安全應該是整個企業的首要考慮,並得到高級管理層的授權。我們現在生活的信息世界的脆弱性也需要壹個強有力的網絡安全控制策略。管理者應該明白,所有的系統都是按照壹定的安全標準建立的,員工也需要經過適當的培訓。例如,所有代碼都可能有漏洞,其中壹些是嚴重的安全缺陷。畢竟開發者只是普通人,犯錯在所難免。
安全培訓
人往往是網絡安全規劃中最薄弱的環節。培訓開發人員編寫安全代碼,培訓運營商優先考慮強安全條件,培訓最終用戶識別釣魚郵件和社會工程攻擊——總之,網絡安全始於意識。
然而,即使有強大的網絡安全控制措施,所有的企業都無法逃脫某種網絡攻擊的威脅。攻擊者總是利用最薄弱的環節,但事實上,許多攻擊可以通過執行壹些基本的安全任務來輕松保護——有時稱為“網絡衛生”。外科醫生不洗手是不允許進手術室的。類似地,企業還負責實現維護網絡安全的基本要求,例如維護強身份認證實踐,以及不將敏感數據存儲在可以公開訪問的地方。
然而,良好的網絡安全策略需要的不僅僅是這些基本實踐。熟練的黑客可以避開大多數防禦措施和攻擊面——對於大多數企業來說,攻擊者入侵系統的途徑或“載體”正在擴大。例如,隨著信息與現實世界的日益融合,犯罪分子和國家間諜組織正在威脅物理網絡系統的ICA,如汽車、電廠、醫療設備,甚至妳的物聯網冰箱。同樣,雲計算的普及和應用趨勢,自帶設備辦公(BYOD)和物聯網(IoT)的蓬勃發展也帶來了新的安全挑戰。這些系統的安全和防禦工作變得尤為重要。
網絡安全進壹步復雜化的另壹個突出表現是圍繞消費者隱私的監管環境。遵守嚴格的監管框架,如歐盟通用數據保護法規(GDPR),還需要新的角色來確保組織能夠滿足GDPR和其他法規的隱私和安全合規性要求。
因此,對網絡安全專業人員的需求開始進壹步增長,招聘經理正在努力挑選合適的候選人來填補職位空缺。然而,當前供需之間的不平衡要求組織關註風險最大的領域。
網絡安全類型
網絡安全的範圍很廣,但其核心領域主要有以下幾個方面。任何企業都需要高度重視這些核心領域,並在自己的網絡安全戰略中考慮這些領域:
1.關鍵基礎設施
關鍵基礎設施包括社會所依賴的物理網絡系統,包括電網、凈水系統、紅綠燈、醫院系統等。比如電廠接入網絡後會容易受到網絡攻擊。負責關鍵基礎設施的組織的解決方案是執行盡職調查,以確保了解和預防這些漏洞。其他所有人也應該評估網絡攻擊後他們所依賴的關鍵基礎設施對自己的影響,然後制定應急計劃。
2.網絡安全(狹義)
網絡安全要求能夠防止未經授權的入侵和惡意的內部人員。確保網絡安全通常需要權衡利弊。例如,訪問控制(如額外登錄)可能是安全所必需的,但它也會降低生產率。
用於監控網絡安全的工具會產生大量的數據,但是有效的告警往往會因為產生的數據太多而被忽略。為了更好地管理網絡安全監控,安全團隊越來越多地使用機器學習來標記異常流量,並實時生成威脅警告。
3.雲安全
越來越多的企業將數據遷移到雲端,這也將帶來新的安全挑戰。比如2017,幾乎每周都有雲實例配置不當導致的數據泄露事件被報道。雲服務提供商正在創建新的安全工具來幫助企業用戶更好地保護他們的數據,但需要提醒的是,遷移到雲並不是執行網絡安全盡職調查的靈丹妙藥。
4.應用程序安全性
應用安全(AppSec)尤其是Web應用安全已經成為最弱的攻擊技術,但是很少有組織能夠完全緩解OWASP的所有十大Web漏洞。應用程序安全性應該從安全編碼實踐開始,並通過模糊和滲透測試來增強。
隨著應用程序向雲的快速開發和部署,DevOps成為壹門新學科。DevOps團隊通常將業務需求置於安全之上,考慮到威脅的傳播,這壹重點可能會改變。
5.物聯網(IoT)安全
物聯網是指各種關鍵和非關鍵的物理網絡系統,如家用電器、傳感器、打印機、安防攝像頭等。物聯網設備往往處於不安全狀態,很少提供安全補丁,這不僅會威脅到用戶,還會威脅到互聯網上的其他人,因為這些設備往往被惡意行為者用來構建僵屍網絡。這給家庭用戶和社會帶來了獨特的安全挑戰。
網絡威脅類型
常見的網絡威脅主要包括以下三類:
保密性攻擊
許多網絡攻擊始於竊取或復制目標的個人信息,包括各種犯罪攻擊,如信用卡欺詐、身份盜竊或竊取比特幣錢包。國家間諜也將秘密攻擊作為工作的重要組成部分,試圖獲取有關政治、軍事或經濟利益的機密信息。
完整性攻擊
壹般來說,完整性攻擊的目的是破壞、損害和摧毀信息或系統以及依賴它們的人。完整性攻擊可能是微妙的——小規模的篡改和破壞,或者是災難性的——對目標的大規模破壞。攻擊者可以從腳本小子到國家間諜組織。
可用性攻擊
阻止目標訪問數據是最常見的勒索軟件和拒絕服務(DoS)攻擊形式。勒索軟件壹般會對目標設備的數據進行加密,並索要贖金進行解密。拒絕服務(DoS)攻擊(通常以分布式拒絕服務攻擊的形式)向目標發送大量請求,這會占用網絡資源並使其不可用。
這些攻擊是如何實施的:
1.社會工程
如果攻擊者能直接從人類身上找到入口,他就不可能費盡心思入侵電腦設備。社交工程惡意軟件通常用於傳播勒索病毒,是排名第壹的攻擊方式(不是緩沖區溢出、配置錯誤或高級利用)。通過社會工程,最終用戶可以被誘騙運行特洛伊木馬程序,這些程序通常來自他們信任並經常訪問的網站。持續的用戶安全意識培訓是對抗此類攻擊的最佳措施。
2.網絡釣魚攻擊
有時候盜取別人密碼最好的方法就是誘騙別人自己提供,這主要取決於釣魚攻擊的成功實踐。即使是在安全方面訓練有素的聰明用戶也可能受到網絡釣魚的攻擊。這就是為什麽雙因素認證(2FA)是最好的保護措施——如果沒有第二個因素(比如用戶手機上的硬件安全令牌或軟件令牌認證程序),竊取的密碼對攻擊者來說將毫無意義。
3.未修復的軟件
如果攻擊者對妳發起零日攻擊,妳可能很難責怪企業,但如果企業不安裝補丁,就像沒有盡職調查壹樣。如果漏洞已經被披露了幾個月甚至幾年,而企業仍然沒有安裝安全補丁,必然會被指責為疏忽。所以,記得打補丁,打補丁,打補丁,重要的事情說三遍!
4.社交媒體威脅
“Catfishing”壹詞壹般指在網絡環境下隱藏自己的情況。通過精心編造壹個高質量的網絡身份,目的是為了給別人留下深刻印象,尤其是為了吸引某人與他們發展關系。然而,Catfishing並不僅僅適用於約會場景。可信的“馬甲”賬戶可以通過妳的LinkedIn網絡傳播蠕蟲。如果有人非常了解妳的職業聯系方式,主動發起和妳工作相關的對話,妳會覺得奇怪嗎?正所謂“信口開河,船沈”,希望無論是企業還是國家,都要更加重視社交媒體間諜行為。
5.高級持續威脅(APT)
事實上,國家間諜不僅可以存在於國家和政府組織之間,也可以存在於企業內部。所以,如果有多個APT攻擊在妳的公司網絡上玩捉迷藏,不要驚訝。如果妳的公司從事的是對任何人或任何地區都有持久利益的業務,那麽妳就需要考慮妳公司的安全狀況,以及如何應對復雜的APT攻擊。在科技領域,這種情況尤為明顯。這個充斥著各種有價值的知識產權的行業,壹直讓很多罪犯和國家間諜垂涎三尺。
網絡安全專業
實施強大的網絡安全戰略也需要合適的候選人。對專業網絡安全人員的需求空前高漲,包括C級管理人員和壹線安全工程師。盡管公司有數據保護意識,但安全部門領導已經開始躋身C級管理層和董事會。現在,首席安全官(CSO)或首席信息安全官(CISO)已經成為任何正式組織都必須擁有的核心管理職位。
此外,角色變得更加專業。通用安全分析師的時代正在衰落。現在滲透測試人員可能會把重點放在應用安全、網絡安全或者加強釣魚用戶的安全意識上。事件響應也開始普及全天制(724小時)。以下是安全團隊中的壹些基本角色:
1.首席信息安全官/首席安全官
首席信息安全官(CIO)是C級管理人員,負責監督壹個組織的IT安全部門和其他相關人員的操作行為。此外,首席信息安全官還負責指導和管理戰略、業務和預算,以確保本組織信息資產的安全。
2.證券分析家
安全分析師也稱為網絡安全分析師、數據安全分析師、信息系統安全分析師或IT安全分析師。該角色通常具有以下職責:
計劃、實施和升級安全措施和控制措施;
保護數字文件和信息系統免受未經授權的訪問、修改或破壞;
維護數據並監控安全訪問;
執行內部/外部安全審核;
管理網絡、入侵檢測和保護系統;分析安全違規,以確定其實施原則和根本原因;
定義、實施和維護企業安全政策;
與外部制造商協調安全計劃;
3.安全架構師
壹個好的信息安全架構師需要能夠跨越業務和技術領域。雖然角色在行業細節上會有所不同,但也是壹個高級職位,主要負責規劃、分析、設計、配置、測試、實施、維護和支持組織的計算機和網絡安全基礎設施。這要求安全架構師全面了解企業的業務、技術和信息需求。
4.安全工程師
安全工程師的工作是保護公司資產免受威脅的第壹道防線。這份工作需要很強的技術、組織和溝通能力。IT安全工程師是壹個相對較新的職位,其重點是IT基礎設施的質量控制。這包括設計、構建和保護可擴展、安全和強大的系統;操作數據中心系統和網絡;幫助組織了解高級網絡威脅;並幫助企業制定網絡安全策略來保護這些網絡。