。这更有效，因为组织可以在网络安全上花费数百万美元，但它可以被一名员工推翻。

此类违规行为会造成什么样的损害？

违规行为将造成多个层面的业务损失。赌场、酒店和在线游戏离线数周不仅可能导致数十万至数百万美元的勒索软件损失，还可能造成经济损失。根据数据泄露的类型以及客户数据是否可能被盗，这不仅会损害您的品牌和客户忠诚度，还会带来针对该财产的多年诉讼。 

为什么赌场的防御措施不足以抵御此类攻击？

防御和问题与任何其他大公司或政府机构没有什么不同。大多数公司和赌场都喜欢满足最低限度的要求，虽然这仍然是一个很好的标准，但涵盖的范围还不够。这是因为攻击形势的变化速度快于当地法规。企业希望率先进入市场，快速优化利润，但面临安全性和应用程序稳定性的风险。他们在赌博。 

另一个挑战是财务压力以及试图以最少的资源进行运营，这可能会降低网络安全的优先级，并导致以后出现更大的财务问题。 

赌场应采取哪些 IT 措施来防止此类攻击？

有很多事情需要提及，但赌场需要遵循多级安全方法。 

• 在这个时代，安全需要分层。您不能再仅仅依赖防火墙和外围安全。您需要添加更多安全功能，如多因素身份验证、端点保护、电子邮件保护、数据加密，并聘请第三方安全运营中心。

• 第三方频繁进行网络安全测试。 IT 部门应该始终不断地自行执行此操作，但由于存在偏见，第三方检查是必须的，也是标准的最佳实践。在某些情况下，这是必需的。此外，社会工程测试应该由同一家测试公司或内部安全团队来完成，以不断让员工保持警惕并衡量您的教育成功率。 

• 公司文化、培训和资金。如果 C 级和高层管理人员的文化较差，员工就很容易受到社会工程的影响。应该有明确的政策并得到领导层的批准，表明遵循的程序不会产生任何影响，员工应该放心地说不。这包括希望免受公司政策（例如多重身份验证、密码等）约束的 C 级人员。 

• 对所有员工进行网络钓鱼和语音钓鱼培训应该是一种常态。最后，为您的 IT 部门提供资金，让他们满意、获得奖励，并为他们提供轻松保护业务所需的培训和工具。在这个时代，安全需要分层。您不能仅依赖防火墙和外围安全。您需要添加更多安全功能，例如多因素身份验证、端点保护、电子邮件保护、数据加密和安全运营中心。

一旦不可避免的事情发生，最佳做法是什么——应该如何处理后果？

这是一个很好的问题。灾难规划和预算以及防御措施都至关重要。处理违规行为的方式可能会影响数千到数百万美元的成本。 

制定如何响应事件、分配角色并尽可能严格遵循的计划。不要恐慌。这只会让情况变得更糟。我的钱包里曾经有联系电话号码，以防因断电而无法通过手机访问它们。那是老式的。  

• 遏制突破口。根据赌场的运营方式，有不同的方法可以做到这一点，但一般来说，我总是建议断开网络并保持机器打开（如果可以的话）。这将有助于调查。但如果您不确定，您可以随时关闭所有功能，直到获得更多帮助。 

• 联系当局。根据违规类型，您应该在文档中提供一些组织的联系信息，以了解如何响应事件，例如您当地的 FBI 办公室。 

• 准备好一些网络安全公司随时打电话来提供帮助，以协助恢复并进一步监控其他威胁。

• 与您的法务人员、高管和利益相关者以及最终的客户进行公开、诚实的沟通。

• 定期在内部更新和审查您的流程，并聘请第三方治理审核员来审查、提出更改建议并测试您的恢复方法。

• 研究网络安全保险，了解它如何帮助您以及什么适合您。

• 如果由于其性质而造成的影响很严重，请聘请一家公关管理公司。

能否利用技术来减轻对声誉、法律后果和声誉损失的潜在损害？

的确。其中许多服务都是为您的客户设计的，他们可以使用这些服务来检查和保护他们的个人和财务信息。还有在线声誉管理软件，可以跟踪、控制和改善互联网上的在线声誉和公众形象。 

新的 SEC 网络安全治理规则如何增加赌场必须采取的压力和措施？

新的 SEC 网络安全规则适用于上市公司。它的重点是保护公共投资者，并为网络安全计划和重大违规报告提供保证。但网络安全计划和合规性并不等于安全。 

然而，它可能是一把双刃剑。当上市公司遭受“重大”违规时，他们有四天的时间公开报告。勒索软件团伙知道这一点，这里的材料是指理性投资者在做出投资决策时认为重要的信息。 

这不仅仅涉及客户数据或尚未公开的数据。这为攻击者创造了两个新的机会。勒索。 

1.“如果您不付款，我们将向 SEC 提出投诉，以防您忘记付款。” 

2023 年，名为 AlphaV 和 Blackcat 的勒索软件组织向 SEC 对其受害者 MeridanLink 提出投诉，称其未能在规定的四天内公开披露违规行为。 

2.“在可能被视为重大违规的情况下向我们支付费用，然后我们就走开，没有人会知道。”

如果任何个人数据被盗，第二种方法仍然违反了 SEC 的规定，但会诱惑受害者通过非法隐藏数据或不公布支付的金额来避免尴尬。 RaaS 是一门生意，通常如果他们不信守诺言，那么将来就没有人付钱给他们了。这是盗贼中众所周知的集体。   

2023 年我们发生了几起备受瞩目的赌场违规事件 - 2024 年我们会看到更多还是更少？ 

游戏行业攻击的趋势很难预测，但网络攻击将在2024年全面增长。我们仍在经历业务的数字化转型，然后人工智能等新技术将为攻击者提供帮助。

有些团体会因为最近的胜利而瞄准娱乐业，有些团体会改变。目标通常是简单的目标。突破越困难，他们就越有可能寻找更简单的目标。