什么是網(wǎng)絡安全?如何構建網(wǎng)絡安全戰(zhàn)略
2018年05月04日
如今,組織的信息系統(tǒng)和數(shù)據(jù)面臨著許多威脅����。而人們了解網(wǎng)絡安全的所有基本要素是應對這些威脅的第一步��。
網(wǎng)絡安全是確保信息完整性����、機密性和可用性(ICA)的做法�����。它代表了應對硬盤故障���、斷電事故,以及來自黑客或競爭對手攻擊等防御和恢復能力����。而后者包括從編程人員到能夠執(zhí)行高級持續(xù)威脅(APT)的黑客和犯罪集團的所有人,并且它們對企業(yè)的信息安全和業(yè)務構成嚴重威脅��。因此�����,企業(yè)的業(yè)務連續(xù)性和災難恢復規(guī)劃對于網(wǎng)絡安全至關重要�����,例如應用程序和網(wǎng)絡安全。
安全應該成為企業(yè)的頭等大事����,并得到高級管理層的授權。人們所在的信息世界的脆弱性也需要強大的網(wǎng)絡安全控制��。企業(yè)的管理者很清楚所有系統(tǒng)都是按照某些安全標準建立的��,而且員工受過適當?shù)呐嘤?����。例如��,所有代碼都會有一些Bug��,其中一些Bug是安全漏洞�。畢竟,開發(fā)人員也會犯錯�。
一、安全培訓
工作人員一直是企業(yè)的網(wǎng)絡安全計劃中最薄弱的部分��。培訓開發(fā)人員進行安全編碼,培訓操作人員考慮強大的安全態(tài)勢��,培訓最終用戶發(fā)現(xiàn)網(wǎng)絡釣魚郵件和社交工程攻擊�����,而實現(xiàn)網(wǎng)絡安全始于安全意識����。
即使采取強有力的控制措施,所有企業(yè)都會遇到某種網(wǎng)絡攻擊����。攻擊者總是會利用最薄弱的環(huán)節(jié),而企業(yè)可以通過執(zhí)行基本的安全任務(有時稱為“網(wǎng)絡衛(wèi)生”)��,很容易防止許多攻擊���。就像外科醫(yī)生在清洗雙手的情況下進入手術室一樣。同樣���,企業(yè)有責任執(zhí)行網(wǎng)絡安全護理的基本要素����,例如保持強大的身份驗證實踐,并且不將敏感數(shù)據(jù)存儲在可以公開訪問的位置���。
不過��,良好的網(wǎng)絡安全策略會超越這些基礎��。復雜的黑客可以規(guī)避大多數(shù)安全防御措施����,其攻擊面(攻擊者獲得進入系統(tǒng)的方式或“載體”的數(shù)量)正在擴展到大多數(shù)公司����。例如,信息技術和現(xiàn)實世界正在融合���,網(wǎng)絡罪犯和間諜如今開始威脅到汽車�、發(fā)電廠���、醫(yī)療設備等物聯(lián)網(wǎng)系統(tǒng)���。同樣,在采用云計算的趨勢下����,在工作場所自攜設備(BYOD)策略以及快速發(fā)展的物聯(lián)網(wǎng)(IoT)帶來了新的挑戰(zhàn)����。捍衛(wèi)這些物聯(lián)網(wǎng)系統(tǒng)從未如此重要�。
網(wǎng)絡安全圍繞著消費者隱私的監(jiān)管環(huán)境已經(jīng)進一步復雜化。遵守歐盟通用數(shù)據(jù)保護條例(GDPR)等嚴格的監(jiān)管框架也需要新的角色�,以確保企業(yè)符合GDPR和其他法規(guī)的隱私和安全要求。
其結(jié)果是企業(yè)對網(wǎng)絡安全專業(yè)人員的需求不斷增長�����,招聘人員努力填補合格人選的空缺����。這種斗爭要求組織重點關注一些風險最大的領域。
二����、網(wǎng)絡安全的類型
網(wǎng)絡安全的范圍很廣,而采用良好的網(wǎng)絡安全戰(zhàn)略的企業(yè)都應該考慮到這一點�����。其核心領域如下所述:
1. 關鍵基礎設施
關鍵基礎設施包括人們所依賴的網(wǎng)絡物理系統(tǒng)���,其中包括電網(wǎng)��、供水�����、交通信號燈和醫(yī)院�。例如��,將電廠連入互聯(lián)網(wǎng)�,其容易受到網(wǎng)絡攻擊。負責關鍵基礎設施的組織的解決方案是企業(yè)需要執(zhí)行盡職調(diào)查�����,以了解漏洞并進行防范���。而其他組織都應該評估他們所依賴的關鍵基礎設施的攻擊將會如何影響他們的運營的情況�,然后制定應急計劃����。
2. 網(wǎng)絡安全
網(wǎng)絡安全防范未經(jīng)授權的入侵以及具有惡意的內(nèi)部人員。企業(yè)確保網(wǎng)絡安全通常需要權衡���。例如�,采用訪問控制(如額外登錄)措施可能是必要的,但會降低生產(chǎn)力����。
用于監(jiān)控網(wǎng)絡安全的工具會生成大量數(shù)據(jù),這通常會漏掉有效警報����。為了更好地管理網(wǎng)絡安全監(jiān)控,企業(yè)的安全團隊越來越多地使用機器學習來實時標識異常流量�����,并警告威脅����。
3. 云安全
企業(yè)遷移到云中會帶來新的安全挑戰(zhàn)。例如�����,2017年幾乎每周都有數(shù)據(jù)泄露來自配置不當?shù)脑朴嬎銓嵗?����。云計算提供商正在?chuàng)建新的安全工具,來幫助企業(yè)用戶更好地保護他們的數(shù)據(jù)��,但底線仍然是:在網(wǎng)絡安全方面��,遷移到云端并不是企業(yè)執(zhí)行盡職調(diào)查的靈丹妙藥����。
4. 應用安全
應用程序安全性(AppSec)���,尤其是Web應用程序安全性已成為最薄弱的技術攻擊點�,但很少有組織能夠很好防御和應對所有OWASP十大Web漏洞�。AppSec從安全編碼實踐開始,應該通過模糊和滲透測試來增強����。
快速應用程序開發(fā)和部署到云已經(jīng)看到DeVOPS作為一門新學科的出現(xiàn)。DeVOPS團隊通常將業(yè)務需求置于安全之上�,而隨著威脅的擴散,這種需求很可能會發(fā)生變化�����。
5. 物聯(lián)網(wǎng)(IoT)安全
物聯(lián)網(wǎng)指的是各種關鍵和非關鍵的網(wǎng)絡物理系統(tǒng)����,如設備�����、傳感器���、打印機和安全攝像頭。物聯(lián)網(wǎng)設備經(jīng)常處于不安全狀態(tài)��,幾乎不會提供安全補丁��,不僅會對用戶造成威脅�,還會給互聯(lián)網(wǎng)上的其他用戶造成威脅,因為這些設備經(jīng)常被發(fā)現(xiàn)是僵尸網(wǎng)絡的一部分�。這給家庭用戶和社會帶來了獨特的安全挑戰(zhàn)。
三�����、網(wǎng)絡威脅的類型
常見的網(wǎng)絡威脅分為三大類:
對保密信息的攻擊:竊取或抄襲目標的個人信息是從網(wǎng)絡攻擊開始的����,其中包括諸如信用卡詐騙、身份盜用��、盜取比特幣錢包等各種各樣的犯罪攻擊。一些間諜使保密攻擊成為他們工作的主要部分�����,尋求獲取政治���、軍事或經(jīng)濟收益的機密信息。
對完整性的攻擊:完整性攻擊是損壞�、破壞或摧毀信息或系統(tǒng)。完整性攻擊是對目標進行破壞和毀滅的破壞活動���。攻擊人員的范圍從編程人員到一些惡意攻擊者����。
對可用性的攻擊:阻止目標訪問其數(shù)據(jù)是當今以勒索軟件和拒絕服務攻擊形式出現(xiàn)的最常見現(xiàn)象�����。勒索軟件加密被攻擊目標的數(shù)據(jù)��,并要求對方支付贖金����。拒絕服務攻擊(通常以分布式拒絕服務(DDoS)攻擊的形式)通過請求淹沒網(wǎng)絡資源�,使其不可用�。
以下描述了這些攻擊的執(zhí)行方式:
1. 社交工程
攻擊者并不攻擊計算機,而是讓個人用戶遭受損失���。用于傳播勒索軟件的社交工程惡意軟件是第一種攻擊方式(不是緩沖區(qū)溢出�、錯誤配置或高級漏洞攻擊)�。最終用戶被欺騙運行特洛伊木馬程序,通常來自他們信任并經(jīng)常訪問的網(wǎng)站���。而持續(xù)開展安全教育是對付這種攻擊的最佳對策�。
2. 網(wǎng)絡釣魚攻擊
有時竊取密碼的最佳方式是誘使人們泄露密碼�。這說明網(wǎng)絡釣魚取得了驚人的成功。即使是在安全方面訓練有素的用戶也可能受到網(wǎng)絡釣魚的攻擊���。這就是為什么最好的防御是采用雙因素身份驗證(2FA)的原因����,這樣即使密碼被盜對于沒有第二個因素驗證的攻擊者來說毫無價值�,例如硬件安全令牌或用戶手機上的軟件令牌驗證器應用程序。
3. 軟件未打補丁
如果攻擊者對組織實施零日攻擊�����,那么很難責怪企業(yè)沒有實施安全措施,但是補丁失敗看起來就像是沒有執(zhí)行盡職調(diào)查�����。如果披露漏洞之后持續(xù)數(shù)月甚至數(shù)年�,并且企業(yè)還沒有應用安全補丁程序,那么就會面臨風險���。因此,軟件及時更新補丁很重要�����。
4. 社交媒體威脅
那些可信的傀儡賬號可以通過LinkedIn網(wǎng)絡蠕蟲來創(chuàng)建����。如果有人知道了解人們的工作內(nèi)容,會覺得這很奇怪嗎?預計社交媒體的攻擊活動將會越來越頻繁��。
5. 高級持續(xù)威脅
如果有多個高級持續(xù)性威脅(APT)攻擊和入侵企業(yè)的網(wǎng)絡���,不要感到驚訝�����。企業(yè)需要考慮其安全狀況與復雜的高級持續(xù)性威脅(APT)����。這一點比技術領域更為真實,這是一個擁有豐富知識產(chǎn)權的行業(yè)��,許多犯罪分子和國家對于竊取信息不會有所顧忌�����。
四���、網(wǎng)絡安全職業(yè)
執(zhí)行強大的網(wǎng)絡安全策略要求企業(yè)擁有合適的人員�����。從高級管理人員到一線安全工程師�����,企業(yè)專業(yè)網(wǎng)絡安全人員的需求越來越高���。由于保護企業(yè)數(shù)據(jù)成為組織的關鍵任務���,網(wǎng)絡安全領導者已經(jīng)成為企業(yè)高管層和董事會的一員。首席安全官(CSO)或首席信息安全官(CISO)現(xiàn)在是組織必須具備的核心管理職位���。
其角色也變得更加專業(yè)化�����。通用安全分析師正在迅速消逝�。如今����,安全測試人員可能會將重點放在應用程序安全性或網(wǎng)絡安全性,或者網(wǎng)絡釣魚用戶測試安全意識���。事件響應可能會在全天候通話。
以下角色是企業(yè)安全團隊的基礎構成:
1. 首席信息安全官(CISO)/首席安全官(CSO)
首席信息安全官(CISO)是企業(yè)主管級的管理人員�,負責監(jiān)督組織IT安全部門和相關人員的運營。首席信息安全官(CISO)負責指導和管理戰(zhàn)略�����、運營和預算����,以保護組織的信息資產(chǎn)��。
2. 安全分析師
安全分析師也稱為網(wǎng)絡安全分析師����、數(shù)據(jù)安全分析師�����、信息系統(tǒng)安全分析師或IT安全分析師��,這個角色通常具有以下責任:
規(guī)劃���、實施和升級安全措施和控制
保護數(shù)字文件和信息系統(tǒng)免受未經(jīng)授權的訪問����、修改或破壞
維護數(shù)據(jù)并監(jiān)視安全訪問
進行內(nèi)部和外部安全審計
管理網(wǎng)絡���,入侵檢測和預防系統(tǒng)
分析安全漏洞以確定其根本原因
定義����、實施和維護企業(yè)安全策略
與外部供應商協(xié)調(diào)安全計劃
3. 安全架構師
一位優(yōu)秀的信息安全架構師橫跨業(yè)務和技術領域���。雖然行業(yè)內(nèi)的角色可能會有所不同����,但通常是負責規(guī)劃、分析�、設計、配置����、測試、實施���、維護�,以及支持組織的計算機和網(wǎng)絡安全基礎設施的高級員工����,其角色可能會有所不同。這就要求企業(yè)全面了解其技術和信息需求���。
4. 安全工程師
安全工程師位于保護企業(yè)資產(chǎn)免受威脅的一線。這項工作需要強大的技術�、組織和溝通技巧。IT安全工程師是一個相對較新的職位�。其重點在于IT基礎設施內(nèi)的質(zhì)量控制�。這包括設計��、構建和維護可擴展����、安全和可靠的系統(tǒng),致力于運營數(shù)據(jù)中心系統(tǒng)和網(wǎng)絡���,幫助企業(yè)理解先進的網(wǎng)絡威脅����,并幫助制定戰(zhàn)略來保護這些網(wǎng)絡����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全、運維平臺建設���、動漫設計����、軟件研發(fā)����、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”��、“制度流程”���、“技術產(chǎn)品”三個視角提供全面���、可信的方案,業(yè)務涵蓋咨詢�����、評估��、規(guī)劃��、管控���、建設��、培訓等���。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。
