2020年的网络安全:从安全代码到深度防御
自2014年以来,信息管理协会的权威调查IT趋势研究数据显示,CIO在面对IT管理问题时,已经将网络安全提升至数一数二的位置了。然而,在2013年,同样的调查中,网络安全还只是第七的位置。一年的时间发生了什么?那不得不提的事件应该是臭名昭著的Target数据泄露事件了,该事件直接导致1850万美元的罚款和Target首席执行官的离职。
自那之后发生的一系列的数据泄露事件就像开了阀门的水闸,倾涌而出,Target事件简直是小巫见大巫,不足为奇。这给大家传达了一个信息:年复一年,随着网络威胁事件的数量和严重程度不断攀升,促使企业倒闭的数据泄露风险似乎越来越高。
如今,企业的首席安全官们就像握着这个烫手的山芋一样。有些人被迫采用一种单点解决方案来应对每一个新的威胁,而这种解决方案直接参与了安全软件行业的营销策略。然而,任何组织的网络安全预算都是有限的。CSO如何最有效地分配其安全防御资源?
简单的答案有两个:合理地确定风险的优先级,同时充分利用现有的有效防御措施。在大多数组织中,无可争辩的是未修补的软件和社会工程(包括网络钓鱼)风险最高,其次是密码破解和软件配置错误。减少政策因素和运营障碍,确保及时进行补丁修复,建立有效的安全意识计划,培训操作人员锁定配置并实施两因素身份验证,这样企业将大大降低总体风险。
当然,任何人都可以避免其他重大风险和漏洞。例如,如果是一家电力公司,那么负责人需要了解对关键基础设施针对性很强的威胁,以及如何防御这些威胁。当黑客真正入侵组织系统之后,在系统内部进行身份验证的零信任措施则发挥作用,阻止攻击。
将风险管理日常化
自软盘时代以来,恶意软件和黑客攻击就一直困扰着计算机用户。然而,近几年,又出现了一种新的威胁,创新压力下的技术漏洞。在CIO撰稿人Bob Violino的《安全vs 创新:IT行业最棘手的权衡》文章中就揭示了数据化变革时代的阴暗面,文章的核心观点就是如果以安全和隐私为代价,那么中变革性的创举也将会失败,而且还可能会以惊人的方式失败。所以在创新时也要考虑到安全架构,这样子不但有利于整体创新的成功还会增加最终成果的吸引力。
InfoWorld特约编辑Isaac Sacolick在《如何将安全性引入灵活开发和CI / CD中》一文中从软件开发的角度详细探讨了该主题。开发人员往往会认为安全性不是他们的问题,而是将这个责任推到安全团队身上,而安全团队是在后期才参与到开发过程中来的,因此无法注意到在构建应用程序时,业务流程中存在的漏洞。DevSpsOps是DevOps的产物,这让安全性成为开发人员和操作人员的主要关注点,不仅避免了代码缺陷,而且还使安全测试自动化,并在应用程序投入生产后对其进行监控。
《计算机世界》高级记者Lucas Mearian也在《UEM最终会在漫长的求爱之后嫁给安全》一文中探讨过将安全集成到软件中的话题。过去,使用MDM(移动设备管理),EMM(企业移动管理)或最新版本UEM(统一的端点管理)来管理移动或桌面设备,这与端点安全管理重叠了,但仍需要单独进行。据Lucas说,供应商现在将两者合并在一起,以“提供一个集中化的策略引擎,用单个控制台管理和保护公司的笔记本电脑和移动设备。”在某些情况下,这种发展涉及了机器学习算法,该算法基于一些参数自动为用户分配安全策略,比如地理位置、使用的设备类型以及网络连接是公共的还是私有的等。
然而,尽管有时候新的网络安全技术大张旗鼓地出现,而有些用户仍毫不知情。Network World的撰稿人Zeus Kerravala在《IT专业人员应该了解但可能不知道的5种防火墙功能》中,揭开了现代防火墙的神秘面纱,从网络分段到策略优化再到DNS安全。不费吹灰之力就充分利用了防火墙的功能, Zeus在书中提供了合理、详细的建议。
最后,我们所有人都必须做好准备,抵御当下时代最恶劣的外部威胁——勒索软件。CSO高级作家Lucien Constantin 在《更具针对性、更复杂、更昂贵:为什么勒索软件可能是最大的威胁》一文中警告我们,勒索软件已变得如此隐秘和复杂,可以与高级持续威胁(APT)相媲美。此外,最近的安全事件也证明,勒索软件攻击者的目标已从勒索个体用户转移到了能够提供更多赎金的企业组织。这个问题有多严重?FBI表示,虽然事件数量一直相对平稳,但支出却更高。由于组织不愿报告勒索软件的勒索事件,因此没人真正知道具体情况。
网络安全可能是一门沉闷的科学。随着威胁的增加,甚至民主机构也受到攻击,似乎不仅是制度,而且文明本身也在受到围攻。但是在这种情况下,只能鼓励CSO及其企业组织加倍努力地开发出更为先进的安全防御体系。
2020年将充满风险,每个企业都应该在如何处理这种不确定性以及如何计划保护公司和客户数据方面提前做出信息防护准备。互联网的发展,对网络强国、数字中国、智慧社会、数字经济等国家战略能够发挥支撑和带动作用,信息安全保障需放首位。
(来源:FreeBuf.COM 转载:毕安信息)
毕安信息,全称毕安信息安全技术(上海)有限公司,是一家物联网安全公司。专注于应用软件和硬件安全防护以及整体安全解决方案,主要从事有关物联网安全、互联网安全的软硬件保护、数据加密、安全防范、下一代防火墙技术、防黑客攻击的技术研发工作,致力于向客户提供专业化的网络安全产品和数据安全防护服务。产品包括毕安云盾 I,II,III 型软件产品,以及毕安云盾安全防火墙、堡垒机等专业信息安全防护设备,能满足用户在协同平台、智慧工地、智慧建筑以及智慧城市网络安全和数据安全等业务场景的各类需求。
毕安云盾基于毕安信息云计算基础平台,结合通用规则防御、大数据安全防御和机器学习防御等,保障Web网站免受来自外部的黑客入侵,降低Web网站面临的安全风险,确保Web网站的正常运行。
毕安云盾可以防御OWASP常见的攻击威胁,例如SQL注入、XSS攻击、CSRF攻击、命令注入、非法HTTP协议、路径穿越等攻击。毕安云盾强大的CC防御引擎通过多种算法能有效识别各种CC攻击,并进行拦截阻断,保障Web系统的正常运行。
网络安全的核心是技术安全, 网络安全必须实现关键核心技术自主可控,毕安信息作为国内首先应用“毕安云盾”等信息安全产品于物联网安全、建筑工程信息安全领域的先驱者,将致力于研究、研发全面系统的智慧建筑网络安全、智慧城市网络安全、智慧园区网络安全、智慧工地网络安全、协同平台网络安全的解决方案及信息安全产品,为建筑物联网+互联网全生命周期的安全运营保驾护航!
