你的敏感資料是否安全?

這并不夸張:任何公司都可能成為網(wǎng)絡(luò)犯罪的受害者。有關(guān)網(wǎng)絡(luò)攻擊的報(bào)告來(lái)自政府機(jī)構(gòu)、教育和醫(yī)療機(jī)構(gòu)、銀行、律師事務(wù)所、非營(yíng)利組織和許多其他組織。

[[277476]]

黑客、內(nèi)部威脅、勒索軟件和其他危險(xiǎn)都存在。

聰明的企業(yè)正在加大對(duì)網(wǎng)絡(luò)安全的投資，以消除風(fēng)險(xiǎn)，確保敏感數(shù)據(jù)的安全，這已經(jīng)帶來(lái)了首批成果。請(qǐng)看下面的信息圖表，了解網(wǎng)絡(luò)安全的新趨勢(shì)。

接下來(lái)的問(wèn)題是:作為一名企業(yè)主，在2019年我能做些什么來(lái)保護(hù)我的數(shù)據(jù)?

上圖顯示，在政府機(jī)構(gòu)和企業(yè)都開(kāi)始加大對(duì)網(wǎng)絡(luò)安全的投資的同時(shí)，數(shù)據(jù)泄露的數(shù)量顯著下降。

不知道從哪里開(kāi)始加強(qiáng)你的網(wǎng)絡(luò)安全政策?我們準(zhǔn)備告訴你網(wǎng)絡(luò)安全的趨勢(shì)和新的技術(shù)。

以下是我們2019年的IT安全優(yōu)秀實(shí)踐清單:

1. 考慮生物安全

生物識(shí)別技術(shù)確保了快速認(rèn)證、安全訪問(wèn)管理和精確的員工監(jiān)控。

在提供對(duì)有價(jià)值資產(chǎn)的訪問(wèn)之前，驗(yàn)證用戶的身份對(duì)企業(yè)來(lái)說(shuō)至關(guān)重要。語(yǔ)音識(shí)別、指紋掃描、手掌生物識(shí)別、面部識(shí)別、行為生物識(shí)別和步態(tài)分析是識(shí)別用戶是否是他們自稱(chēng)的人的完美選擇。

使用生物識(shí)別技術(shù)提供了比密碼和短信驗(yàn)證更安全的身份驗(yàn)證。這就是為什么生物識(shí)別技術(shù)已經(jīng)成為多因素認(rèn)證的重要組成部分。

然而，身份驗(yàn)證并不是生物識(shí)別的唯一用途。安全人員受益于各種生物識(shí)別驅(qū)動(dòng)的工具，這些工具允許他們實(shí)時(shí)檢測(cè)受損的特權(quán)帳戶。

行為生物學(xué)分析用戶與輸入設(shè)備交互的方式。如果檢測(cè)到異常行為，工具會(huì)向安全人員發(fā)送警告，以便他們能夠立即做出反應(yīng)。

以下是用戶和實(shí)體行為分析(UEBA)系統(tǒng)可以使用的幾種行為生物識(shí)別技術(shù):

• 擊鍵動(dòng)態(tài)——考慮打字速度和在某些單詞中出現(xiàn)典型錯(cuò)誤的傾向，以創(chuàng)建用戶行為概要文件
• 鼠標(biāo)動(dòng)態(tài)—跟蹤鼠標(biāo)點(diǎn)擊和鼠標(biāo)移動(dòng)速度、節(jié)奏和樣式之間的時(shí)間間隔
• 眼動(dòng)生物測(cè)定-使用眼睛和注視跟蹤設(shè)備來(lái)記錄眼睛運(yùn)動(dòng)的視頻和檢測(cè)獨(dú)特的模式

market sandmarkets對(duì)2018年的預(yù)測(cè)顯示，到2023年，生物識(shí)別市場(chǎng)將從2018年的168億美元增長(zhǎng)到418億美元。因此，請(qǐng)密切關(guān)注生物特征安全技術(shù)，并為您的用例選擇優(yōu)秀技術(shù)。

2. 形成分級(jí)的網(wǎng)絡(luò)安全政策

為什么書(shū)面的網(wǎng)絡(luò)安全政策如此重要?

首先，書(shū)面政策作為貴公司所有網(wǎng)絡(luò)安全措施的正式指南。

它允許您的安全專(zhuān)家和員工處于同一頁(yè)面，并為您提供了一種強(qiáng)制執(zhí)行保護(hù)數(shù)據(jù)的規(guī)則的方法。然而，每個(gè)部門(mén)的工作流程可能是獨(dú)特的，而且很容易被不必要的網(wǎng)絡(luò)安全措施打亂。

雖然集中式安全策略作為整個(gè)公司的基本方針是有益的，但它不應(yīng)該覆蓋每個(gè)部門(mén)的每個(gè)流程。相反，允許您的部門(mén)基于中央策略創(chuàng)建自己的安全策略。

以這種分層的方式確定安全策略有很多好處。通過(guò)這樣做，您可以考慮每個(gè)部門(mén)的需求，并確保他們的工作流和您的底線不會(huì)在安全的名義下受到損害。

伊利諾伊州政府網(wǎng)站提供了一個(gè)很好的網(wǎng)絡(luò)安全政策模板，可以作為你分級(jí)管理的起點(diǎn)。

如果您想學(xué)習(xí)如何預(yù)防、檢測(cè)和糾正內(nèi)部攻擊，您應(yīng)該考慮構(gòu)建一個(gè)內(nèi)部威脅程序。

3.采用基于風(fēng)險(xiǎn)的安全方法

法規(guī)遵從性不能保護(hù)您的數(shù)據(jù)。

每個(gè)行業(yè)都有其特定的和隱藏的風(fēng)險(xiǎn)，因此關(guān)注法規(guī)遵從性和滿足所有標(biāo)準(zhǔn)法規(guī)不足以保護(hù)您的敏感數(shù)據(jù)。

注意你的公司所面臨的風(fēng)險(xiǎn)，以及它們?nèi)绾斡绊懩愕牡拙€。這里比較好的工具是全面的風(fēng)險(xiǎn)評(píng)估。

以下是風(fēng)險(xiǎn)評(píng)估允許你做的一些最重要的事情:

識(shí)別所有有價(jià)值的資產(chǎn)，公司當(dāng)前的網(wǎng)絡(luò)安全狀況，明智地管理你的安全策略

適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估可以讓你避免許多不愉快的事情，比如因不遵守規(guī)定而被罰款，為潛在的泄漏和違規(guī)行為而付出的補(bǔ)救成本，以及由于流程缺失或效率低下而造成的損失。

找出網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，并做出相應(yīng)的調(diào)整。此外，請(qǐng)密切關(guān)注使用數(shù)據(jù)庫(kù)和框架的新黑客技術(shù)，例如MITRE ATT&CK for enterprise。

全面的風(fēng)險(xiǎn)評(píng)估將幫助您優(yōu)先考慮您的安全措施，并使您的策略以優(yōu)質(zhì)的方式服務(wù)于公司的底線。

您可以在Compliance Forge網(wǎng)站上找到一個(gè)風(fēng)險(xiǎn)評(píng)估工作表和評(píng)估報(bào)告的實(shí)際示例。如果你需要更多關(guān)于如何在你的公司進(jìn)行風(fēng)險(xiǎn)評(píng)估的信息，請(qǐng)查看它。

4. 備份數(shù)據(jù)

定期備份數(shù)據(jù)，確保數(shù)據(jù)的安全性。

備份數(shù)據(jù)是近年來(lái)越來(lái)越重要的信息安全優(yōu)秀實(shí)踐之一。隨著勒索軟件的出現(xiàn)，對(duì)所有數(shù)據(jù)進(jìn)行完整的、當(dāng)前的備份可能是一種救星。

如何處理備份?您需要確保它們被徹底保護(hù)、加密并經(jīng)常更新。同樣重要的是，將備份任務(wù)分配給幾個(gè)人，以減輕內(nèi)部威脅。

美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)提供了一份文件，詳細(xì)說(shuō)明了不同的數(shù)據(jù)備份選項(xiàng)。如果你想了解更多關(guān)于這個(gè)話題的信息，你應(yīng)該讀一讀聯(lián)邦調(diào)查局關(guān)于勒索軟件的一篇優(yōu)秀文章。

5. 物聯(lián)網(wǎng)安全管理

今年延續(xù)了2018年以來(lái)的趨勢(shì)——物聯(lián)網(wǎng)設(shè)備越來(lái)越受歡迎。

貝恩公司預(yù)測(cè)，物聯(lián)網(wǎng)市場(chǎng)將在2021年增長(zhǎng)到約5200億美元。然而，無(wú)論我們多么渴望看到新技術(shù)，安全總是第一位的。

物聯(lián)網(wǎng)設(shè)備很具挑戰(zhàn)性的地方是它們對(duì)敏感信息的訪問(wèn)。

安全攝像頭、門(mén)鈴、智能門(mén)鎖、供暖系統(tǒng)、辦公設(shè)備——所有這些你的商業(yè)網(wǎng)絡(luò)的小部件都是潛在的接入點(diǎn)。

例如，一臺(tái)受損的打印機(jī)可以允許惡意行為者查看正在打印或掃描的所有文檔。

以下是一些企業(yè)網(wǎng)絡(luò)安全的優(yōu)秀實(shí)踐:

• 進(jìn)行滲透測(cè)試，了解真正的風(fēng)險(xiǎn)，并據(jù)此制定安全策略。
• 為靜態(tài)和傳輸中的數(shù)據(jù)提供加密(端到端加密)。
• 確保正確的身份驗(yàn)證只允許到端點(diǎn)的可信連接。
• 不要使用默認(rèn)的硬編碼憑證:通常使用的密碼在互聯(lián)網(wǎng)上很容易找到。
• 購(gòu)買(mǎi)安全和較新的路由器，并啟用防火墻。
• 開(kāi)發(fā)一個(gè)可伸縮的安全框架來(lái)支持所有物聯(lián)網(wǎng)部署。
• 考慮實(shí)現(xiàn)端點(diǎn)安全解決方案。

6. 使用多因素身份驗(yàn)證

多因素身份驗(yàn)證(MFA)是高級(jí)安全策略的必備解決方案。

雖然這是一個(gè)基本的實(shí)現(xiàn)，但MFA仍然屬于網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐。它是如此有效，以至于國(guó)家網(wǎng)絡(luò)安全聯(lián)盟甚至將MFA加入到其安全意識(shí)和教育運(yùn)動(dòng)中。

MFA通過(guò)添加額外的安全層幫助您保護(hù)敏感數(shù)據(jù)，使惡意行為者幾乎沒(méi)有機(jī)會(huì)像您一樣登錄。

即使惡意行為者擁有您的密碼，他們?nèi)匀恍枰牡诙€(gè)或第三個(gè)身份驗(yàn)證“因素”，例如安全令牌、您的移動(dòng)電話、您的指紋或您的語(yǔ)音。

作為一個(gè)額外的好處，MFA還允許您明確區(qū)分共享帳戶的用戶，從而改進(jìn)訪問(wèn)控制。

還請(qǐng)閱讀:雙因素身份驗(yàn)證:類(lèi)別、方法和任務(wù)

7. 處理密碼安全

提到密碼和安全密碼處理的重要性總是值得的。

密碼管理是企業(yè)安全的一個(gè)關(guān)鍵部分，尤其是涉及特權(quán)訪問(wèn)管理(PAM)時(shí)。特權(quán)帳戶是網(wǎng)絡(luò)罪犯的寶石誰(shuí)試圖獲得訪問(wèn)您的敏感數(shù)據(jù)和最有價(jià)值的商業(yè)信息。

確保適當(dāng)安全性的優(yōu)秀方法是使用專(zhuān)用工具，如密碼保險(xiǎn)庫(kù)和PAM解決方案。這樣，您可以防止未經(jīng)授權(quán)的用戶訪問(wèn)特權(quán)帳戶，同時(shí)簡(jiǎn)化員工的密碼管理。

網(wǎng)絡(luò)威脅行為者仍然使用密碼噴霧攻擊來(lái)竊取敏感信息，擾亂運(yùn)營(yíng)，損害組織的財(cái)務(wù)和聲譽(yù)。

當(dāng)你為你的員工設(shè)定密碼要求時(shí)，以下是你應(yīng)該考慮的主要技巧:

• 為一個(gè)帳戶使用一個(gè)密碼。
• 使用容易記住的短語(yǔ)，而不是由隨機(jī)字符組成的短字符串。
• 使用助記符或其他個(gè)人策略來(lái)記住長(zhǎng)密碼。
• 無(wú)論多么方便，都不能互相共享憑據(jù)。
• 要求員工在一段時(shí)間后更改密碼。

美國(guó)國(guó)家網(wǎng)絡(luò)安全和通信集成中心(National Cybersecurity and Communications Integration Center)提出了一套選擇和保護(hù)強(qiáng)密碼的建議。如果你想了解更多細(xì)節(jié)，可以查看它們。

8. 使用最少特權(quán)原則

注意:有太多特權(quán)用戶訪問(wèn)您的數(shù)據(jù)是非常危險(xiǎn)的。

默認(rèn)情況下，授予新員工所有特權(quán)允許他們?cè)L問(wèn)敏感數(shù)據(jù)，即使他們不一定需要這樣做。這種方法增加了內(nèi)部威脅的風(fēng)險(xiǎn)，并允許黑客在您的任何員工賬戶受到攻擊時(shí)訪問(wèn)敏感數(shù)據(jù)。

一個(gè)更好的解決方案是使用最小特權(quán)原則。

換句話說(shuō)，為每個(gè)新帳戶分配盡可能少的特權(quán)，并在必要時(shí)升級(jí)特權(quán)。當(dāng)不再需要訪問(wèn)敏感數(shù)據(jù)時(shí)，應(yīng)立即撤銷(xiāo)所有相應(yīng)的特權(quán)。

持續(xù)的特權(quán)管理可能是困難和耗時(shí)的，特別是對(duì)于大公司，但是市場(chǎng)上有很多訪問(wèn)管理解決方案可以使其變得更容易。

特別是，當(dāng)您需要處理不受控制的特權(quán)時(shí)，專(zhuān)門(mén)化的PAM解決方案可以證明是一種救命稻草。

最小特權(quán)原則似乎類(lèi)似于零信任安全模型，該模型還通過(guò)顯著減少無(wú)保證的信任來(lái)降低內(nèi)部威脅的風(fēng)險(xiǎn)。

零信任實(shí)踐表示，只向那些已經(jīng)在系統(tǒng)中進(jìn)行了身份驗(yàn)證和驗(yàn)證的用戶和設(shè)備授予訪問(wèn)權(quán)限。

9. 關(guān)注特權(quán)用戶

擁有特權(quán)帳戶的用戶是公司較大的資產(chǎn)之一，還是對(duì)數(shù)據(jù)安全的較大威脅之一?

有特權(quán)的用戶擁有所有必要的手段來(lái)竊取您的敏感數(shù)據(jù)，并且不被注意。無(wú)論你多么信任擁有特權(quán)賬戶的員工，任何事情都有可能發(fā)生。

你怎樣才能把風(fēng)險(xiǎn)降到很低?以下是一些簡(jiǎn)單而有效的步驟:

• 通過(guò)實(shí)現(xiàn)最小特權(quán)原則來(lái)限制特權(quán)用戶的數(shù)量。
• 確保在用戶終止使用特權(quán)帳戶時(shí)，立即刪除特權(quán)帳戶。
• 使用用戶活動(dòng)監(jiān)視解決方案來(lái)記錄在網(wǎng)絡(luò)中采取的任何操作。

您可以查看Ponemon研究所的這份出色的報(bào)告，了解更多關(guān)于特權(quán)用戶在內(nèi)部威脅場(chǎng)景中的角色。

10. 監(jiān)控對(duì)數(shù)據(jù)的第三方訪問(wèn)

控制第三方訪問(wèn)是您的安全策略的一個(gè)重要部分。

遠(yuǎn)程員工、分包商、業(yè)務(wù)合作伙伴、供應(yīng)商和供應(yīng)商——這只是可能遠(yuǎn)程訪問(wèn)您數(shù)據(jù)的人員和公司的一小部分。

第三方訪問(wèn)不僅會(huì)帶來(lái)更高的內(nèi)部攻擊風(fēng)險(xiǎn)，還會(huì)為惡意軟件和黑客進(jìn)入您的系統(tǒng)打開(kāi)大門(mén)。

通過(guò)第三方訪問(wèn)來(lái)保護(hù)您的敏感數(shù)據(jù)不受攻擊的一個(gè)好方法是監(jiān)視第三方操作。您可以限制第三方用戶的訪問(wèn)范圍，并知道誰(shuí)確切地連接到您的網(wǎng)絡(luò)以及為什么。

用戶活動(dòng)監(jiān)視還應(yīng)該與一次性密碼結(jié)合使用，以便提供所有用戶操作的完整日志記錄，以便您可以檢測(cè)惡意活動(dòng)并在必要時(shí)進(jìn)行調(diào)查。

11. 小心網(wǎng)絡(luò)釣魚(yú)

你們所有的員工都知道網(wǎng)絡(luò)釣魚(yú)嗎?

值得注意的是，內(nèi)部威脅不會(huì)以惡意員工告終。更常見(jiàn)的情況是，善意的員工無(wú)意中幫助了犯罪者，為他們提供了進(jìn)入你的系統(tǒng)的方法。

網(wǎng)絡(luò)攻擊者使用垃圾郵件和電話等網(wǎng)絡(luò)釣魚(yú)技術(shù)來(lái)獲取員工信息、獲取他們的證書(shū)，或者用惡意軟件感染系統(tǒng)。

你的基本防御可以很簡(jiǎn)單，只包括兩個(gè)步驟:

獲得一個(gè)正確配置的垃圾郵件過(guò)濾器，并確保最明顯的垃圾郵件總是被阻塞。

教育你的員工流行的網(wǎng)絡(luò)釣魚(yú)技術(shù)和很好的處理方法。

幸運(yùn)的是，教育和意識(shí)確實(shí)起了作用，人們現(xiàn)在對(duì)網(wǎng)絡(luò)威脅的意識(shí)要高得多。Verizon 2018年的數(shù)據(jù)泄露調(diào)查報(bào)告強(qiáng)調(diào)，73%的人在2017年沒(méi)有點(diǎn)擊任何惡意郵件。他們2019年的報(bào)告顯示，2018年網(wǎng)絡(luò)釣魚(yú)攻擊的點(diǎn)擊率只有3%。

您可以在US-CERT網(wǎng)站上找到更多關(guān)于網(wǎng)絡(luò)釣魚(yú)的信息，包括報(bào)告形式。

12. 提高員工的意識(shí)

這可能很難相信，但你的員工是保護(hù)你數(shù)據(jù)的關(guān)鍵。

處理員工疏忽和安全錯(cuò)誤的一個(gè)可靠方法是教育他們?yōu)槭裁窗踩苤匾?

• 提高對(duì)公司面臨的網(wǎng)絡(luò)威脅及其如何影響底線的認(rèn)識(shí)。
• 向你的員工解釋每項(xiàng)電腦安全措施的重要性。
• 展示現(xiàn)實(shí)生活中安全漏洞的例子，它們的后果，以及恢復(fù)過(guò)程的困難。
• 詢問(wèn)員工對(duì)當(dāng)前公司安全體系的反饋。
• 詢問(wèn)員工關(guān)于如何將健壯的安全性與高效的工作流結(jié)合起來(lái)的新想法。

雇傭你的員工作為你辯護(hù)的一部分，你會(huì)發(fā)現(xiàn)疏忽和錯(cuò)誤的情況將會(huì)減少。讓你的員工接受適當(dāng)?shù)呐嘤?xùn)比處理意外行為造成的數(shù)據(jù)泄露要好得多。

上述網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐將幫助您保護(hù)您的數(shù)據(jù)和您的企業(yè)的聲譽(yù)。然而，實(shí)現(xiàn)它們是另一個(gè)挑戰(zhàn)。