2018年網(wǎng)絡(luò)安全:需要解決三個問題
2018年03月01日
盡管網(wǎng)絡(luò)攻擊的威脅對人類來說是否比核戰(zhàn)爭的威脅還要大,這并不能確定�,但網(wǎng)絡(luò)肯定比以往更加脆弱。美國聯(lián)邦調(diào)查局的調(diào)查報告表明����,每天都在發(fā)生4,000多起勒索軟件攻擊。而其他調(diào)查研究發(fā)現(xiàn)���,每天都會產(chǎn)生23萬個新的惡意軟件樣本����。
鑒于當今網(wǎng)絡(luò)中的威脅數(shù)量和種類繁多����,IT安全團隊往往難以確定優(yōu)先事項。最佳實踐并不是查找和應(yīng)對每一個令人關(guān)注的新威脅���,而是讓組織更加安全地運營業(yè)務(wù)��。以下是人們需要面對的兩個基礎(chǔ)設(shè)施問題和即將實施的新法規(guī)�,以及這兩個問題將如何影響法規(guī)的遵從��。
1. 改變靜態(tài)安全
雖然很多技術(shù)正在以閃電般的速度發(fā)生變化�����,但也有一些仍然停滯不前����。靜態(tài)安全措施(如密碼和保險庫)不會隨著當今業(yè)務(wù)的速度而相應(yīng)改善,并且安全性不足��。
網(wǎng)絡(luò)犯罪分子將繼續(xù)發(fā)起針對靜態(tài)安全的攻擊��,因為這很容易獲利����。在這個沒有邊界的新型網(wǎng)絡(luò)世界中,企業(yè)必須將其更多的資金花費在其基礎(chǔ)設(shè)施上��,以保護他們的數(shù)據(jù)安全�����。并且在操作系統(tǒng)下進行操作����,在基礎(chǔ)上構(gòu)建帶有元素證書、SSH密鑰����、PAM和其他元素的安全性。
2. 確保特權(quán)訪問管理(PAM)
針對敏感數(shù)據(jù)的特權(quán)訪問管理(PAM)由于其關(guān)鍵性質(zhì)已經(jīng)成為商業(yè)和企業(yè)管理人員關(guān)注的話題����,而在這一領(lǐng)域的失敗可能是災(zāi)難性的����?����;赟SH用戶密鑰的訪問被稱為合規(guī)性的陰暗面���,具有更高的風險,因為在開展業(yè)務(wù)時是一種不受控制和非托管的訪問��。組織在評估安全性時必須考慮使用SSH訪問權(quán)限����,因為它提供最高級別的訪問權(quán)限,但很少(如果有的話)受到監(jiān)視�。
在網(wǎng)絡(luò)安全研究所的調(diào)查中,61%的受訪者表示不會限制或監(jiān)控管理SSH管理人員的數(shù)量����。此外,90%的受訪者表示����,缺乏完整和準確的所有SSH密鑰清單����。因此��,他們無法判斷密鑰是否被盜或濫用�,或者應(yīng)該是否被信任。
如今��,企業(yè)的業(yè)務(wù)向云計算的過渡正在全面展開���,不能允許存在這些安全隱患����。云計算應(yīng)用程序具有彈性���、可伸縮性和動態(tài)性����,而傳統(tǒng)特權(quán)訪問管理(PAM)是為小型環(huán)境中的靜態(tài)物理服務(wù)器設(shè)計的����。但是與密碼和其他靜態(tài)安全措施一樣,靜態(tài)特權(quán)訪問管理(PAM)也無法完成任務(wù)。傳統(tǒng)特權(quán)訪問管理(PAM)不能提供云計算所需的敏捷性����,并且不能很好地處理彈性服務(wù)。事實上�����,它甚至不能很好地處理傳統(tǒng)基礎(chǔ)設(shè)施的業(yè)務(wù)����,這使得項目變得更加復(fù)雜和昂貴���。
大部分情況就是這樣��。一種新的特權(quán)訪問管理(PAM)解決了這些問題�。它不需要服務(wù)器上的永久訪問憑據(jù)�,只使用按需創(chuàng)建的短期臨時憑證。其沒有密碼可循環(huán)使用����,不需要儲存它們的數(shù)據(jù)庫,也沒有必要在服務(wù)器上安裝和打補丁的軟件�。這種方法提供了一個非常快速和直接的部署項目���,具有無限的可擴展性�。
3. 遵從一般數(shù)據(jù)保護條例(GDPR)
歐盟發(fā)布的一般數(shù)據(jù)保護條例(GDPR)將在今年五月正式實施,這個具有國際影響的法規(guī)將對歐盟和能夠獲取歐洲公民敏感數(shù)據(jù)的國際公司產(chǎn)生重大影響�����。 GDPR與美國48個州頒布的美國安全違規(guī)立法類似����。組織必須在運營業(yè)務(wù)時考慮所有敏感數(shù)據(jù)和授予的訪問權(quán)限。
同時�,它擴展了敏感數(shù)據(jù)的定義,其中包含在線標識符�����,例如IP地址或Cookie�����。GDPR適用于任何擁有超過250名員工的擁有歐盟公民個人數(shù)據(jù)的組織����,無論其組織是在歐盟境內(nèi)還是歐盟公民,都應(yīng)遵從。這標志著美國公司不得不遵守歐盟法規(guī)(而不是指令)�。此外,對違規(guī)行為的罰金也很高:高達2000萬歐元或組織全球年營業(yè)額的4%(以較高者為準)�����。
當組織試圖向客戶保證他們的數(shù)據(jù)安全時���,他們將需要在自己的網(wǎng)站上放置GDPR合規(guī)語言����。這只是GDPR產(chǎn)生的許多變化之一�����。但是�,企業(yè)的更大轉(zhuǎn)變將需要深入了解他們的流程以遵守這一規(guī)定��。他們需要了解可以訪問敏感數(shù)據(jù)的人員���,這樣的過程在以往很少見�。
關(guān)注重要的事情
面對需要改變的特權(quán)訪問和安全方法��,以及具有深遠影響力的新監(jiān)管法規(guī),組織需要認真對待其安全和合規(guī)措施�����。他們是否一貫執(zhí)行政策?這些政策有效嗎?
因此�,2018年的基礎(chǔ)網(wǎng)絡(luò)安全主題是對受保護數(shù)據(jù)可信訪問的治理。如今�,已進入2018年,盡早解決這些風險至關(guān)重要���。組織必須對其受保護數(shù)據(jù)完全負責:誰可以訪問我的數(shù)據(jù)?我的數(shù)據(jù)在哪里?哪些法律法規(guī)影響我的合規(guī)計劃?
也許沃倫·巴菲特(Warren Buffet)在這方面的描述是對的:發(fā)生核戰(zhàn)爭的威脅遠遠小于數(shù)據(jù)泄露�����。企業(yè)不會為核戰(zhàn)爭召開會議����,但是如果企業(yè)董事會成員發(fā)現(xiàn)PAM的已知和受管制問題沒有得到解決����,那么可能會十分關(guān)注。由于網(wǎng)絡(luò)現(xiàn)在沒有邊界����,因此在核心層控制對網(wǎng)絡(luò)的訪問至關(guān)重要�����。最后����,希望企業(yè)加強對安全和合規(guī)性的認識����,以創(chuàng)造一個更安全、更美好的未來���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運維平臺建設(shè)�、動漫設(shè)計����、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面���、可信的方案�����,業(yè)務(wù)涵蓋咨詢����、評估���、規(guī)劃��、管控�、建設(shè)�����、培訓(xùn)等��。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
