虽然数字化转型增加了网络风险,但这些重要举措将帮助您的企业保持安全。企业不希望看到他们出现在网络安全漏洞的头条新闻中,或者他们的声誉被直言不讳的批评者损害,他们希望避免网络攻击、业务中断和代价高昂的恢复。将网络安全视为事后的想法或认为安全是其他人应该在数字化转型项目中解决的问题总是错误的,并且它错过了网络攻击者利用的可避免的网络安全漏洞。值得庆幸的是,企业可以采取一些措施来防止在实施数字化转型过程中经常出现的漏洞。以下是企业在开始数字化转型之旅时可以采取的10大步骤。1.开展IT网络安全风险评估对每个数字化转型项目进行IT网络安全风险评估。项目的特征将影响最高风险。以下是经常存在的风险:(1)内部网络安全防御存在漏洞。(2)应用软件或软件即服务(SaaS)提供商的网络安全成熟度不够。(3)不同供应链供应商的网络安全成熟度。(4)从业人员和承包商的网络安全意识水平参差不齐。降低网络安全风险的典型对策包括:(1)多因素身份验证(MFA)。(2)高级威胁检测解决方案。(3)加密技术的广泛应用。(4)员工和承包商的网络意识教育计划。2.了解合规义务一些数字化转型项目涉及受各种法规约束的流程和数据,公司必须证明其合规性。有关用户的私人数据尤其敏感。网络安全组件的主要法规示例如下:(1)美国联邦信息安全管理法。(2)欧洲通用数据保护条例(GDPR)。(3)健康保险流通与责任法案(HIPAA)。(4)北美电力可靠性公司可靠性标准(NERC-CIP)。(5)美国国家标准技术研究院(NIST网络安全框架)。(6)ISO27001信息安全管理。(7)ISO27002信息安全、网络安全和隐私保护。(8)支付卡行业安全委员会的数据安全标准(PCIDSS)。(9)服务组织控制(SOC2)类型。每项法规都规定了企业必须遵守的要求。相关软件供应商通常会描述有助于数字化转型项目规划的实施和运营策略。在数字化转型项目的范围内包括实施适用法规的网络安全要求的任务。3.避免过度授权账户大多数数字化转型项目需要建立和管理最终用户账户和角色。当最终用户被授予的权限和角色超出了他们执行指定职责所需的数据和数据库访问权限时,网络攻击者可以更容易地渗透到企业的IT系统中进行破坏。为了通过设计最大限度地降低网络安全风险,数字化转型团队应该:(1)设计具有多个角色的软件以限制对任何一个角色的访问。(2)为SaaS软件的增强支付费用以增加角色数量。大多数数据库管理软件(DBMS)包都包含限制对表和列的访问的功能。对于数据库管理员(DBA)人员来说,使用这个功能来管理角色是非常繁琐且容易出错的,最终会失败。为了运行数字化转型项目将交付的系统,这种有限访问的概念通过以下方式实现:(1)集中管理所有权限。(2)持续检查权限,识别错误配置的权限、过度授权的帐户和角色。(3)考虑实施专门的软件来提出建议,以快速有效地纠正有问题的权限。这些措施共同降低了网络攻击的风险。4.将网络安全纳入应用软件设计数字化转型项目通常设计、构建和测试一些应用软件,仅靠数据集成和应用软件包很难完成数字化转型项目。通过以下最佳实践将网络安全功能融入定制应用软件设计中,其中包括:(1)维护软件开发环境的安全。(2)执行广泛的数据输入验证。(3)加密应用程序正在创建的数据并实施HTTPS。(4)包括认证、角色管理和访问控制。(5)包括审计和日志记录。(6)遵循配置虚拟服务器的最佳实践。(7)不简化质量保证和测试。(8)随着安全威胁的发展升级应用软件。(9)删除不活动的虚拟服务器和数据库。当您的数字化转型应用程序用于常规生产时,遵循这些最佳实践将显着降低网络攻击的风险。5.限制对云管理控制台的访问具有云计算组件的数字化转型项目将运行相关的管理控制台。控制台是网络攻击的热门目标,因为它们控制着企业云计算资源的方方面面。未经授权使用这些强大的云计算控制台可能会立即造成严重破坏或数据泄露。管理控制台风险的最佳应对措施是将对云管理控制台的访问视为特权访问。此最佳实践通过(1)要求最终用户证明每次登录并跟踪所有登录以快速识别异常、不当或欺诈访问来实现。(2)授权每个用户ID在指定的时间段内只能进行特定的、有限的访问,以控制任何用户ID泄露可能造成的损害。(3)采用单点登录(SSO),让终端用户体验安全、无忧的登录。(4)在授权访问云控制台之前实施多因素身份验证(MFA)以添加额外的保护层。这些特权访问措施共同防止了针对云管理控制台的网络攻击。6.确定CSP网络安全防御策略许多数字化转型项目都包含一个云组件,可以使用由CSP或SaaS提供商云平台运营的计算基础设施。由于大多数云计算服务提供商(CSP)都实施了广泛的网络安全防御策略,并将这项工作描述为有价值的客户利益,因此大多数客户不会在云计算网络安全评估或测试上投入更多精力。花时间和精力确认CSP网络安全防御策略的全面性是明智的。7.评估SCADA/IIoT集成点。一些数字化转型项目将SCADA/IIoT数据从OT基础设施引入IT系统域。这两个领域通常由具有不同任务和优先级的不同业务主管管理。评估数字化转型项目的SCADA/IIoT集成点的网络安全风险,通常由管理职责模糊或不明确的服务器或网络设备代表。因此,网络安全防御可能参差不齐。根据集成点评估的结论采取行动,这通常包括澄清角色和责任以及更新设备。8.测试应用程序编程接口大多数数字化转型项目开发自定义应用程序编程接口(API),用于集成数据库或允许外部合作伙伴的软件开发人员访问公司计算环境中的特定应用程序。当攻击者发现这些API时,他们可以轻松创建软件来导致数据泄露。应对这种风险的措施是确保以下几点:(1)彻底测试API软件。(2)定期更改授权凭据以访问API。(3)记录API的使用情况,定期查看日志。(4)安全存储API源代码,切勿将其发布在开源存储库中。(5)限制使用API??的开发者指南的流通,不在网上发布。9.评估技术变革数字化转型项目通常涉及对公司运营所在的信息技术套件进行变革,新技术引入或消除网络安全风险。随着技术的变化,公司的项目团队应更新其IT网络安全风险评估并根据新发现采取行动。10.进行OT网络安全风险评估数字化转型项目有时表明,运营技术(OT)领域在网络安全方面没有像信息技术(IT)那样受到重视。在这种情况下,需要进行OT网络安全风险评估。国际自动化学会(ISA)标准《工业自动化和控制系统安全:建立工业自动化和系统安全计划》(ISA-62443-2-1)为制定投资OT网络安全的商业理由提供了宝贵的指导。通过将这10项行动纳入数字化转型项目的范围,公司可以显着降低网络安全风险。
