如今,組織的信息系統(tǒng)和數(shù)據(jù)面臨著許多威脅。而人們了解網(wǎng)絡(luò)安全的所有基本要素是應(yīng)對這些威脅的第一步。
網(wǎng)絡(luò)安全是確保信息完整性、機(jī)密性和可用性(ICA)的做法。它代表了應(yīng)對硬盤故障、斷電事故,以及來自黑客或競爭對手攻擊等防御和恢復(fù)能力。而后者包括從編程人員到能夠執(zhí)行高級持續(xù)威脅(APT)的黑客和犯罪集團(tuán)的所有人,并且它們對企業(yè)的信息安全和業(yè)務(wù)構(gòu)成嚴(yán)重威脅。因此,企業(yè)的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)規(guī)劃對于網(wǎng)絡(luò)安全至關(guān)重要,例如應(yīng)用程序和網(wǎng)絡(luò)安全。
安全應(yīng)該成為企業(yè)的頭等大事,并得到高級管理層的授權(quán)。人們所在的信息世界的脆弱性也需要強(qiáng)大的網(wǎng)絡(luò)安全控制。企業(yè)的管理者很清楚所有系統(tǒng)都是按照某些安全標(biāo)準(zhǔn)建立的,而且員工受過適當(dāng)?shù)呐嘤?xùn)。例如,所有代碼都會有一些Bug,其中一些Bug是安全漏洞。畢竟,開發(fā)人員也會犯錯。
安全培訓(xùn)
工作人員一直是企業(yè)的網(wǎng)絡(luò)安全計(jì)劃中最薄弱的部分。培訓(xùn)開發(fā)人員進(jìn)行安全編碼,培訓(xùn)操作人員考慮強(qiáng)大的安全態(tài)勢,培訓(xùn)最終用戶發(fā)現(xiàn)網(wǎng)絡(luò)釣魚郵件和社交工程攻擊,而實(shí)現(xiàn)網(wǎng)絡(luò)安全始于安全意識。
即使采取強(qiáng)有力的控制措施,所有企業(yè)都會遇到某種網(wǎng)絡(luò)攻擊。攻擊者總是會利用最薄弱的環(huán)節(jié),而企業(yè)可以通過執(zhí)行基本的安全任務(wù)(有時稱為“網(wǎng)絡(luò)衛(wèi)生”),很容易防止許多攻擊。就像外科醫(yī)生在清洗雙手的情況下進(jìn)入手術(shù)室一樣。同樣,企業(yè)有責(zé)任執(zhí)行網(wǎng)絡(luò)安全護(hù)理的基本要素,例如保持強(qiáng)大的身份驗(yàn)證實(shí)踐,并且不將敏感數(shù)據(jù)存儲在可以公開訪問的位置。
不過,良好的網(wǎng)絡(luò)安全策略會超越這些基礎(chǔ)。復(fù)雜的黑客可以規(guī)避大多數(shù)安全防御措施,其攻擊面(攻擊者獲得進(jìn)入系統(tǒng)的方式或“載體”的數(shù)量)正在擴(kuò)展到大多數(shù)公司。例如,信息技術(shù)和現(xiàn)實(shí)世界正在融合,網(wǎng)絡(luò)罪犯和間諜如今開始威脅到汽車、發(fā)電廠、醫(yī)療設(shè)備等物聯(lián)網(wǎng)系統(tǒng)。同樣,在采用云計(jì)算的趨勢下,在工作場所自攜設(shè)備(BYOD)策略以及快速發(fā)展的物聯(lián)網(wǎng)(IoT)帶來了新的挑戰(zhàn)。捍衛(wèi)這些物聯(lián)網(wǎng)系統(tǒng)從未如此重要。
網(wǎng)絡(luò)安全圍繞著消費(fèi)者隱私的監(jiān)管環(huán)境已經(jīng)進(jìn)一步復(fù)雜化。遵守歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)等嚴(yán)格的監(jiān)管框架也需要新的角色,以確保企業(yè)符合GDPR和其他法規(guī)的隱私和安全要求。
其結(jié)果是企業(yè)對網(wǎng)絡(luò)安全專業(yè)人員的需求不斷增長,招聘人員努力填補(bǔ)合格人選的空缺。這種斗爭要求組織重點(diǎn)關(guān)注一些風(fēng)險(xiǎn)最大的領(lǐng)域。
網(wǎng)絡(luò)安全的范圍很廣,而采用良好的網(wǎng)絡(luò)安全戰(zhàn)略的企業(yè)都應(yīng)該考慮到這一點(diǎn)。其核心領(lǐng)域如下所述:
(1)關(guān)鍵基礎(chǔ)設(shè)施
關(guān)鍵基礎(chǔ)設(shè)施包括人們所依賴的網(wǎng)絡(luò)物理系統(tǒng),其中包括電網(wǎng)、供水、交通信號燈和醫(yī)院。例如,將電廠連入互聯(lián)網(wǎng),其容易受到網(wǎng)絡(luò)攻擊。負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織的解決方案是企業(yè)需要執(zhí)行盡職調(diào)查,以了解漏洞并進(jìn)行防范。而其他組織都應(yīng)該評估他們所依賴的關(guān)鍵基礎(chǔ)設(shè)施的攻擊將會如何影響他們的運(yùn)營的情況,然后制定應(yīng)急計(jì)劃。
網(wǎng)絡(luò)安全防范未經(jīng)授權(quán)的入侵以及具有惡意的內(nèi)部人員。企業(yè)確保網(wǎng)絡(luò)安全通常需要權(quán)衡。例如,采用訪問控制(如額外登錄)措施可能是必要的,但會降低生產(chǎn)力。
用于監(jiān)控網(wǎng)絡(luò)安全的工具會生成大量數(shù)據(jù),這通常會漏掉有效警報(bào)。為了更好地管理網(wǎng)絡(luò)安全監(jiān)控,企業(yè)的安全團(tuán)隊(duì)越來越多地使用機(jī)器學(xué)習(xí)來實(shí)時標(biāo)識異常流量,并警告威脅。
(3)云安全
企業(yè)遷移到云中會帶來新的安全挑戰(zhàn)。例如,2017年幾乎每周都有數(shù)據(jù)泄露來自配置不當(dāng)?shù)?a href="http://www.qzkangyuan.com/cnidc/cloud/">云計(jì)算實(shí)例。云計(jì)算提供商正在創(chuàng)建新的安全工具,來幫助企業(yè)用戶更好地保護(hù)他們的數(shù)據(jù),但底線仍然是:在網(wǎng)絡(luò)安全方面,遷移到云端并不是企業(yè)執(zhí)行盡職調(diào)查的靈丹妙藥。
(4)應(yīng)用安全
應(yīng)用程序安全性(AppSec),尤其是Web應(yīng)用程序安全性已成為最薄弱的技術(shù)攻擊點(diǎn),但很少有組織能夠很好防御和應(yīng)對所有OWASP十大Web漏洞。AppSec從安全編碼實(shí)踐開始,應(yīng)該通過模糊和滲透測試來增強(qiáng)。
快速應(yīng)用程序開發(fā)和部署到云已經(jīng)看到DeVOPS作為一門新學(xué)科的出現(xiàn)。DeVOPS團(tuán)隊(duì)通常將業(yè)務(wù)需求置于安全之上,而隨著威脅的擴(kuò)散,這種需求很可能會發(fā)生變化。
(5)物聯(lián)網(wǎng)(IoT)安全
物聯(lián)網(wǎng)指的是各種關(guān)鍵和非關(guān)鍵的網(wǎng)絡(luò)物理系統(tǒng),如設(shè)備、傳感器、打印機(jī)和安全攝像頭。物聯(lián)網(wǎng)設(shè)備經(jīng)常處于不安全狀態(tài),幾乎不會提供安全補(bǔ)丁,不僅會對用戶造成威脅,還會給互聯(lián)網(wǎng)上的其他用戶造成威脅,因?yàn)檫@些設(shè)備經(jīng)常被發(fā)現(xiàn)是僵尸網(wǎng)絡(luò)的一部分。這給家庭用戶和社會帶來了獨(dú)特的安全挑戰(zhàn)。
網(wǎng)絡(luò)威脅的類型
常見的網(wǎng)絡(luò)威脅分為三大類:
