首席安全官(以及首席信息官和首席信息安全官)如今从未如此艰难。他们不仅要承担传统安全责任,例如保护企业有形资产的日常运营和危机管理,而且现在必须在比以往任何时候都危险的网络安全威胁环境下完成。
以勒索软件为例,它首次出现在1989年。当时传播的AIDS木马是由生物学家Joseph L.Popp创建的,他向世界卫生组织艾滋病会议的与会者分发了20000张受感染的软盘。收件人重新启动90次后,该病毒会加密C盘驱动器,并要求受害者通过邮政信函将189美元寄送给PC Cyborg公司。但他使用的这种简单加密方法意味着很多受害者无需支付赎金即可轻松恢复内容。
快进到今天,勒索软件已经成为企业必须应对的最大网络安全威胁之一,因为它变得更加复杂。它通过互联网和专用网络高速分发,并使用军用级加密措施。更糟糕的是,如今的威胁行为者要求受害方支付数百万美元的赎金,预计勒索软件今年将给企业造成约200亿美元的损失,到2031年将超过2650亿美元。具有讽刺意味的是,在今年,迄今为止最大的勒索软件支出来自保险机构CAN Financial公司,该公司以销售网络保险而闻名,并在2021年3月为一次勒索软件攻击支付了4000万美元。
勒索软件只是企业必须应对的众多威胁之一。还有分布式拒绝服务(DDoS)攻击和中间人(MitM)攻击、社交工程、内部威胁、恶意软件或勒索软件、间谍软件、密码攻击、高级持续威胁(APT),这些只是最常见的网络安全威胁。
那么,首席安全官可以做什么?企业在不久的未来将面临大量网络安全威胁,以下是使企业及其工作更安全的七种策略:
1. 营造“安全优先”文化
首席安全官面临的问题是,虽然大多数员工对网络安全最佳实践有一些基本的了解,但如果没有持续的安全培训、知识测试和意识,员工行为是企业面临的最大安全风险之一。
调研机构埃森哲公司的一项研究表明,在整个职业生涯中,只有不到一半的新员工接受网络安全培训和定期更新;只有五分之二的受访者表示内部威胁计划是重中之重;尽管近四分之三的受访者认为,网络安全人员和活动需要分散在整个组织中,但网络安全应该是企业的集中职能。
企业需要通过彻底重新设计员工行为来创建强大的分布式数字免疫系统。商业领袖需要对安全负责。安全团队需要与业务负责人合作,创建和实施切实可行的安全策略,并且需要定期重新评估和测试这些策略。
2. 制定持续的安全教育计划,让员工了解最新情况
“安全优先”文化要求企业的所有成员都理解网络安全威胁的概念,但要使这种理解真正产生影响,必须定期培训员工以确保他们的知识是最新的。
3. 实施组织范围的零信任模型
训练有素的员工和受监控的环境对于任何企业的成功保护都至关重要,但如果没有基本的零信任环境,防御本质上将是薄弱的。
零信任模型是一种防止网络安全威胁的策略,所有政府和企业都应该使用它来保护其网络。它由四个部分组成:
- 网络流量控制:将网络设计为具有微分段和微边界可以确保网络流量受到限制,并限制过于广泛的用户权限的影响,目标是仅允许尽可能多的网络访问服务完成工作。超过最低限度的任何事情都是潜在的威胁。特别是,微边界和完整的流量可见性将有助于检测企业内的横向移动和系统感染,并有助于限制对小范围网络的破坏。
- 检测:深入监控网络流量以及综合分析和响应自动化的能力可提供快速有效的事件。
- 多供应商网络集成:真正的网络不限于单个供应商,即使它们可以,仍然需要额外的工具来提供单个供应商不会提供的功能。目标是让所有多供应商网络组件尽可能无缝地协同工作,以实现合规性和统一的网络安全。这是一个非常困难和复杂的项目,但随着网络的发展,牢记这一战略目标将使结果更有效地维护强大的安全性。
- 监控:确保全面、集中地了解用户、设备、数据、网络和工作流。这还包括对所有加密的可见性。
零信任模型的核心是不信任网络上的任何人或任何事物。这意味着在网络不确切知道该实体是谁或该实体是什么的情况下,永远不会向任何人或任何事物授予网络访问权限。此外,在整个网络的多个点使用微边界和监控访问可以确保未经授权的用户不会在网络中横向移动。为了让零信任模型发挥作用,需要进行深入的流量检查和分析,以识别网络安全威胁,并填补零信任模型中的基本盲点。
4. 实施SSL可见性-“中断并检查”
监控零信任模型实施的关键是使用TLS/SSL检查解决方案来解密和分析加密的网络流量,以确保政策合规性和隐私标准。
TLS/SSL检查,也称为“中断和检查”,允许检测和删除恶意软件负载和可疑网络通信,防止泄露受控数据,例如信用卡和社会保险号码,并使零信任模型做它应该做的事情——为网络提供深入而严格的保护,免受内部和外部威胁。
如果企业尚未采用结合深度TLS/SSL流量检查的零信任策略,现在是开始重新考虑安全态势的时候了,因为每天都会出现更多的威胁参与者,包括一些政府和拥有更高技能和资源的黑客。
5. 定期检查和测试分布式拒绝服务攻击
针对预期配置和性能标准清单的常规测试以及安全完整性的随机测试对于检测分布式拒绝服务攻击至关重要。此外,企业的解决方案必须查看所有测试场景并进行日志记录,以验证其检测和日志记录是否按预期运行。
网络性能测试应该至少每天执行一次,因为分布式拒绝服务攻击并不总是全面攻击;它也可以是旨在减少但不删除连接的低容量攻击。
6. 确保使用SSL/TLS加密保护所有入站和出站网络流量
当用户的计算机通过互联网连接到资源时,SSL/TLS会创建一个安全通道。这包括三个组成部分:加密、身份验证和完整性验证。加密隐藏了试图窃听的第三方的数据通信,身份验证确保交换信息的各方是他们声称的身份,并确保数据没有受到损害。
如果允许不安全的流量,则必须将其限制在特定的安全网段并受到严密监控。
7. 建立灾难恢复计划和验证测试
灾难恢复计划的一个关键部分涉及备份。然而,令人惊讶的是,在实际情况下,从备份系统中恢复的性能往往不如预期。例如,了解哪些数字资产包括在备份中,哪些不包括在备份中,以及恢复内容需要多长时间,这一点很重要。此外,计划资源恢复的顺序以及启动窗口是什么也很重要。
备份测试也应该是一项例行的IT任务,通过特定的验证检查来确保恢复是可能的。
结语
首席安全官的工作并没有变得更容易,但使用这七种策略的可靠规划将有助于确保企业的数字安全。此外,与顶级企业安全供应商合作有助于确保关键安全技术和最佳实践是企业网络安全战略的核心。