根據漏洞情報，漏洞數據和風險評級的全球領導者Risk Based Security的數據顯示，2019年有望成為網絡犯罪“有史以來很糟糕的一年”。在勒索軟件、病毒、特洛伊木馬和網絡釣魚事件幾乎持續不斷的頭條新聞中，我們已經看到了這種情況，這對各種規模的企業造成了嚴重破壞。這些攻擊不僅在頻率上增加了，而且在收入影響和復雜性上也有所增加。

[[313479]]

去年春天，名為羅賓漢(RobbinHood)的全新勒索軟件開創的針對Baltimore數據網絡的勒索軟件攻擊，導致網絡宕機造成至少1820萬美元的收入損失。這并沒有引起人們的注意。瞻博網絡研究發現，網絡犯罪已經造成了2萬億美元的損失。該公司估計，到2021年這一數字將達到6萬億美元。

所有這些負面報道已經轉化為客戶和IT專業人士之間的艱難對話——無論您是自己完成所有工作，還是尋求云服務提供商(CSP)的幫助。事實上，如果您是一名IT開發人員、買方或可能受到網絡犯罪影響的人員(基本上是我們所有人)，對數據安全性有一個粗略的了解是這項工作必不可少的一部分。否則，你就會把自己或公司置于危險之中。

為2020年做準備

解決此問題的第一步就是承認它的存在，這就是許多組織在2020年為應對網絡犯罪做準備時正在做的事情。我們防范網絡犯罪的能力正在提高，因為各組織在安全方面投入了更多的資金，并將其戰略重點放在了安全方面。其中一種策略稱為“零信任”，它將技術、服務、人員和流程合并到一個包含多層防御的內聚方法中。

由Forrester Research在十年前開發的零信任安全模型可以總結為“從不信任，總是驗證”。換句話說，不管是否嘗試從組織的網絡內部或外部連接到系統或數據，未經驗證都不允許訪問。零信任是必要的，因為傳統的網絡安全已經無法保證數據安全不受當今先進威脅的影響。

實現零信任的四種方法

讓我們來舉個例子:如果你從前門進入你的房子，你希望能夠進入里面的所有房間。在一個零信任的世界中，您不一定能夠自動訪問所有的房間。事實上，沒有進一步的許可，你可能無法越過入口。

為了達到零信任所需的安全級別，我建議依賴這四個核心租戶:物理安全、邏輯安全、流程和第三方認證。

• 物理安全

物理安全仍然是第一層防御。物理數據中心(無論是在本地還是在云中)，都是客戶數據的中心。因此，它也應該是防范網絡盜竊的主要防御手段。應該對您或您的CSP管理的所有數據中心給予同等的優先級和關注，并在所有物理資產上應用一致的安全標準。這包括主動監控，通過批準的訪問列表控制對所有設施的訪問，以及安全的環境因素，如電力、冷卻和滅火。

• 邏輯安全

邏輯安全是指技術配置和軟件的許多不同層，它們創建了安全穩定的基礎。在層方面，邏輯安全應用于網絡、存儲和程序管理層。您或者您的CSP的位置，應該在每一層中提供盡可能多的安全性。一定要提前咨詢您的CSP，以確保您的邏輯安全性得到了正確的處理。

• 流程

沒有經過培訓和有經驗的人員，任何安全解決方案(無論是物理的還是邏輯的)都是無效的。如果管理系統的人員不了解如何在為保護各種系統而建立的控制中工作，那么解決方案將失敗。簡單地說，你不會在一個家庭安全系統上花費過多資金，然后把你房子的鑰匙從前門的鎖上伸出來。員工背景檢查、安全性和遵從性培訓、定期訪問審查、針對基礎設施的年度滲透測試，以及所有系統的定期補丁計劃，這些都是實施正確流程的關鍵。

• 第三方認證

來自第三方驗證的信心不能被夸大。即使是最安全的組織也可以從附加的審查中受益。您或您的CSP應該考慮遵守以下一些框架和標準:HIPAA、HITRUST、SSAE16、ITIL、GDPR、CSA STAR、CJIS等。

回到未來

僅在2019年，就有無數的“內鬼”利用有效憑證，對公司內部造成巨大損害的例子。與外部安全威脅(勒索軟件、惡意軟件等)相關的安全風險似乎每天都在增長，您會明白為什么客戶在他們的IT組織中追求零信任策略。

組織中的零信任策略可以消除許多僅由技術實現遺留下來的漏洞。隨著我們進入2020年及其可能帶來的一切，重要的是要認識到網絡犯罪會在數量、影響和復雜性上增加。這并不意味著我們無能為力，卻意味著我們需要改變，零信任策略可以幫助解決這個問題。