从内部设计


每个人都在谈论数字转型和家庭工作的新正常情况,这对一个新的水平来说是可潜在的网络安全威胁。随着网络参数的界限,但消失,攻击的风险大于以往任何时候都大。虽然远程劳动力需要相当大的关注,但要记住随处处发生网络攻击是同样重要的。例如,在1月2021年初,该国最大的无线运营商之一被攻击,当时其物理零售地点的员工被向购物计算机上将软件下载到商店计算机上的个人席卷。在利用员工凭证进入公司的客户关系管理系统之后,从PIN码到信用卡号码,提升了广泛的客户信息。

相似的故事变得越来越普遍,尽管黑客是对企业和政府机构的重大威胁数十年。信息技术的退伍军人将忘记2000年的臭名昭着的MAFIBOY黑客。通过一系列分布式拒绝服务(DDOS)攻击,该网站或应用程序与服务器无法跟上的许多请求,15年 -老迈克尔卡锡能够关闭e *贸易,戴尔,亚马逊,cnn和雅虎的网站。随着数字的一切都朝向数字,看到这项活动升级并不令人惊讶,特别是由于公司急于为客户加速时间价值并使自己的服务更可扩展和可访问。与此同时,企业威胁景观已经变得越来越动态,膨胀,流畅,使传统的安全模型和控制措施更加难以防御漏洞。

通过设计嵌入安全性

虽然戒指等传统方法仍然需要,但他们对今天的企业来说还不够。预防核心是通过设计嵌入安全性的。换句话说,安全必须集成到软件开发,云基础架构和业务系统中,首先使用数据策略开始。不再被视为业务处理的副产品,数据是一种能够决策的关键资产。因此,数据策略必须远远超过地址存储。它应该从识别企业数据资产开始,然后建立一套常见的目标和目标,以确保如何安全地存储,配置,处理和治理 - 所有这些都是核心归零方法的核心。

零信任网络也被称为零信任架构,是2010年创建的模型,由Forrester Research分析师John Kindervag认识到,随着数据的增长,董事会的组织的安全威胁所以。从那时起,国家标准和技术研究所(NIST)制定了一个免费的网络安全框架,类似于Windervag的型号,帮助组织不仅制定对网络安全风险的共同理解,而且还通过定制措施减少它们。Created in 2014 with input from private-sector and government experts, the framework (ratified as a NIST responsibility in the Cybersecurity Enhancement Act of 2014) was used by 30% of U.S. organizations in 2015 and was projected by Gartner to rise to 50% by 2020.

为了充分利用这种网络安全框架,建议组织采取多个步骤来对数据进行分类并了解其核心资产,使其与其监管要求对齐,强制执行最小特权,定义和层控件的原则来验证每个点,并定义如何观察事件。

是否是客户,合作伙伴或员工,能够以始终如一的方式识别最终用户,这是保护组织的最基本的控制之一。特别是对于正在增加新用户的不断增长的公司,当大多数现代系统涉及来自不同协议,联合属性和身份映射的多个来源的事实中,这可能会越来越难以管理。

特定于云的策略

由于大多数数据现在在云中生存,因此具有特定于云的数据安全策略至关重要。这首先从数据分类开始,并考虑所有弹性和敏捷的访问语义。下一步是仔细查看加密策略 - 在休息,在使用中,在使用中以及在传输中 - 并确保据了解键如何管理和刷新。最后但并非最不重要的是,必须有一个强大的灾难恢复计划。

这不能夸大:最有效的网络安全策略是一个被归档为企业的数字生态系统的战略,包括积极主动(令人反感的安全性)和反应(防守安全)措施。

冒险成2021年没有危险。但是,随着对威胁景观和零信任架构的敏锐意识,组织不太可能成为另一个统计数据,更有可能获得竞争优势。