一家公司最近发布了《2022年数据泄露调查报告》,为公司提供了对全球网络安全状况的重要见解,分析了23,000多起事件和5,200起已确认的入侵事件,将经济利益归因于网络攻击的主要动机.几乎五分之四的犯罪行为都是有组织犯罪所为,它们试图通过保险赔付向企业勒索巨额资金。勒索软件入侵增加了13%,超过了过去5年的总和。此外,82%的网络入侵涉及人为因素,即通过窃取凭据、网络钓鱼、滥用或仅仅是简单的错误。人们继续在事件和违规行为中发挥非常重要的作用。据报道,今年有18%的网络钓鱼邮件直接来自手机,这凸显了企业安全的一个弱点。它的统计数据强调了拥有强大的安全意识计划的重要性。很明显,私营企业和公共机构迫切需要改变他们的网络安全方法。提高安全意识固然很好,但直接解决一个被忽视了近二十年的问题更好。访问过程中的系统性缺陷网络安全社区和媒体普遍认为,网络安全的主要问题是人。超过80%的网络攻击和网络入侵都可以追溯到凭证的人为错误,尤其是凭证盗窃和滥用。然而,这种指责是错误的。想象一下,如果有一个十字路口,超过80%的事故发生,人们开始责备司机,建议他们接受培训以更好地驾驶。但需要改变的是路口设计,而不是人。系统使用弱密码和重复使用的密码在所有入侵中,使用弱密码或重复使用的密码是最容易破解的。问题其实不是个人的错。首先,要记住数百个随机密码是不可能的,但在数字世界中别无选择,他们不得不求助于易于记忆的密码。系统性地违反数据隐私法弱密码和重复使用的密码并不是违规的根本原因。公司面临的最大问题是允许员工设置自己的密码。发生这种情况时,公司将失去对密钥的控制,从而失去对数据和网络的控制。如果它不是“你的密钥”,它就不是“你的数据”。这意味着公司无法遵守数据隐私法,这可以解释为什么数据泄露现在如此普遍。破坏弹性系统为了减少需要记住的密码数量,企业采用单一访问,即单点登录、身份访问管理、特权访问管理,却没有意识到这会自动降低犯罪分子的水平和障碍,减少数量他们进入网络需要采取的步骤。在为犯罪分子创建了一条黄金路径以获得访问、扫描和定位整个网络锁所需的权限后,首次访问勒索软件所需的总时间从2019年的两个多月减少到2021年的3.85天。在同一过程中,他们将所有数据放在同一个篮子中,从管理员或特权帐户访问,加剧了任何数据泄露的潜在负面影响。更多的网络安全工具或培训不会解决问题增加网络安全工具或培训的预算不会阻止入侵或勒索软件而不解决它们的访问安全漏洞,例如放置更多的电子设备和提供更多的驾驶课程就像如果基础设施不防止事故建得很危险。当人们从一开始就不应该创建和了解公司密码时,就没有必要对他们进行密码安全培训。当人们无法泄露他们不知道的密码时,就没有必要对他们进行网络钓鱼培训。当怀疑存在漏洞时,由于每个系统都有不同的密码并且没有可以锁定或窃取所有内容的单一访问点,因此无需断开整个IT基础架构。思维方式的转变在过去的几年里,随着网络安全预算的增加,网络攻击的数量一直在增加,但没有多少人问过为什么。虽然超过80%的漏洞与基于人类的证书有关,但大部分网络安全预算都花在了基础设施和系统漏洞上,其中大部分仍未被发现。但现在,网络安全溢出到物理世界的巨大风险正在推动改变网络安全工作方式的呼声。为什么人们不应该首先设置密码除非您可以保护自己的大门,否则投资数十亿美元用于网络安全是行不通的。首先,员工无法控制对公司基础设施和资产的访问。当其他人为您的整个企业创建数字密钥时,您将失去对他们的可见性和控制权。实际上,密码只是钥匙为了能够重新控制密码,公司需要按原样对待密码。正如新员工开始一份新工作并获得大楼和办公室的钥匙一样,他或她在开始一份新工作时会收到一把数字钥匙,而不是自己制作。物理钥匙和数字钥匙之间的唯一区别是数字世界中没有物理障碍。要窃取物理钥匙,需要靠近钥匙。数字密钥或密码可以从世界任何地方被盗。对密钥进行加密,使其不被盗在没有防止凭证盗窃的物理障碍的情况下,保护密钥的最有效措施是使用保密方法,即密码学。公司只需加密他们的访问并在只有每个用户可以访问的安全位置向用户分发所有系统的凭据。这种逻辑解决了80%以上的违规行为。
