根据漏洞情报、漏洞数据和风险评级领域的全球领导者RiskBasedSecurity的说法,2019年有望成为网络犯罪“有史以来最糟糕的一年”。我们在勒索软件、病毒、特洛伊木马和网络钓鱼事件的近乎不断的头条新闻中看到了这一点,对各种规模的企业造成了严重破坏。这些攻击不仅频率增加,而且对收入的影响和复杂性也有所增加。去年春天,由一种名为RobbinHood的新型勒索软件发起的针对巴尔的摩数据网络的勒索软件攻击导致网络中断,造成至少1820万美元的收入损失。它并没有被忽视。瞻博网络研究发现,网络犯罪已造成2万亿美元的损失。该公司估计到2021年这个数字将达到6万亿美元。所有这些负面新闻都转化为客户与IT专业人员之间的艰难对话——无论您是自己完成所有工作还是寻求云服务提供商(CSP)的帮助。事实上,如果您是IT开发人员、采购员或可能受到网络犯罪影响的人(基本上是我们所有人),那么对数据安全有一个粗略的了解是这项工作的重要组成部分。否则,您会将自己或您的公司置于危险之中。为2020年做准备解决这个问题的第一步是承认它的存在,这是许多组织在为2020年的网络犯罪做准备时正在做的事情。随着组织更多地投资于安全并将其战略重点放在安全上,我们防范网络犯罪的能力正在提高.一种这样的策略被称为“零信任”,它将技术、服务、人员和流程结合到一个包括多层防御的有凝聚力的方法中。ForresterResearch十年前开发的零信任安全模型可以概括为“从不信任,始终验证”。换句话说,未经身份验证不允许访问,无论是否尝试从组织网络内部或外部连接到系统或数据。零信任是必要的,因为传统的网络安全不再能保护数据免受当今的高级威胁。实现零信任的四种方法让我们举个例子:如果您从前门进入您的房子,您希望能够访问里面的所有房间。在零信任世界中,您不一定可以自动访问所有房间。事实上,未经进一步许可,您可能无法穿过入口。要达到零信任所需的安全级别,我建议依靠这四个核心租户:物理安全、逻辑安全、流程和第三方身份验证。物理安全物理安全仍然是第一道防线。物理数据中心,无论是本地还是云端,都是客户数据的中心。因此,它也应该是防止网络盗窃的主要防御措施。由您或您的CSP管理的所有数据中心都应得到同等的重视和关注,并在所有物理资产上应用一致的安全标准。这包括主动监控、通过批准的访问列表控制对所有设施的访问,以及确保电源、冷却和灭火等环境要素的安全。逻辑安全逻辑安全是指创建安全和稳定基础的许多不同的技术配置和软件层。在层次上,逻辑安全应用于网络、存储、程序管理层。您或您的CSP应在每一层中提供尽可能多的安全性。请务必提前与您的CSP核实,以确保您的逻辑安全得到妥善处理。流程如果没有经过培训和经验丰富的人员,任何安全解决方案(无论是物理的还是逻辑的)都是无效的。如果管理系统的人员不了解如何在为保护各种系统而建立的控制范围内工作,解决方案就会失败。简而言之,您不必在家庭安全系统上花太多钱,也不必将房门钥匙从前门锁中拔出。员工背景调查、安全和合规培训、定期访问审查、基础设施的年度渗透测试以及所有系统的定期补丁计划是实施正确流程的关键。第三方认证来自第三方验证的信心怎么强调都不为过。即使是最安全的组织也可以从额外的审查中受益。您或您的CSP应考虑遵守以下一些框架和标准:HIPAA、HITRUST、SSAE16、ITIL、GDPR、CSASTAR、CJIS等。回到未来仅在2019年,就有无数“内鬼”的例子“使用有效凭证在公司内部造成巨大损失。与外部安全威胁(勒索软件、恶意软件等)相关的安全风险似乎每天都在增加,您可以看到为什么客户在其IT组织中追求零信任策略。组织中的零信任策略可以消除单独技术实施留下的许多漏洞。随着我们进入2020年及其可能带来的一切,重要的是要认识到网络犯罪的数量、影响和复杂性都将增加。这并不意味着我们无能为力,但这确实意味着我们需要改变,而零信任策略可以帮助实现这一点。
