如今,組織的信息系統和數據面臨著許多威脅。而人們瞭解網絡安全的所有基本要素是應對這些威脅的第一步。
網絡安全是確保信息完整性、機密性和可用性(ICA)的做法。它代表了應對硬盤故障、斷電事故,以及來自黑客或競爭對手攻擊等防禦和恢復能力。而後者包括從編程人員到能夠執行高級持續威脅(APT)的黑客和犯罪集團的所有人,並且它們對企業的信息安全和業務構成嚴重威脅。因此,企業的業務連續性和災難恢復規劃對於網絡安全至關重要,例如應用程序和網絡安全。
一、安全培訓
工作人員一直是企業的網絡安全計劃中最薄弱的部分。培訓開發人員進行安全編碼,培訓操作人員考慮強大的安全態勢,培訓最終用戶發現網絡釣魚郵件和社交工程攻擊,而實現網絡安全始於安全意識。
即使採取強有力的控制措施,所有企業都會遇到某種網絡攻擊。攻擊者總是會利用最薄弱的環節,而企業可以通過執行基本的安全任務(有時稱為“網絡衛生”),很容易防止許多攻擊。就像外科醫生在清洗雙手的情況下進入手術室一樣。同樣,企業有責任執行網絡安全護理的基本要素,例如保持強大的身份驗證實踐,並且不將敏感數據存儲在可以公開訪問的位置。
不過,良好的網絡安全策略會超越這些基礎。複雜的黑客可以規避大多數安全防禦措施,其攻擊面(攻擊者獲得進入系統的方式或“載體”的數量)正在擴展到大多數公司。例如,信息技術和現實世界正在融合,網絡罪犯和間諜如今開始威脅到汽車、發電廠、醫療設備等物聯網系統。同樣,在採用雲計算的趨勢下,在工作場所自攜設備(BYOD)策略以及快速發展的物聯網(IoT)帶來了新的挑戰。捍衛這些物聯網系統從未如此重要。
網絡安全圍繞著消費者隱私的監管環境已經進一步複雜化。遵守歐盟通用數據保護條例(GDPR)等嚴格的監管框架也需要新的角色,以確保企業符合GDPR和其他法規的隱私和安全要求。
其結果是企業對網絡安全專業人員的需求不斷增長,招聘人員努力填補合格人選的空缺。這種鬥爭要求組織重點關注一些風險最大的領域。
二、網絡安全的類型
網絡安全的範圍很廣,而採用良好的網絡安全戰略的企業都應該考慮到這一點。其核心領域如下所述:
1. 關鍵基礎設施
2. 網絡安全
用於監控網絡安全的工具會生成大量數據,這通常會漏掉有效警報。為了更好地管理網絡安全監控,企業的安全團隊越來越多地使用機器學習來實時標識異常流量,並警告威脅。
3. 雲安全
企業遷移到雲中會帶來新的安全挑戰。例如,2017年幾乎每週都有數據洩露來自配置不當的雲計算實例。雲計算提供商正在創建新的安全工具,來幫助企業用戶更好地保護他們的數據,但底線仍然是:在網絡安全方面,遷移到雲端並不是企業執行盡職調查的靈丹妙藥。
4. 應用安全
應用程序安全性(AppSec),尤其是Web應用程序安全性已成為最薄弱的技術攻擊點,但很少有組織能夠很好防禦和應對所有OWASP十大Web漏洞。AppSec從安全編碼實踐開始,應該通過模糊和滲透測試來增強。
快速應用程序開發和部署到雲已經看到DeVOPS作為一門新學科的出現。DeVOPS團隊通常將業務需求置於安全之上,而隨著威脅的擴散,這種需求很可能會發生變化。
5. 物聯網(IoT)安全
物聯網指的是各種關鍵和非關鍵的網絡物理系統,如設備、傳感器、打印機和安全攝像頭。物聯網設備經常處於不安全狀態,幾乎不會提供安全補丁,不僅會對用戶造成威脅,還會給互聯網上的其他用戶造成威脅,因為這些設備經常被發現是殭屍網絡的一部分。這給家庭用戶和社會帶來了獨特的安全挑戰。
三、網絡威脅的類型
常見的網絡威脅分為三大類:
- 對保密信息的攻擊:竊取或抄襲目標的個人信息是從網絡攻擊開始的,其中包括諸如信用卡詐騙、身份盜用、盜取比特幣錢包等各種各樣的犯罪攻擊。一些間諜使保密攻擊成為他們工作的主要部分,尋求獲取政治、軍事或經濟收益的機密信息。
- 對完整性的攻擊:完整性攻擊是損壞、破壞或摧毀信息或系統。完整性攻擊是對目標進行破壞和毀滅的破壞活動。攻擊人員的範圍從編程人員到一些惡意攻擊者。
- 對可用性的攻擊:阻止目標訪問其數據是當今以勒索軟件和拒絕服務攻擊形式出現的最常見現象。勒索軟件加密被攻擊目標的數據,並要求對方支付贖金。拒絕服務攻擊(通常以分佈式拒絕服務(DDoS)攻擊的形式)通過請求淹沒網絡資源,使其不可用。
以下描述了這些攻擊的執行方式:
1. 社交工程
攻擊者並不攻擊計算機,而是讓個人用戶遭受損失。用於傳播勒索軟件的社交工程惡意軟件是第一種攻擊方式(不是緩衝區溢出、錯誤配置或高級漏洞攻擊)。最終用戶被欺騙運行特洛伊木馬程序,通常來自他們信任並經常訪問的網站。而持續開展安全教育是對付這種攻擊的最佳對策。
2. 網絡釣魚攻擊
有時竊取密碼的最佳方式是誘使人們洩露密碼。這說明網絡釣魚取得了驚人的成功。即使是在安全方面訓練有素的用戶也可能受到網絡釣魚的攻擊。這就是為什麼最好的防禦是採用雙因素身份驗證(2FA)的原因,這樣即使密碼被盜對於沒有第二個因素驗證的攻擊者來說毫無價值,例如硬件安全令牌或用戶手機上的軟件令牌驗證器應用程序。
3. 軟件未打補丁
如果攻擊者對組織實施零日攻擊,那麼很難責怪企業沒有實施安全措施,但是補丁失敗看起來就像是沒有執行盡職調查。如果披露漏洞之後持續數月甚至數年,並且企業還沒有應用安全補丁程序,那麼就會面臨風險。因此,軟件及時更新補丁很重要。
4. 社交媒體威脅
那些可信的傀儡賬號可以通過LinkedIn網絡蠕蟲來創建。如果有人知道了解人們的工作內容,會覺得這很奇怪嗎?預計社交媒體的攻擊活動將會越來越頻繁。
5. 高級持續威脅
如果有多個高級持續性威脅(APT)攻擊和入侵企業的網絡,不要感到驚訝。企業需要考慮其安全狀況與複雜的高級持續性威脅(APT)。這一點比技術領域更為真實,這是一個擁有豐富知識產權的行業,許多犯罪分子和國家對於竊取信息不會有所顧忌。
四、網絡安全職業
執行強大的網絡安全策略要求企業擁有合適的人員。從高級管理人員到一線安全工程師,企業專業網絡安全人員的需求越來越高。由於保護企業數據成為組織的關鍵任務,網絡安全領導者已經成為企業高管層和董事會的一員。首席安全官(CSO)或首席信息安全官(CISO)現在是組織必須具備的核心管理職位。
其角色也變得更加專業化。通用安全分析師正在迅速消逝。如今,安全測試人員可能會將重點放在應用程序安全性或網絡安全性,或者網絡釣魚用戶測試安全意識。事件響應可能會在全天候通話。
以下角色是企業安全團隊的基礎構成:
1. 首席信息安全官(CISO)/首席安全官(CSO)
首席信息安全官(CISO)是企業主管級的管理人員,負責監督組織IT安全部門和相關人員的運營。首席信息安全官(CISO)負責指導和管理戰略、運營和預算,以保護組織的信息資產。
2. 安全分析師
安全分析師也稱為網絡安全分析師、數據安全分析師、信息系統安全分析師或IT安全分析師,這個角色通常具有以下責任:
- 規劃、實施和升級安全措施和控制
- 保護數字文件和信息系統免受未經授權的訪問、修改或破壞
- 維護數據並監視安全訪問
- 進行內部和外部安全審計
- 管理網絡,入侵檢測和預防系統
- 分析安全漏洞以確定其根本原因
- 定義、實施和維護企業安全策略
- 與外部供應商協調安全計劃
3. 安全架構師
一位優秀的信息安全架構師橫跨業務和技術領域。雖然行業內的角色可能會有所不同,但通常是負責規劃、分析、設計、配置、測試、實施、維護,以及支持組織的計算機和網絡安全基礎設施的高級員工,其角色可能會有所不同。這就要求企業全面瞭解其技術和信息需求。
4. 安全工程師
安全工程師位於保護企業資產免受威脅的一線。這項工作需要強大的技術、組織和溝通技巧。IT安全工程師是一個相對較新的職位。其重點在於IT基礎設施內的質量控制。這包括設計、構建和維護可擴展、安全和可靠的系統,致力於運營數據中心繫統和網絡,幫助企業理解先進的網絡威脅,並幫助制定戰略來保護這些網絡。
整理/夏立城 上海藍盟創始人兼CEO,復旦校友創新創業俱樂部副會長,致力於用IT外包網絡維護服務賦能企業客戶發展,助力其創新、迭代和進化。
閱讀更多 夏掰創業 的文章
