组织面临着对其信息系统和数据的许多威胁。了解网络安全的所有基础知识是克服这些威胁的第一步。
网络安全是确保信息的完整性,机密性和可用性(ICA)的实践。它代表了防御和从硬盘故障或停电等事故中恢复的能力,以及抵御敌人攻击的能力。后者包括能够执行高级持续威胁(apt)的黑客和犯罪组织的脚本小子,这对企业构成严重威胁。业务连续性和灾难恢复计划对于网络安全性与应用程序和网络安全性同等重要。
整个企业应该把安全放在首位,并由高级管理层授权。我们现在所处的信息世界的脆弱性需要强有力的网络安全控制。管理层应确保所有系统均符合某些安全标准,并确保员工接受适当培训。例如,所有代码都有错误,其中一些是安全漏洞。毕竟,开发人员只是人。
安全训练
在任何网络安全计划中,人们总是最薄弱的环节。培训开发人员如何安全地编码,培训操作员如何优先考虑强大的安全姿势,并培训最终用户如何识别网络钓鱼电子邮件和社会工程攻击。——网络安全始于意识。
所有公司都经历过某种形式的网络攻击,即使有强大的控制权。攻击者总是利用最薄弱的环节,通过执行基本安全任务(有时称为“网络健康”)可以轻松防止许多攻击。 “没有先洗手,外科医生绝不会进入手术室。同样,公司有责任实现网络安全保护的基础知识,例如维护强大的身份验证实践,而不是将敏感数据存储在公共可访问的位置。
但是,良好的网络安全战略需要超越这些基础。复杂的黑客可以绕过大多数防御,对于大多数公司来说,攻击面(攻击者进入系统的方式数量或“运营商”的数量正在扩大。例如,信息和物理世界正在融合,犯罪分子和民族国家的间谍现在威胁到ICA的网络物理系统,如汽车,发电厂,医疗设备,甚至是物联网冰箱。同样,云计算的趋势将自己的设备(BYOD)战略带到工作场所,以及蓬勃发展的互联网物联网(IoT)带来了新的挑战。捍卫这些系统从未像现在这样重要。使网络安全更加复杂的是围绕消费者隐私的监管环境。遵守严格的监管框架,例如欧盟的《一般数据保护条例》(GDPR),也需要新的角色来确保组织满足GDPR和其他法规的隐私和安全要求。
因此,对网络安全专业人员日益增长的需求使招聘人员难以填补合格候选人的空缺。这场斗争要求组织高度关注风险最大的领域。
网络安全类型
网络安全的范围很广。核心领域如下,任何良好的网络安全战略都应考虑到这一点。
关键基础设施
关键基础设施包括社会所依赖的物理系统网络,包括电网,水净化,交通信号灯和医院。例如,当发电厂连接到互联网时,它很容易受到网络攻击。对于负责关键基础架构的组织,解决方案是执行尽职调查以防范漏洞并防止漏洞。其他人应评估对他们所依赖的关键基础设施的攻击如何影响他们,然后制定应急计划。
2.网络安全
针对未经授权的入侵和恶意内部人员的网络安全,确保网络安全通常需要权衡利弊。例如,可能需要访问控制(例如额外登录),但这会降低生产率。
用于监视网络安全性的工具会生成大量数据,因此通常会错过有效的警报。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来实时标记异常流量和警告威胁。
3.云安全
进入云计算的企业给安全带来了新的挑战。例如,2017年配置不当的云实例的数据泄漏几乎是每周一次。云提供商正在创建新的安全工具,以帮助业务用户更好地保护他们的数据,但底线仍然存在:谈到网络安全,迁移到云不是进行尽职调查的灵丹妙药。
4.应用程序保护
应用程序安全性(AppSec),尤其是Web应用程序安全性,已成为最薄弱的技术攻击点,但很少有组织可以完全缓解OWASP十大Web漏洞。 AppSec从安全编码实践开始,应该通过模糊化和渗透测试来增强。
快速的应用程序开发和云部署使DevOps成为一门新兴学科。 DevOps团队通常优先考虑业务需求而不是安全性,考虑到威胁的传播,这一重点可能会发生变化。
5.物联网(IoT)安全
物联网指的是各种关键和非关键的网络物理系统,如家用电器,传感器,打印机和安全摄像头。物联网设备通常不安全,提供很少或没有安全补丁,这不仅对其用户构成威胁,而且对互联网上的其他人构成威胁,因为这些设备经常发现自己是僵尸网络的一部分。这对家庭用户和社会构成了巨大的安全挑战。网络威胁的类型
常见的网络威胁大致可分为三类:
机密攻击:盗窃或复制目标的个人信息是指开始的网络攻击次数,包括信用卡欺诈,身份盗用或比特币钱包被盗。国家间谍活动将秘密作为其工作的主要部分,以获取政治,军事或经济利益的机密信息。
对完整性的攻击:也称为“破坏”或“完整性攻击”,关键是要摧毁那些试图破坏信息或系统并依赖它们的人。性攻击可能很微妙:这里有一个错误,目标有一些篡改或破坏或破坏。肇事者的范围从脚本小子到民族国家的攻击者。
可用性攻击:防止有针对性地访问其数据是目前最常见的勒索软件和拒绝服务攻击形式。勒索软件加密目标的数据并要求赎金解密它。拒绝服务攻击(通常以分布式拒绝服务(DDoS)攻击的形式)向网络资源发送大量请求以使其不可用。
下面描述了这些攻击的执行情况。
社会工程学
如果攻击者可以攻击人类,他们就不会攻击计算机。通常用于发送勒索软件的社会工程恶意软件是头号攻击方法(不是缓冲区溢出,错误配置或高级利用率)。最终用户被诱骗运行特洛伊木马程序,通常来自他们信任并经常访问的网站。持续的用户教育是对此类攻击的最佳回应。
2.网络钓鱼攻击
有时窃取他人密码的最佳方法是欺骗他们并让他们泄露密码。即使是具有良好安全培训的智能用户也可能遭受网络钓鱼攻击。这就是为什么最好的防御是双因素身份验证(2FA)——如果存在第二个因素,例如用户手机上的硬件安全令牌或软令牌身份验证应用程序,则被盗密码是针对攻击者的。没有价值。
3.未修补的软件
如果攻击者对您部署零日攻击,那么很难责怪您的业务,但补丁失败看起来很像没有执行的尽职调查。如果您的企业在漏洞暴露数月或数年后未应用安全补丁,您可能会被指控疏忽。再次强调补丁的重要性。
4.社交媒体的威胁
钓鱼不仅仅适合约会。可信赖的背心账户可以通过您的LinkedIn网络慢慢渗透。如果知道您的100个专业人士的人开始谈论您的工作,您会感到惊讶吗?如果你打开河流,船就会下沉。期待社交媒体间谍活动,包括工业间谍活动和民族国家间谍活动。
5.高级持续威胁
当涉及到民族国家的敌人时,你的企业就拥有它们。如果多个apts在您的公司网络上玩捉迷藏,请不要感到惊讶。如果你正在做一些对某人非常有趣的事情,那么你需要考虑一个复杂的安全姿势。这在技术领域最为明显,因为该行业拥有丰富的宝贵知识产权,许多犯罪分子和国家会毫不犹豫地窃取。网络安全专业
实施强有力的网络安全战略需要您拥有合适的人才。从高级到前线安全工程师,对专业网络安全人员的需求从未如此高涨。随着保护公司数据成为企业的一项重要任务,安全领域的领导者已经挤进了最高管理层和董事会。首席安全官(CSO)或首席信息安全官(CISO)现在是任何正式企业必须具备的核心管理职位。
这个角色也变得更加专业化。多功能安全分析师的时代正在迅速消失。今天,渗透测试人员可能会专注于应用程序安全性,网络安全性或网络钓鱼用户来测试安全意识。事件响应可能是24/7随叫随到。以下角色是任何安全团队的基本配置。
1. CISO /计划
CISO是一名c级执行官,负责监督组织的IT安全部门和相关人员的运作。 CISO指导和管理战略,运营和预算,以保护组织的信息资产。
2.安全分析师
此角色也称为网络安全分析师,数据安全分析师,信息系统安全分析师或IT安全分析师,通常具有以下职责:
规划,实施和升级安全措施和控制措施;
保护数字文件和信息系统免遭未经授权的访问,修改或破坏;
维护数据并监控安全访问;
进行内部和外部安全审计;
管理网络,入侵检测和预防系统;
分析安全漏洞并确定其根本原因;
定义,实施和维护公司安全策略;
与外部供应商协调安全计划;
3.安全架构师
一个优秀的信息安全架构师跨越业务和技术领域。虽然不同行业的角色可能在细节上有所不同,但官员的角色是计划,分析,设计,配置,测试,实施,维护和支持组织的计算机和网络安全基础架构。这需要全面了解业务并了解其技术和信息需求。
4.安全工程师
安全工程师站在保护公司资产免受威胁的前线。这项工作需要强大的技术,组织和沟通技巧。 IT安全工程师是一个相对较新的职位。它的重点是IT基础设施的质量控制。这包括设计,构建和保护可扩展,安全且强大的系统;管理数据中心系统和网络;协助组织应对先进的网络威胁;并帮助制定保护这些网络的战略。