根據(jù)漏洞情報，漏洞數(shù)據(jù)和風(fēng)險評級的全球領(lǐng)導(dǎo)者Risk Based Security的數(shù)據(jù)顯示，2019年有望成為網(wǎng)絡(luò)犯罪“有史以來很糟糕的一年”。在勒索軟件、病毒、特洛伊木馬和網(wǎng)絡(luò)釣魚事件幾乎持續(xù)不斷的頭條新聞中，我們已經(jīng)看到了這種情況，這對各種規(guī)模的企業(yè)造成了嚴(yán)重破壞。這些攻擊不僅在頻率上增加了，而且在收入影響和復(fù)雜性上也有所增加。

[[313479]]

去年春天，名為羅賓漢(RobbinHood)的全新勒索軟件開創(chuàng)的針對Baltimore數(shù)據(jù)網(wǎng)絡(luò)的勒索軟件攻擊，導(dǎo)致網(wǎng)絡(luò)宕機(jī)造成至少1820萬美元的收入損失。這并沒有引起人們的注意。瞻博網(wǎng)絡(luò)研究發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪已經(jīng)造成了2萬億美元的損失。該公司估計，到2021年這一數(shù)字將達(dá)到6萬億美元。

所有這些負(fù)面報道已經(jīng)轉(zhuǎn)化為客戶和IT專業(yè)人士之間的艱難對話——無論您是自己完成所有工作，還是尋求云服務(wù)提供商(CSP)的幫助。事實(shí)上，如果您是一名IT開發(fā)人員、買方或可能受到網(wǎng)絡(luò)犯罪影響的人員(基本上是我們所有人)，對數(shù)據(jù)安全性有一個粗略的了解是這項工作必不可少的一部分。否則，你就會把自己或公司置于危險之中。

為2020年做準(zhǔn)備

解決此問題的第一步就是承認(rèn)它的存在，這就是許多組織在2020年為應(yīng)對網(wǎng)絡(luò)犯罪做準(zhǔn)備時正在做的事情。我們防范網(wǎng)絡(luò)犯罪的能力正在提高，因為各組織在安全方面投入了更多的資金，并將其戰(zhàn)略重點(diǎn)放在了安全方面。其中一種策略稱為“零信任”，它將技術(shù)、服務(wù)、人員和流程合并到一個包含多層防御的內(nèi)聚方法中。

由Forrester Research在十年前開發(fā)的零信任安全模型可以總結(jié)為“從不信任，總是驗證”。換句話說，不管是否嘗試從組織的網(wǎng)絡(luò)內(nèi)部或外部連接到系統(tǒng)或數(shù)據(jù)，未經(jīng)驗證都不允許訪問。零信任是必要的，因為傳統(tǒng)的網(wǎng)絡(luò)安全已經(jīng)無法保證數(shù)據(jù)安全不受當(dāng)今先進(jìn)威脅的影響。

實(shí)現(xiàn)零信任的四種方法

讓我們來舉個例子:如果你從前門進(jìn)入你的房子，你希望能夠進(jìn)入里面的所有房間。在一個零信任的世界中，您不一定能夠自動訪問所有的房間。事實(shí)上，沒有進(jìn)一步的許可，你可能無法越過入口。

為了達(dá)到零信任所需的安全級別，我建議依賴這四個核心租戶:物理安全、邏輯安全、流程和第三方認(rèn)證。

• 物理安全

物理安全仍然是第一層防御。物理數(shù)據(jù)中心(無論是在本地還是在云中)，都是客戶數(shù)據(jù)的中心。因此，它也應(yīng)該是防范網(wǎng)絡(luò)盜竊的主要防御手段。應(yīng)該對您或您的CSP管理的所有數(shù)據(jù)中心給予同等的優(yōu)先級和關(guān)注，并在所有物理資產(chǎn)上應(yīng)用一致的安全標(biāo)準(zhǔn)。這包括主動監(jiān)控，通過批準(zhǔn)的訪問列表控制對所有設(shè)施的訪問，以及安全的環(huán)境因素，如電力、冷卻和滅火。

• 邏輯安全

邏輯安全是指技術(shù)配置和軟件的許多不同層，它們創(chuàng)建了安全穩(wěn)定的基礎(chǔ)。在層方面，邏輯安全應(yīng)用于網(wǎng)絡(luò)、存儲和程序管理層。您或者您的CSP的位置，應(yīng)該在每一層中提供盡可能多的安全性。一定要提前咨詢您的CSP，以確保您的邏輯安全性得到了正確的處理。

• 流程

沒有經(jīng)過培訓(xùn)和有經(jīng)驗的人員，任何安全解決方案(無論是物理的還是邏輯的)都是無效的。如果管理系統(tǒng)的人員不了解如何在為保護(hù)各種系統(tǒng)而建立的控制中工作，那么解決方案將失敗。簡單地說，你不會在一個家庭安全系統(tǒng)上花費(fèi)過多資金，然后把你房子的鑰匙從前門的鎖上伸出來。員工背景檢查、安全性和遵從性培訓(xùn)、定期訪問審查、針對基礎(chǔ)設(shè)施的年度滲透測試，以及所有系統(tǒng)的定期補(bǔ)丁計劃，這些都是實(shí)施正確流程的關(guān)鍵。

• 第三方認(rèn)證

來自第三方驗證的信心不能被夸大。即使是最安全的組織也可以從附加的審查中受益。您或您的CSP應(yīng)該考慮遵守以下一些框架和標(biāo)準(zhǔn):HIPAA、HITRUST、SSAE16、ITIL、GDPR、CSA STAR、CJIS等。

回到未來

僅在2019年，就有無數(shù)的“內(nèi)鬼”利用有效憑證，對公司內(nèi)部造成巨大損害的例子。與外部安全威脅(勒索軟件、惡意軟件等)相關(guān)的安全風(fēng)險似乎每天都在增長，您會明白為什么客戶在他們的IT組織中追求零信任策略。

組織中的零信任策略可以消除許多僅由技術(shù)實(shí)現(xiàn)遺留下來的漏洞。隨著我們進(jìn)入2020年及其可能帶來的一切，重要的是要認(rèn)識到網(wǎng)絡(luò)犯罪會在數(shù)量、影響和復(fù)雜性上增加。這并不意味著我們無能為力，卻意味著我們需要改變，零信任策略可以幫助解決這個問題。