網絡安全是確保信息的完整性、保密性和可用性的實踐。它代表防禦安全事故和從安全事故中恢復的能力。這些安全事故包括硬盤故障或斷電,以及來自競爭對手的網絡攻擊等。後者包括腳本小子、黑客、有能力執行高級持續性威脅(APT)的犯罪團夥,以及其他可對企業構成嚴重威脅的人。業務連續性和災難恢復能力對於網絡安全(例如應用安全和狹義的網絡安全)至關重要。
安全應該成為整個企業的首要考慮因素,且得到高級管理層的授權。我們如今生活的信息世界的脆弱性也需要強大的網絡安全控制戰略。管理人員應該明白,所有的系統都是按照壹定的安全標準建立起來的,且員工都需要經過適當的培訓。例如,所有代碼都可能存在漏洞,其中壹些漏洞還是關鍵的安全缺陷。畢竟,開發者也只是普通人而已難免出錯。
安全培訓
人往往是網絡安全規劃中最薄弱的環節。培訓開發人員進行安全編碼,培訓操作人員優先考慮強大的安全狀況,培訓最終用戶識別網絡釣魚郵件和社會工程攻擊——總而言之,網絡安全始於意識。
然而,即便是有強大的網絡安全控制措施,所有企業還是難逃遭遇某種網絡攻擊的威脅。攻擊者總是利用最薄弱的環節,但是其實只要通過執行壹些基本的安全任務——有時被稱為“網絡衛生”,很多攻擊都是可以輕松防護的。外科醫生不洗手決不允許進入手術室。同樣地,企業也有責任執行維護網絡安全的基本要求,例如保持強大的身份驗證實踐,以及不將敏感數據存儲在可以公開訪問的地方。
然而,壹個好的網絡安全戰略需要的卻不僅僅是這些基本實踐。技術精湛的黑客可以規避大多數的防禦措施和攻擊面——對於大多數企業而言,攻擊者入侵系統的方式或“向量”數正在不斷擴張。例如,隨著信息和現實世界的日益融合,犯罪分子和國家間諜組織正在威脅物理網絡系統的ICA,如汽車、發電廠、醫療設備,甚至妳的物聯網冰箱。同樣地,雲計算的普及應用趨勢,自帶設備辦公(BYOD)以及物聯網(IoT)的蓬勃發展也帶來了新的安全挑戰。對於這些系統的安全防禦工作變得尤為重要。
網絡安全進壹步復雜化的另壹個突出表現是圍繞消費者隱私的監管環境。遵守像歐盟《通用數據保護條例》(GDPR)這樣嚴格的監管框架還要求賦予新的角色,以確保組織能夠滿足GDPR和其他法規對於隱私和安全的合規要求。
如此壹來,對於網絡安全專業人才的需求開始進壹步增長,招聘經理們正在努力挑選合適的候選人來填補職位空缺。但是,對於目前這種供求失衡的現狀就需要組織能夠把重點放在風險最大的領域中。
網絡安全類型
網絡安全的範圍非常廣,但其核心領域主要如下所述,對於這些核心領域任何企業都需要予以高度的重視,將其考慮到自身的網絡安全戰略之中:
1.關鍵基礎設施
關鍵基礎設施包括社會所依賴的物理網絡系統,包括電網、凈水系統、交通信號燈以及醫院系統等。例如,發電廠聯網後就會很容易遭受網絡攻擊。負責關鍵基礎設施的組織的解決方案是執行盡職調查,以確保了解這些漏洞並對其進行防範。其他所有人也都應該對他們所依賴的關鍵基礎設施,在遭遇網絡攻擊後會對他們自身造成的影響進行評估,然後制定應急計劃。
2.網絡安全(狹義)
網絡安全要求能夠防範未經授權的入侵行為以及惡意的內部人員。確保網絡安全通常需要權衡利弊。例如,訪問控制(如額外登錄)對於安全而言可能是必要的,但它同時也會降低生產力。
用於監控網絡安全的工具會生成大量的數據,但是由於生成的數據量太多導致經常會忽略有效的告警。為了更好地管理網絡安全監控,安全團隊越來越多地使用機器學習來標記異常流量,並實時生成威脅警告。
3.雲安全
越來越多的企業將數據遷移到雲中也會帶來新的安全挑戰。例如,2017年幾乎每周都會報道由於雲實例配置不當而導致的數據泄露事件。雲服務提供商正在創建新的安全工具,以幫助企業用戶能夠更好地保護他們的數據,但是需要提醒大家的是:對於網絡安全而言,遷移到雲端並不是執行盡職調查的靈丹妙藥。
4.應用安全
應用程序安全(AppSec),尤其是Web應用程序安全已經成為最薄弱的攻擊技術點,但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應用程序安全應該從安全編碼實踐開始,並通過模糊和滲透測試來增強。
應用程序的快速開發和部署到雲端使得DevOps作為壹門新興學科應運而生。DevOps團隊通常將業務需求置於安全之上,考慮到威脅的擴散,這個關註點可能會發生變化。
5.物聯網(IoT)安全
物聯網指的是各種關鍵和非關鍵的物理網絡系統,例如家用電器、傳感器、打印機以及安全攝像頭等。物聯網設備經常處於不安全的狀態,且幾乎不提供安全補丁,這樣壹來不僅會威脅到用戶,還會威脅到互聯網上的其他人,因為這些設備經常會被惡意行為者用來構建僵屍網絡。這為家庭用戶和社會帶來了獨特的安全挑戰。