组织的信息系统和数据面临许多威胁。了解网络安全的所有基础知识是对抗这些威胁的第一步。网络安全是确保信息的完整性、机密性和可用性(ICA)的做法。它代表防御和从硬盘故障或停电等事故中恢复的能力,以及抵御敌人攻击的能力。后者包括从脚本小子到能够执行高级持续威胁(apts)的黑客和犯罪组织的一切,这对企业构成了严重威胁。业务连续性和灾难恢复计划对于网络安全与应用程序和网络安全同样重要。安全应该是整个企业的优先事项,并由高级管理层授权。我们现在生活的信息世界的脆弱性也需要强有力的网络安全控制。管理层应确保所有系统均按照特定安全标准构建,并确保员工接受适当培训。例如,所有代码都有错误,其中一些是安全漏洞。毕竟,开发人员只是人。安全培训人员始终是任何网络安全计划中最薄弱的环节。从培训开发人员如何安全编码,培训运营人员如何优先考虑强大的安全态势,培训最终用户如何识别网络钓鱼电子邮件和社会工程攻击——网络安全始于意识。所有公司都会经历某种形式的网络攻击,即使有强有力的控制措施。攻击者总是会利用最薄弱的环节,许多攻击很容易通过执行基本的安全任务来阻止,这些任务有时被称为“网络卫生”。“外科医生永远不会在没有先洗手的情况下进入手术室。同样,企业有责任履行网络安全保护的基本要素,例如保持强有力的身份验证做法,并且不将敏感数据存储在可以公开访问的地方。然而,一个好的网络安全策略需要超越这些基础。经验丰富的黑客可以绕过大多数防御措施,并且对于大多数公司而言,攻击面(攻击者进入系统的方式或“向量”的数量)正在扩大。例如,信息世界和物理世界正在融合,犯罪分子和民族国家间谍现在威胁着ICA的网络物理系统,例如汽车、发电厂、医疗设备,甚至是您的物联网冰箱。同样,云计算的趋势、自带设备(BYOD)政策以及新兴的物联网(IoT)政策是否会带来新的挑战。保卫这些系统从未如此重要。使网络安全复杂化的是围绕消费者隐私监管环境的问题。遵守欧盟《一般数据保护条例》(GDPR)等严格的监管框架还需要新的角色,以确保组织满足GDPR和其他法规的隐私和安全要求。因此,对网络安全专业人员不断增长的需求使得招聘人员很难用合格的候选人填补职位空缺。这场斗争要求组织高度关注风险最大的领域。网络安全的类型网络安全的范围很广。核心领域如下所述,任何良好的网络安全策略都应将所有这些考虑在内。1.关键基础设施关键基础设施包括电网、净水、交通信号灯、医院等社会赖以生存的信息物理系统。例如,将发电厂连接到Internet使其容易受到网络攻击。对于负责关键基础设施的组织,解决方案是尽职调查以防范漏洞并防范漏洞。其他人应该评估对他们所依赖的关键基础设施的攻击可能会如何影响他们,然后制定应急计划。2.网络安全网络安全可防止未经授权的入侵和恶意内部人员。确保网络安全通常需要权衡取舍。例如,可能需要额外登录等访问控制,但会降低工作效率。监控网络安全的工具会生成如此多的数据,以至于经常会错过有效的警报。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来标记异常流量并实时警告威胁。3、云安全企业进入云计算,给安全带来了新的挑战。例如,在2017年,几乎每周都有配置不当的云实例导致数据泄露。云提供商正在创建新的安全工具来帮助企业用户更好地保护他们的数据,但底线仍然存在:在网络安全方面,迁移到云并不是执行尽职调查的灵丹妙药。4.应用保护应用安全(AppSec),尤其是Web应用安全,已经成为最薄弱的技术攻击点,但很少有组织能够完全缓解OWASP十大Web漏洞。AppSec从安全编码实践开始,应该通过模糊测试和渗透测试来增强。快速应用程序开发和云部署已将DevOps视为一门新学科。DevOps团队通常将业务需求置于安全之上,鉴于威胁的扩散,这种关注可能会改变。5.物联网(IoT)安全物联网是指各种关键和非关键的网络物理系统,例如家用电器、传感器、打印机和安全摄像头。物联网设备通常不安全,很少或根本没有提供安全补丁,不仅对用户构成威胁,而且对互联网上的其他人构成威胁,因为这些设备经常发现自己是僵尸网络的一部分。这给家庭用户和社会带来了极大的安全挑战。网络威胁的种类常见的网络威胁大致可以分为三类:隐私攻击:窃取或复制目标个人信息是网络攻击发起的次数,包括信用卡诈骗、身份盗窃、或盗窃比特币钱包。民族国家间谍将机密攻击作为他们工作的主要部分,以获取机密信息以获取政治、军事或经济利益。AttacksonIntegrity:也称为“破坏”或“完整性攻击”,重点是妥协,旨在破坏信息或系统以及依赖它们的人。整体攻击可能是微妙的:这里的错误,那里的小改动或目标的破坏或破坏。肇事者从脚本小子到民族国家攻击者不等。可用性攻击:阻止目标访问其数据是迄今为止最常见的勒索软件和拒绝服务攻击形式。勒索软件加密目标的数据并要求赎金来解密它。拒绝服务攻击,通常以分布式拒绝服务(DDoS)攻击的形式出现,用请求淹没网络资源,使其不可用。执行这些攻击的方法如下所述。1.社会工程学如果攻击者可以攻击人类,他们就不会攻击计算机。社交工程恶意软件通常用于提供勒索软件,是头号攻击方法(不是缓冲区溢出、错误配置或高级攻击)。最终用户被诱骗运行特洛伊木马程序,通常来自他们信任并经常访问的网站。持续的用户教育是应对这种攻击的最佳对策。2.网络钓鱼攻击有时窃取某人密码的最佳方法是诱使他们透露自己的密码。即使是受过良好安全培训的聪明用户也容易受到网络钓鱼攻击。这就是为什么最好的防御是双因素身份验证(2FA)——如果有第二个因素,例如用户手机上的硬件安全令牌或软令牌身份验证应用程序,被盗的密码很容易受到攻击者的攻击。毫无价值。3.未打补丁的软件如果攻击者对您部署了零日攻击,您很难责怪您的企业,但未打补丁看起来很像是没有执行尽职调查。如果漏洞暴露后数月或数年,您的企业仍未应用该安全补丁,您可能会被控疏忽。再次强调补丁的重要性。4.社交媒体网络钓鱼的威胁不仅仅针对约会。可信的马甲帐户可以通过您的LinkedIn网络慢慢渗透。如果一个认识你100个专业联系人的人开始谈论你的工作,会不会很奇怪?谈论它会沉船。期待社交媒体间谍活动,包括工业和民族国家间谍活动。5.先进的持续性威胁当谈到民族国家的敌人时,您的企业就有了。如果多个apt在您的公司网络上玩捉迷藏,请不要感到惊讶。如果你在任何地方做一些对某人来说真的很有趣的事情,你需要考虑你的安全态势以应对复杂的apt。这一点在技术领域表现得最为明显,这是一个富含宝贵知识产权的行业,许多犯罪分子和国家会毫不犹豫地窃取这些财产。网络安全职业实施强大的网络安全战略需要您拥有合适的人员。从高层到一线安全工程师,对专业网络安全人员的需求从未如此之高。随着保护企业数据成为一项关键业务任务,安全领导者已悄悄进入最高管理层和董事会。首席安全官(CSO)或首席信息安全官(CISO)现在是任何严肃企业都必须具备的核心管理职位。角色也变得更加专业化。通才证券分析师的时代正在迅速消退。今天,渗透测试人员可能专注于应用程序安全、网络安全或网络钓鱼用户来测试安全意识。事件响应可能是24/7随叫随到。以下角色是任何安全团队的基本配置。1.CISO/SchemaCISO是负责监督组织IT安全部门和相关人员运作的C级主管。CISO指导和管理政策、运营和预算,以保护组织的信息资产。2.安全分析师也称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师,该角色通常具有以下职责:规划、实施和升级安全措施和控制;保护数字文件和信息系统免遭未经授权的访问、修改或破坏;维护数据并监控安全访问;进行内部和外部安全审计;管理网络、入侵检测和预防系统;分析安全漏洞以确定其根本原因;定义、实施和维护公司安全政策;与外部供应商协调安全计划;3.安全架构师一个好的信息安全架构师跨越业务和技术领域。虽然不同行业的角色可能在细节上有所不同,但高管的角色负责规划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这需要对业务、其技术和信息需求有透彻的了解。4.安全工程师安全工程师处于保护公司资产免受威胁的第一线。这项工作需要很强的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位。它的重点是IT基础设施的质量控制。这包括设计、构建和保护可扩展、安全和健壮的系统;负责运营数据中心系统和网络;协助组织了解高级网络威胁;并帮助制定保护这些网络的战略。
