组织面临着对其信息系统和数据的许多威胁。理解网络安全的所有基本要素是克服这些威胁的第一步。
网络安全是确保信息完整性、保密性和可用性的实践。它代表防御和从事故中恢复的能力,例如硬盘故障或断电,以及抵御敌人攻击的能力。后者包括从脚本小子到黑客和能够执行高级持久威胁的犯罪组织(apt),它们对企业构成严重威胁。业务连续性和灾难恢复计划对网络安全与应用程序和网络安全一样重要。
整个企业应该把安全放在第一位,并得到高级管理层的授权。我们现在所处的信息世界的脆弱性也需要强有力的网络安全控制。管理层应确保所有系统都按照特定的安全标准构建,并确保员工得到适当的培训。例如,所有代码都有缺陷,其中一些是安全缺陷。毕竟,开发者只是人。
安全培训
在任何网络安全计划中,人总是最薄弱的一环。培训开发人员如何安全编码,培训操作员如何优先考虑强大的安全态势,以及培训最终用户如何识别网络钓鱼电子邮件和社交工程攻击——网络安全从意识开始。
所有公司都会遭遇某种形式的网络攻击,即使有强有力的控制措施。攻击者总是利用最薄弱的环节。许多攻击可以通过执行基本的安全任务轻松防止,这些任务有时被称为“网络健康”。“外科医生永远不会进入手术室,除非他们先洗手。同样,企业有责任实现网络安全保护的基本要素,例如维护强有力的身份验证实践,以及不将敏感数据存储在公众可访问的地方。
然而,一个好的网络安全策略需要超越这些基础。老练的黑客可以绕过大多数防御,而对大多数公司来说,攻击面(攻击者进入系统的方式或“运营商”的数量)正在扩大。例如,信息和物质世界正在融合。犯罪分子和国家间谍正在威胁独立调查委员会的网络物理系统,例如汽车、发电厂、医疗设备,甚至你的物联网。同样,云计算的趋势将您自己的设备(BYOD)战略带到了工作场所,蓬勃发展的物联网(IoT)带来了新的挑战。捍卫这些系统从未像现在这样重要。
使网络安全复杂化的是围绕消费者隐私的监管环境。遵守严格的监管框架,如欧盟的《一般数据保护条例》(GDPR),需要新的角色来确保组织满足GDPR和其他法规的隐私和安全要求。因此,对网络安全专业人员日益增长的需求使得招聘人员难以用合格的候选人填补空缺。这种斗争要求组织密切关注风险最大的领域。
网络安全的类型
网络安全的范围很广。核心领域如下。任何好的网络安全策略都应该考虑到这一切。
1.关键基础设施
关键基础设施包括社会所依赖的网络物理系统,包括电网、水净化、交通灯和医院。例如,将电厂连接到互联网容易受到网络攻击。对于负责关键基础架构的组织来说,解决方案是执行尽职调查以防范漏洞并加以防范。其他人应该评估对他们所依赖的关键基础设施的攻击会如何影响他们,然后制定应急计划。
2.网络安全性
网络安全可以防止未经授权的入侵和恶意内部人员。通常有必要权衡利弊,以确保网络安全。例如,访问控制(如额外登录)可能是必要的,但可能会降低生产率。
监控网络安全的工具会产生如此多的数据,以至于经常会错过有效的警报。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来标记异常流量并实时警告威胁。
3.云安全
企业进入云计算给安全带带来了新的挑战。例如,在2017年,几乎每周都有来自配置不当的云实例的数据泄漏。云提供商正在创建新的安全工具来帮助企业用户更好地保护他们的数据,但底线仍然是:说到网络安全,迁移到云不是尽职调查的灵丹妙药。
4.应用程序保护
应用安全(AppSec),尤其是网络应用安全,已经成为最薄弱的技术攻击点,但是很少有组织能够完全缓解OWASP十大网络漏洞。AppSec从安全编码的实践开始,应该通过模糊化和渗透测试来增强。
快速应用程序开发和云部署已经将DevOps视为一门新学科。DevOps团队通常优先考虑业务需求,而不是安全性,安全性可能会因威胁的传播而改变。
5.物联网安全
物联网是指各种关键和非关键的网络物理系统,如家用电器、传感器、打印机和安全摄像机。物联网设备通常处于不安全状态,并且很少或没有提供安全补丁。这不仅对他们的用户构成威胁,也对互联网上的其他人构成威胁,因为这些设备经常发现自己是僵尸网络的一部分。这给家庭用户和社会带来了巨大的安全挑战。
网络威胁的类型
常见的网络威胁大致可分为三类:秘密攻击:窃取或复制目标的个人信息是网络攻击开始的次数,包括常见的犯罪攻击,如信用卡欺诈、身份盗窃或比特币钱包盗窃。国家间谍将秘密攻击视为他们为政治、军事或经济利益获取机密信息的主要工作。
对完整性的攻击:也称为“破坏”或“完整性攻击”,关键在于旨在摧毁信息或系统以及依赖它们的人的破坏。整个攻击可能是微妙的:这里有一个错误,有一点篡改或破坏或摧毁目标。犯罪者从脚本小子到民族国家的攻击者。
可用性攻击:阻止目标访问他们的数据是目前敲诈软件和拒绝服务攻击最常见的形式。勒索软件加密目标的数据,并要求赎金来解密。拒绝服务攻击(通常以分布式拒绝服务(DDoS)攻击的形式)向网络资源发送大量请求,使其不可用。
这些攻击的执行方法描述如下。
1.社会工程
如果攻击者能够攻击人类,他们就不会攻击计算机。通常用于发送勒索软件的社交工程恶意软件是头号攻击方法(不是缓冲区溢出、配置错误或高级利用)。最终用户被诱骗运行木马程序,通常来自他们信任和经常访问的网站。持续的用户教育是防范此类攻击的最佳对策。
2.钓鱼攻击
有时候,窃取某人密码的最好方法是欺骗他们,让他们泄露他们的密码。即使受过良好安全培训的智能用户也可能受到网络钓鱼的攻击。这就是为什么最好的防御是双因素身份验证(2FA)——。如果还有第二个因素,例如用户手机上的硬件安全令牌或软令牌身份验证应用程序,则被盗密码对攻击者没有任何价值。
3.未修补的软件
如果攻击者对您实施零日攻击,很难责怪您的企业,但是补丁程序的失败看起来像是尽职调查的失败。如果您的企业在漏洞暴露数月或数年后仍未应用安全补丁,您可能会被指控玩忽职守。再次强调补丁的重要性。
4.来自社交媒体的威胁
钓鱼不仅仅是约会。可信的马甲账户可以慢慢渗透到你的领英网络中。如果一个认识你100个专业联系人的人开始谈论你的工作,你会感到奇怪吗?信口开河会使船沉没。期待社交媒体间谍活动,包括工业间谍和国家间谍。
5.高级和持续威胁
说到民族国家的敌人,你的企业有他们。如果不止一个apt在你的公司网络上玩捉迷藏,不要感到惊讶。如果你在任何地方为某人做有趣的事情,那么你需要考虑复杂apt的安全态势。这在技术领域最为明显,因为这个行业拥有丰富而宝贵的知识产权,许多罪犯和国家会毫不犹豫地窃取网络安全专业
实施强有力的网络安全策略需要你有合适的人。从上到下,对专业网络安全人员的需求从未如此之高。随着保护企业数据成为企业的一项重要任务,安全部门的领导已经挤入最高管理层和董事会。首席安全官或首席信息安全官(CISO)现在是任何正式企业必须拥有的核心管理职位。
这个角色也变得更加专业了。多才多艺的安全分析师时代正在迅速衰落。如今,渗透测试人员可能会关注应用程序安全性、网络安全性或网络钓鱼用户来测试安全意识。事件响应可能是全天候待命。以下角色是任何安全团队的基本配置。
1.CISO/方案
CISO是一名高级经理,负责监督组织的信息技术安全部门和相关人员的运作。CISO指导和管理政策、运营和预算,以保护组织的信息资产。
2.证券分析家
也称为网络安全分析师、数据安全分析师、信息系统安全分析师或信息技术安全分析师,该角色通常具有以下职责:
计划、实施和升级安全措施和控制;
保护数字文件和信息系统免受未经授权的访问、修改或破坏;
维护数据并监控安全访问;
进行内部和外部安全审计;
管理网络、入侵检测和预防系统;
分析安全漏洞并确定其根本原因;
定义、实施和维护公司安全政策;
与外部供应商协调安全计划;
3.安全建筑师
一个好的信息安全架构师跨越业务和技术领域。虽然不同行业的角色可能在细节上有所不同,但高级员工的角色负责规划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础架构。这需要全面了解业务及其技术和信息需求。
4.安全工程师
安全工程师站在保护公司资产免受威胁的最前沿。这份工作需要很强的技术、组织和沟通技能。信息技术安全工程师是一个相对较新的职位。信息技术侧重于信息技术基础设施的质量控制。这包括设计、构建和保护可扩展、安全和强健的系统;负责操作数据中心系统和网络;协助组织了解高级网络威胁;并帮助制定保护这些网络的政策。
