組織面臨著對其信息系統(tǒng)和數據的諸多威脅���。
了解網絡安全的所有基本要素是攻克這些威脅的第一步��。
網絡安全是確保信息的完整性����、保密性和可用性(ICA)的實踐��。
它代表了防御和從諸如硬盤驅動器故障或斷電等事故中恢復的能力�����,以及抵御敵人攻擊的能力��。
后者包括從腳本kiddies到黑客和能夠執(zhí)行高級持久威脅(advanced persistent threats, apt)的犯罪組織����,他們對企業(yè)構成嚴重威脅����。
業(yè)務連續(xù)性和災難恢復計劃對于網絡安全的重要性不亞于應用程序和網絡安全。
整個企業(yè)都應該把安全放在首位�,并由高級管理層授權。
我們現(xiàn)在所處的信息世界的脆弱性,也需要強有力的網絡安全控制����。
管理層應該確保所有系統(tǒng)都按照一定的安全標準構建,并對員工進行適當的培訓��。
例如����,所有代碼都有bug,其中一些bug是安全缺陷����。
畢竟,開發(fā)人員只是人��。
安全培訓
在任何網絡安全計劃中��,人總是最薄弱的環(huán)節(jié)��。
培訓開發(fā)人員如何安全編碼����,培訓運營人員如何優(yōu)先考慮強大的安全態(tài)勢����,培訓終端用戶如何識別釣魚郵件和社會工程攻擊——網絡安全始于意識��。
所有公司都會遭遇某種形式的網絡攻擊�����,即使有強有力的控制措施��。
攻擊者總是會利用最薄弱的環(huán)節(jié)�����,許多攻擊很容易通過執(zhí)行基本的安全任務來預防���,這些任務有時被稱為“網絡衛(wèi)生”。
“外科醫(yī)生如果不先洗手�����,就永遠不會進入手術室��。
同樣�����,企業(yè)有責任履行網絡安全保護的基本要素,例如維護強大的身份驗證實踐�,不將敏感數據存儲在可以公開訪問的地方。
然而��,一個好的網絡安全戰(zhàn)略需要超越這些基礎�����。
老練的黑客可以繞過大多數防御��,而對于大多數公司來說���,攻擊面(攻擊者進入系統(tǒng)的方式或“載體”的數量)正在擴大����。
例如�,信息和物理世界正在融合,犯罪分子和民族國家間諜現(xiàn)在威脅著ICA的網絡物理系統(tǒng)����,比如汽車、發(fā)電廠�、醫(yī)療設備�����,甚至是你的物聯(lián)網冰箱。
類似地�����,云計算的趨勢���,將您自己的設備(BYOD)策略帶到工作場所�����,以及蓬勃發(fā)展的物聯(lián)網(IoT)帶來了新的挑戰(zhàn)����。
捍衛(wèi)這些體系從未像現(xiàn)在這樣重要��。
令網絡安全更加復雜的是圍繞消費者隱私的監(jiān)管環(huán)境�。
遵守嚴格的監(jiān)管框架,如歐盟的《一般數據保護條例》(GDPR)���,還需要新的角色來確保組織滿足GDPR和其他條例的隱私和安全要求�。
因此���,對網絡安全專業(yè)人士的需求日益增長��,使得招聘人員難以用合格的候選人填補職位空缺���。
這種斗爭要求組織對風險最大的領域給予高度關注��。
網絡安全的種類
網絡安全的范圍是廣泛的�。
核心領域如下所述�,任何良好的網絡安全戰(zhàn)略都應該考慮到這一切。
1. 關鍵基礎設施
關鍵的基礎設施包括社會所依賴的網絡物理系統(tǒng)����,涵蓋電網、水凈化�、交通信號燈和醫(yī)院。
例如�����,將一座發(fā)電廠接入互聯(lián)網�����,就容易受到網絡攻擊��。
對于負責關鍵基礎設施的組織����,解決方案是執(zhí)行盡職調查,以保護了解漏洞并防范它們�����。
其他人應該評估對他們所依賴的關鍵基礎設施的攻擊可能會如何影響他們����,然后制定應急計劃。
2. 網絡安全
網絡安全防范未經授權的入侵以及懷有惡意的內部人士���,確保網絡安全常常需要權衡利弊��。
例如��,訪問控制(如額外登錄)可能是必要的��,但會降低工作效率�����。
用于監(jiān)控網絡安全的工具會生成大量數據����,以至于經常會錯過有效的警報。
為了更好地管理網絡安全監(jiān)控��,安全團隊越來越多地使用機器學習來實時標記異常流量和警告威脅����。
3. 云安全
企業(yè)進軍云計算為安全帶來了新的挑戰(zhàn)。
例如��,2017年幾乎每周都有來自配置不良的云實例的數據泄露���。
云提供商正在創(chuàng)建新的安全工具�����,以幫助企業(yè)用戶更好地保護他們的數據����,但底線仍然存在:當涉及網絡安全時�,向云轉移并不是執(zhí)行盡職調查的萬靈藥。
4. App 保護
應用程序安全(AppSec)����,尤其是web應用程序安全����,已經成為最薄弱的技術攻擊點���,但是很少有組織能夠完全緩解OWASP十大web漏洞。
AppSec從安全編碼實踐開始����,應該通過模糊化和滲透測試加以增強。
快速的應用程序開發(fā)和云部署已經將DevOps看作是一門新的學科�����。
DevOps團隊通常優(yōu)先考慮業(yè)務需求而不是安全性�,考慮到威脅的擴散,這個重點可能會發(fā)生變化���。
5. 物聯(lián)網(IoT)安全
物聯(lián)網指的是各種各樣的關鍵和非關鍵網絡物理系統(tǒng)��,如家用電器�、傳感器���、打印機和安全攝像頭���。
物聯(lián)網設備往往處于不安全狀態(tài)�����,提供的安全補丁很少甚至沒有��,這不僅對它們的用戶構成威脅����,也對互聯(lián)網上的其他人構成威脅���,因為這些設備往往發(fā)現(xiàn)自己是僵尸網絡的一部分���。
這給家庭用戶和社會帶來了極大的安全挑戰(zhàn)。
網絡威脅的種類
常見的網絡威脅大致可分為三類:
保密攻擊:竊取或復制目標的個人信息是網絡攻擊開始的次數����,包括信用卡欺詐、身份盜竊或盜竊比特幣錢包等普通犯罪攻擊���。
民族國家間諜將保密攻擊作為其工作的主要部分�,以獲取機密信息為政治、軍事或經濟利益�。
對完整性的攻擊:也被稱為“破壞”或“完整性攻擊”,關鍵在于破壞����、旨在破壞信息或系統(tǒng)以及依賴它們的人。
整性攻擊可以是很微妙的:這里有一個錯誤���,那里有一點篡改或者對目標進行破壞或銷毀活動���。
犯罪者的范圍從腳本小子到民族國家的攻擊者����。
可用性攻擊:防止目標訪問他們的數據是目前最常見的勒索軟件和拒絕服務攻擊的形式。
勒索軟件加密目標的數據���,并要求贖金解密它����。
拒絕服務攻擊(通常以分布式拒絕服務(DDoS)攻擊的形式出現(xiàn))會向網絡資源發(fā)送大量請求����,使其不可用。
下面描述了這些攻擊的執(zhí)行方法。
1. 社會工程
如果攻擊者能夠攻擊人類�,他們就不會攻擊計算機。
社會工程惡意軟件����,通常用于發(fā)送勒索軟件,是攻擊的頭號方法(不是緩沖區(qū)溢出���,錯誤配置���,或先進的利用)。
最終用戶被騙運行特洛伊木馬程序��,通常來自他們信任并經常訪問的網站�����。
持續(xù)的用戶教育是對抗這種攻擊的最佳對策���。
2. 釣魚式攻擊
有時候�,盜取某人密碼的最好方法就是欺騙他們����,讓他們透露自己的密碼�����。
即使是受過良好安全訓練的聰明用戶����,也可能會受到釣魚攻擊�����。
這就是為什么最好的防御是雙因素身份驗證(2FA)——如果存在第二個因素����,例如硬件安全令牌或用戶手機上的軟令牌身份驗證應用程序,被盜密碼對攻擊者來說毫無價值��。
3. 未修補的軟件
如果攻擊者對您部署了零日攻擊�����,就很難責怪您的企業(yè)�,但是修補失敗看起來很像沒有執(zhí)行的盡職調查����。
如果在一個漏洞被暴露數月或數年之后,您的企業(yè)還沒有應用該安全補丁,那么您可能會被指控疏忽大意�。
再次強調補丁的重要性。
4. 社交媒體的威脅
釣魚不僅僅是為了約會����。
可信的馬甲賬戶可以通過你的LinkedIn網絡慢慢滲透。
如果一個認識你100個專業(yè)聯(lián)系人的人開始談論你的工作����,你會覺得奇怪嗎?信口開河會使船沉沒。
期待社交媒體的間諜活動��,包括工業(yè)間諜和民族國家間諜���。
5. 先進的持續(xù)威脅
說到民族國家的敵人���,你的企業(yè)有他們。
如果多個apt在您的公司網絡上玩捉迷藏���,不要感到驚訝�。
如果您在任何地方正在做一些對某人來說非常有趣的事情���,那么您需要考慮針對復雜apt的安全姿態(tài)�。
這一點在技術領域體現(xiàn)得最為明顯,因為這個行業(yè)擁有豐富的寶貴知識產權����,許多罪犯和國家都會毫不猶豫地去竊取。
網絡安全的職業(yè)
實施強有力的網絡安全戰(zhàn)略需要你有合適的人選�。
從高層到前線的安全工程師,對專業(yè)網絡安全人員的需求從未像現(xiàn)在這樣高���。
隨著保護公司數據成為企業(yè)至關重要的任務��,安全部門的領導人已經擠進了高管層和董事會���。
首席安全官(CSO)或首席信息安全官(CISO)現(xiàn)在是任何正規(guī)企業(yè)都必須擁有的核心管理職位。
角色也變得更加專業(yè)化�。
多面手安全分析師的時代正在迅速消逝。
今天�,滲透測試人員可能會關注應用程序安全、網絡安全或釣魚用戶來測試安全意識�。
事件響應可能24/7隨叫隨到�����。
以下角色是任何安全團隊的基礎配置���。
1. CISO /方案
CISO是一個c級管理人員���,負責監(jiān)督組織的IT安全部門和相關人員的操作�。
CISO指導和管理策略�����、操作和預算�,以保護組織的信息資產。
2. 安全分析師
也被稱為網絡安全分析師�、數據安全分析師、信息系統(tǒng)安全分析師或IT安全分析師�,這個角色通常有以下職責:
計劃、實施和升級安全措施和控制;
保護數字文件和信息系統(tǒng)免受未經授權的訪問��、修改或破壞;
維護數據并監(jiān)控安全訪問;
進行內部和外部安全審計;
管理網絡�、入侵檢測和預防系統(tǒng);
分析安全漏洞,確定其根本原因;
定義�����、實現(xiàn)和維護公司安全策略;
與外部供應商協(xié)調安全計劃;
3. 安全架構師
一個好的信息安全架構師橫跨業(yè)務和技術領域���。
雖然不同行業(yè)的角色在細節(jié)上可能有所不同���,但是高級職員的角色是負責計劃���、分析、設計��、配置�����、測試�、實現(xiàn)、維護和支持組織的計算機和網絡安全基礎設施�。
這需要全面了解業(yè)務,了解其技術和信息需求�。
4. 安全工程師
安全工程師站在保護公司資產免受威脅的第一線。
這份工作需要很強的技術��、組織和溝通能力�。
IT安全工程師是一個相對較新的職位。
它的重點是IT基礎設施中的質量控制���。
這包括設計、構建和保護可伸縮的�、安全的和健壯的系統(tǒng);負責運營數據中心系統(tǒng)和網絡;協(xié)助本組織了解先進的網絡威脅;并幫助制定保護這些網絡的策略����。
