2019年12項(xiàng)優(yōu)秀網(wǎng)絡(luò)安全實(shí)踐
你的敏感資料是否安全?
這并不夸張:任何公司都可能成為網(wǎng)絡(luò)犯罪的受害者。有關(guān)網(wǎng)絡(luò)攻擊的報(bào)告來自政府機(jī)構(gòu)、教育和醫(yī)療機(jī)構(gòu)、銀行、律師事務(wù)所、非營利組織和許多其他組織。
黑客、內(nèi)部威脅、勒索軟件和其他危險(xiǎn)都存在。
聰明的企業(yè)正在加大對網(wǎng)絡(luò)安全的投資,以消除風(fēng)險(xiǎn),確保敏感數(shù)據(jù)的安全,這已經(jīng)帶來了首批成果。請看下面的信息圖表,了解網(wǎng)絡(luò)安全的新趨勢。
接下來的問題是:作為一名企業(yè)主,在2019年我能做些什么來保護(hù)我的數(shù)據(jù)?
上圖顯示,在政府機(jī)構(gòu)和企業(yè)都開始加大對網(wǎng)絡(luò)安全的投資的同時(shí),數(shù)據(jù)泄露的數(shù)量顯著下降。
不知道從哪里開始加強(qiáng)你的網(wǎng)絡(luò)安全政策?我們準(zhǔn)備告訴你網(wǎng)絡(luò)安全的趨勢和新的技術(shù)。
以下是我們2019年的IT安全優(yōu)秀實(shí)踐清單:
1. 考慮生物安全
生物識(shí)別技術(shù)確保了快速認(rèn)證、安全訪問管理和精確的員工監(jiān)控。
在提供對有價(jià)值資產(chǎn)的訪問之前,驗(yàn)證用戶的身份對企業(yè)來說至關(guān)重要。語音識(shí)別、指紋掃描、手掌生物識(shí)別、面部識(shí)別、行為生物識(shí)別和步態(tài)分析是識(shí)別用戶是否是他們自稱的人的完美選擇。
使用生物識(shí)別技術(shù)提供了比密碼和短信驗(yàn)證更安全的身份驗(yàn)證。這就是為什么生物識(shí)別技術(shù)已經(jīng)成為多因素認(rèn)證的重要組成部分。
然而,身份驗(yàn)證并不是生物識(shí)別的唯一用途。安全人員受益于各種生物識(shí)別驅(qū)動(dòng)的工具,這些工具允許他們實(shí)時(shí)檢測受損的特權(quán)帳戶。
行為生物學(xué)分析用戶與輸入設(shè)備交互的方式。如果檢測到異常行為,工具會(huì)向安全人員發(fā)送警告,以便他們能夠立即做出反應(yīng)。
以下是用戶和實(shí)體行為分析(UEBA)系統(tǒng)可以使用的幾種行為生物識(shí)別技術(shù):
- 擊鍵動(dòng)態(tài)——考慮打字速度和在某些單詞中出現(xiàn)典型錯(cuò)誤的傾向,以創(chuàng)建用戶行為概要文件
- 鼠標(biāo)動(dòng)態(tài)—跟蹤鼠標(biāo)點(diǎn)擊和鼠標(biāo)移動(dòng)速度、節(jié)奏和樣式之間的時(shí)間間隔
- 眼動(dòng)生物測定-使用眼睛和注視跟蹤設(shè)備來記錄眼睛運(yùn)動(dòng)的視頻和檢測獨(dú)特的模式
market sandmarkets對2018年的預(yù)測顯示,到2023年,生物識(shí)別市場將從2018年的168億美元增長到418億美元。因此,請密切關(guān)注生物特征安全技術(shù),并為您的用例選擇優(yōu)秀技術(shù)。
2. 形成分級的網(wǎng)絡(luò)安全政策
為什么書面的網(wǎng)絡(luò)安全政策如此重要?
首先,書面政策作為貴公司所有網(wǎng)絡(luò)安全措施的正式指南。
它允許您的安全專家和員工處于同一頁面,并為您提供了一種強(qiáng)制執(zhí)行保護(hù)數(shù)據(jù)的規(guī)則的方法。然而,每個(gè)部門的工作流程可能是獨(dú)特的,而且很容易被不必要的網(wǎng)絡(luò)安全措施打亂。
雖然集中式安全策略作為整個(gè)公司的基本方針是有益的,但它不應(yīng)該覆蓋每個(gè)部門的每個(gè)流程。相反,允許您的部門基于中央策略創(chuàng)建自己的安全策略。
以這種分層的方式確定安全策略有很多好處。通過這樣做,您可以考慮每個(gè)部門的需求,并確保他們的工作流和您的底線不會(huì)在安全的名義下受到損害。
伊利諾伊州政府網(wǎng)站提供了一個(gè)很好的網(wǎng)絡(luò)安全政策模板,可以作為你分級管理的起點(diǎn)。
如果您想學(xué)習(xí)如何預(yù)防、檢測和糾正內(nèi)部攻擊,您應(yīng)該考慮構(gòu)建一個(gè)內(nèi)部威脅程序。
3.采用基于風(fēng)險(xiǎn)的安全方法
法規(guī)遵從性不能保護(hù)您的數(shù)據(jù)。
每個(gè)行業(yè)都有其特定的和隱藏的風(fēng)險(xiǎn),因此關(guān)注法規(guī)遵從性和滿足所有標(biāo)準(zhǔn)法規(guī)不足以保護(hù)您的敏感數(shù)據(jù)。
注意你的公司所面臨的風(fēng)險(xiǎn),以及它們?nèi)绾斡绊懩愕牡拙€。這里比較好的工具是全面的風(fēng)險(xiǎn)評估。
以下是風(fēng)險(xiǎn)評估允許你做的一些最重要的事情:
識(shí)別所有有價(jià)值的資產(chǎn),公司當(dāng)前的網(wǎng)絡(luò)安全狀況,明智地管理你的安全策略
適當(dāng)?shù)娘L(fēng)險(xiǎn)評估可以讓你避免許多不愉快的事情,比如因不遵守規(guī)定而被罰款,為潛在的泄漏和違規(guī)行為而付出的補(bǔ)救成本,以及由于流程缺失或效率低下而造成的損失。
找出網(wǎng)絡(luò)安全的薄弱環(huán)節(jié),并做出相應(yīng)的調(diào)整。此外,請密切關(guān)注使用數(shù)據(jù)庫和框架的新黑客技術(shù),例如MITRE ATT&CK for enterprise。
全面的風(fēng)險(xiǎn)評估將幫助您優(yōu)先考慮您的安全措施,并使您的策略以優(yōu)質(zhì)的方式服務(wù)于公司的底線。
您可以在Compliance Forge網(wǎng)站上找到一個(gè)風(fēng)險(xiǎn)評估工作表和評估報(bào)告的實(shí)際示例。如果你需要更多關(guān)于如何在你的公司進(jìn)行風(fēng)險(xiǎn)評估的信息,請查看它。
4. 備份數(shù)據(jù)
定期備份數(shù)據(jù),確保數(shù)據(jù)的安全性。
備份數(shù)據(jù)是近年來越來越重要的信息安全優(yōu)秀實(shí)踐之一。隨著勒索軟件的出現(xiàn),對所有數(shù)據(jù)進(jìn)行完整的、當(dāng)前的備份可能是一種救星。
如何處理備份?您需要確保它們被徹底保護(hù)、加密并經(jīng)常更新。同樣重要的是,將備份任務(wù)分配給幾個(gè)人,以減輕內(nèi)部威脅。
美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)提供了一份文件,詳細(xì)說明了不同的數(shù)據(jù)備份選項(xiàng)。如果你想了解更多關(guān)于這個(gè)話題的信息,你應(yīng)該讀一讀聯(lián)邦調(diào)查局關(guān)于勒索軟件的一篇優(yōu)秀文章。
5. 物聯(lián)網(wǎng)安全管理
今年延續(xù)了2018年以來的趨勢——物聯(lián)網(wǎng)設(shè)備越來越受歡迎。
貝恩公司預(yù)測,物聯(lián)網(wǎng)市場將在2021年增長到約5200億美元。然而,無論我們多么渴望看到新技術(shù),安全總是第一位的。
物聯(lián)網(wǎng)設(shè)備很具挑戰(zhàn)性的地方是它們對敏感信息的訪問。
安全攝像頭、門鈴、智能門鎖、供暖系統(tǒng)、辦公設(shè)備——所有這些你的商業(yè)網(wǎng)絡(luò)的小部件都是潛在的接入點(diǎn)。
例如,一臺(tái)受損的打印機(jī)可以允許惡意行為者查看正在打印或掃描的所有文檔。
以下是一些企業(yè)網(wǎng)絡(luò)安全的優(yōu)秀實(shí)踐:
- 進(jìn)行滲透測試,了解真正的風(fēng)險(xiǎn),并據(jù)此制定安全策略。
- 為靜態(tài)和傳輸中的數(shù)據(jù)提供加密(端到端加密)。
- 確保正確的身份驗(yàn)證只允許到端點(diǎn)的可信連接。
- 不要使用默認(rèn)的硬編碼憑證:通常使用的密碼在互聯(lián)網(wǎng)上很容易找到。
- 購買安全和較新的路由器,并啟用防火墻。
- 開發(fā)一個(gè)可伸縮的安全框架來支持所有物聯(lián)網(wǎng)部署。
- 考慮實(shí)現(xiàn)端點(diǎn)安全解決方案。
6. 使用多因素身份驗(yàn)證
多因素身份驗(yàn)證(MFA)是高級安全策略的必備解決方案。
雖然這是一個(gè)基本的實(shí)現(xiàn),但MFA仍然屬于網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐。它是如此有效,以至于國家網(wǎng)絡(luò)安全聯(lián)盟甚至將MFA加入到其安全意識(shí)和教育運(yùn)動(dòng)中。
MFA通過添加額外的安全層幫助您保護(hù)敏感數(shù)據(jù),使惡意行為者幾乎沒有機(jī)會(huì)像您一樣登錄。
即使惡意行為者擁有您的密碼,他們?nèi)匀恍枰牡诙€(gè)或第三個(gè)身份驗(yàn)證“因素”,例如安全令牌、您的移動(dòng)電話、您的指紋或您的語音。
作為一個(gè)額外的好處,MFA還允許您明確區(qū)分共享帳戶的用戶,從而改進(jìn)訪問控制。
還請閱讀:雙因素身份驗(yàn)證:類別、方法和任務(wù)
7. 處理密碼安全
提到密碼和安全密碼處理的重要性總是值得的。
密碼管理是企業(yè)安全的一個(gè)關(guān)鍵部分,尤其是涉及特權(quán)訪問管理(PAM)時(shí)。特權(quán)帳戶是網(wǎng)絡(luò)罪犯的寶石誰試圖獲得訪問您的敏感數(shù)據(jù)和最有價(jià)值的商業(yè)信息。
確保適當(dāng)安全性的優(yōu)秀方法是使用專用工具,如密碼保險(xiǎn)庫和PAM解決方案。這樣,您可以防止未經(jīng)授權(quán)的用戶訪問特權(quán)帳戶,同時(shí)簡化員工的密碼管理。
網(wǎng)絡(luò)威脅行為者仍然使用密碼噴霧攻擊來竊取敏感信息,擾亂運(yùn)營,損害組織的財(cái)務(wù)和聲譽(yù)。
當(dāng)你為你的員工設(shè)定密碼要求時(shí),以下是你應(yīng)該考慮的主要技巧:
- 為一個(gè)帳戶使用一個(gè)密碼。
- 使用容易記住的短語,而不是由隨機(jī)字符組成的短字符串。
- 使用助記符或其他個(gè)人策略來記住長密碼。
- 無論多么方便,都不能互相共享憑據(jù)。
- 要求員工在一段時(shí)間后更改密碼。
美國國家網(wǎng)絡(luò)安全和通信集成中心(National Cybersecurity and Communications Integration Center)提出了一套選擇和保護(hù)強(qiáng)密碼的建議。如果你想了解更多細(xì)節(jié),可以查看它們。
8. 使用最少特權(quán)原則
注意:有太多特權(quán)用戶訪問您的數(shù)據(jù)是非常危險(xiǎn)的。
默認(rèn)情況下,授予新員工所有特權(quán)允許他們訪問敏感數(shù)據(jù),即使他們不一定需要這樣做。這種方法增加了內(nèi)部威脅的風(fēng)險(xiǎn),并允許黑客在您的任何員工賬戶受到攻擊時(shí)訪問敏感數(shù)據(jù)。
一個(gè)更好的解決方案是使用最小特權(quán)原則。
換句話說,為每個(gè)新帳戶分配盡可能少的特權(quán),并在必要時(shí)升級特權(quán)。當(dāng)不再需要訪問敏感數(shù)據(jù)時(shí),應(yīng)立即撤銷所有相應(yīng)的特權(quán)。
持續(xù)的特權(quán)管理可能是困難和耗時(shí)的,特別是對于大公司,但是市場上有很多訪問管理解決方案可以使其變得更容易。
特別是,當(dāng)您需要處理不受控制的特權(quán)時(shí),專門化的PAM解決方案可以證明是一種救命稻草。
最小特權(quán)原則似乎類似于零信任安全模型,該模型還通過顯著減少無保證的信任來降低內(nèi)部威脅的風(fēng)險(xiǎn)。
零信任實(shí)踐表示,只向那些已經(jīng)在系統(tǒng)中進(jìn)行了身份驗(yàn)證和驗(yàn)證的用戶和設(shè)備授予訪問權(quán)限。
9. 關(guān)注特權(quán)用戶
擁有特權(quán)帳戶的用戶是公司較大的資產(chǎn)之一,還是對數(shù)據(jù)安全的較大威脅之一?
有特權(quán)的用戶擁有所有必要的手段來竊取您的敏感數(shù)據(jù),并且不被注意。無論你多么信任擁有特權(quán)賬戶的員工,任何事情都有可能發(fā)生。
你怎樣才能把風(fēng)險(xiǎn)降到很低?以下是一些簡單而有效的步驟:
- 通過實(shí)現(xiàn)最小特權(quán)原則來限制特權(quán)用戶的數(shù)量。
- 確保在用戶終止使用特權(quán)帳戶時(shí),立即刪除特權(quán)帳戶。
- 使用用戶活動(dòng)監(jiān)視解決方案來記錄在網(wǎng)絡(luò)中采取的任何操作。
您可以查看Ponemon研究所的這份出色的報(bào)告,了解更多關(guān)于特權(quán)用戶在內(nèi)部威脅場景中的角色。
10. 監(jiān)控對數(shù)據(jù)的第三方訪問
控制第三方訪問是您的安全策略的一個(gè)重要部分。
遠(yuǎn)程員工、分包商、業(yè)務(wù)合作伙伴、供應(yīng)商和供應(yīng)商——這只是可能遠(yuǎn)程訪問您數(shù)據(jù)的人員和公司的一小部分。
第三方訪問不僅會(huì)帶來更高的內(nèi)部攻擊風(fēng)險(xiǎn),還會(huì)為惡意軟件和黑客進(jìn)入您的系統(tǒng)打開大門。
通過第三方訪問來保護(hù)您的敏感數(shù)據(jù)不受攻擊的一個(gè)好方法是監(jiān)視第三方操作。您可以限制第三方用戶的訪問范圍,并知道誰確切地連接到您的網(wǎng)絡(luò)以及為什么。
用戶活動(dòng)監(jiān)視還應(yīng)該與一次性密碼結(jié)合使用,以便提供所有用戶操作的完整日志記錄,以便您可以檢測惡意活動(dòng)并在必要時(shí)進(jìn)行調(diào)查。
11. 小心網(wǎng)絡(luò)釣魚
你們所有的員工都知道網(wǎng)絡(luò)釣魚嗎?
值得注意的是,內(nèi)部威脅不會(huì)以惡意員工告終。更常見的情況是,善意的員工無意中幫助了犯罪者,為他們提供了進(jìn)入你的系統(tǒng)的方法。
網(wǎng)絡(luò)攻擊者使用垃圾郵件和電話等網(wǎng)絡(luò)釣魚技術(shù)來獲取員工信息、獲取他們的證書,或者用惡意軟件感染系統(tǒng)。
你的基本防御可以很簡單,只包括兩個(gè)步驟:
獲得一個(gè)正確配置的垃圾郵件過濾器,并確保最明顯的垃圾郵件總是被阻塞。
教育你的員工流行的網(wǎng)絡(luò)釣魚技術(shù)和很好的處理方法。
幸運(yùn)的是,教育和意識(shí)確實(shí)起了作用,人們現(xiàn)在對網(wǎng)絡(luò)威脅的意識(shí)要高得多。Verizon 2018年的數(shù)據(jù)泄露調(diào)查報(bào)告強(qiáng)調(diào),73%的人在2017年沒有點(diǎn)擊任何惡意郵件。他們2019年的報(bào)告顯示,2018年網(wǎng)絡(luò)釣魚攻擊的點(diǎn)擊率只有3%。
您可以在US-CERT網(wǎng)站上找到更多關(guān)于網(wǎng)絡(luò)釣魚的信息,包括報(bào)告形式。
12. 提高員工的意識(shí)
這可能很難相信,但你的員工是保護(hù)你數(shù)據(jù)的關(guān)鍵。
處理員工疏忽和安全錯(cuò)誤的一個(gè)可靠方法是教育他們?yōu)槭裁窗踩苤匾?
- 提高對公司面臨的網(wǎng)絡(luò)威脅及其如何影響底線的認(rèn)識(shí)。
- 向你的員工解釋每項(xiàng)電腦安全措施的重要性。
- 展示現(xiàn)實(shí)生活中安全漏洞的例子,它們的后果,以及恢復(fù)過程的困難。
- 詢問員工對當(dāng)前公司安全體系的反饋。
- 詢問員工關(guān)于如何將健壯的安全性與高效的工作流結(jié)合起來的新想法。
雇傭你的員工作為你辯護(hù)的一部分,你會(huì)發(fā)現(xiàn)疏忽和錯(cuò)誤的情況將會(huì)減少。讓你的員工接受適當(dāng)?shù)呐嘤?xùn)比處理意外行為造成的數(shù)據(jù)泄露要好得多。
上述網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐將幫助您保護(hù)您的數(shù)據(jù)和您的企業(yè)的聲譽(yù)。然而,實(shí)現(xiàn)它們是另一個(gè)挑戰(zhàn)。