雖然數(shù)字化轉(zhuǎn)型增加了網(wǎng)絡風險，但這些重要舉措將幫助企業(yè)的業(yè)務保持安全。

企業(yè)不想看到他們出現(xiàn)在網(wǎng)絡安全漏洞的頭條新聞中，也不希望直言不諱的批評者損害他們的聲譽，他們希望避免遭遇網(wǎng)絡攻擊、業(yè)務中斷和花費大量費用進行恢復。

將網(wǎng)絡安全視為事后的想法或認為在數(shù)字化轉(zhuǎn)型項目中安全是其他人應該解決的問題總是錯誤的，它會遺漏一些可以避免的網(wǎng)絡安全漏洞，網(wǎng)絡攻擊者則會利用這些漏洞。

值得慶幸的是，企業(yè)可以采取一些措施來防范在實施數(shù)字化轉(zhuǎn)型中經(jīng)常出現(xiàn)的漏洞。以下是企業(yè)在實施數(shù)字化轉(zhuǎn)型的過程中可以采取的10大措施。

1、進行IT網(wǎng)絡安全風險評估

為每個數(shù)字化轉(zhuǎn)型項目進行IT網(wǎng)絡安全風險評估。項目的特點會影響到最高風險是什么。以下是經(jīng)常存在的風險：

(1)內(nèi)部網(wǎng)絡安全防御的漏洞。

(2)應用軟件或軟件即服務(SaaS)供應商的網(wǎng)絡安全成熟度不夠。

(3)不同供應鏈供應商網(wǎng)絡安全成熟度。

(4)員工和承包商網(wǎng)絡安全意識水平參差不齊。

降低網(wǎng)絡安全風險的典型應對措施包括：

(1)多因素身份驗證(MFA)。

(2)先進的威脅檢測解決方案。

(3)更廣泛地使用加密技術(shù)。

(4)雇員和承包商網(wǎng)絡意識教育計劃。

2、了解合規(guī)義務

一些數(shù)字化轉(zhuǎn)型項目涉及受各種法規(guī)約束的流程和數(shù)據(jù)，企業(yè)必須證明符合這些法規(guī)。關(guān)于用戶的隱私數(shù)據(jù)尤其敏感。網(wǎng)絡安全組成部分的主要法規(guī)示例如下:

(1)美國聯(lián)邦信息安全管理法案。

(2)歐洲通用數(shù)據(jù)保護條例(GDPR)。

(3)健康保險攜帶與責任法案(HIPAA)。

(4)北美電力可靠性公司可靠性標準(NERC-CIP)。

(5)美國國家標準與技術(shù)研究所(NIST網(wǎng)絡安全框架)。

(6)ISO27001信息安全管理。

(7)ISO27002信息安全、網(wǎng)絡安全和隱私保護。

(8)支付卡行業(yè)安全委員會的數(shù)據(jù)安全標準(PCIDSS)。

(9)服務組織控制(SOC 2)類型。

每一項規(guī)定都規(guī)定了企業(yè)必須遵守的要求。相關(guān)軟件供應商通常會描述有助于數(shù)字化轉(zhuǎn)型項目規(guī)劃的實施和運營策略。

在數(shù)字化轉(zhuǎn)型項目的范圍內(nèi)包括實施適用法規(guī)的網(wǎng)絡安全要求的任務。

3、避免過度授權(quán)賬戶

大多數(shù)數(shù)字化轉(zhuǎn)型項目需要建立和管理最終用戶賬戶和角色，當最終用戶被授予的權(quán)限和角色超過了他們執(zhí)行指定職責所需的數(shù)據(jù)和數(shù)據(jù)庫訪問權(quán)限時，網(wǎng)絡攻擊者可以更容易地滲透到企業(yè)的IT系統(tǒng)，從而造成嚴重破壞。

為了最大限度地降低設計中的網(wǎng)絡安全風險，數(shù)字化轉(zhuǎn)型團隊應該：

(1)設計具有多個角色的軟件，以限制任何一個角色的訪問。

(2)為SaaS軟件的增強支付費用，以增加角色的數(shù)量。

大多數(shù)數(shù)據(jù)庫管理軟件(DBMS)包都包含限制對表和列的訪問的功能。對于數(shù)據(jù)庫管理員(DBA)人員來說，使用這一功能管理角色非常繁瑣且容易出錯，最終它會面臨失敗。

為了運營數(shù)字化轉(zhuǎn)型項目將交付的系統(tǒng)，這一有限訪問概念由以下方式實現(xiàn)：

(1)集中管理所有權(quán)限。

(2)持續(xù)檢查權(quán)限，以識別錯誤配置的權(quán)限、過度授權(quán)的帳戶和角色。

(3)考慮實施專門的軟件，提出建議，以迅速有效地糾正問題權(quán)限。

這些措施共同降低了網(wǎng)絡攻擊的風險。

4、將網(wǎng)絡安全納入應用軟件設計

數(shù)字化轉(zhuǎn)型項目通常設計、構(gòu)建和測試一些應用軟件，而僅使用數(shù)據(jù)集成和應用軟件包很難完成數(shù)字化轉(zhuǎn)型項目。

通過以下最佳實踐，將網(wǎng)絡安全功能納入自定義應用軟件設計，其中包括：

(1)維護軟件開發(fā)環(huán)境的安全性。

(2)執(zhí)行廣泛的數(shù)據(jù)輸入驗證。

(3)加密應用程序正在創(chuàng)建的數(shù)據(jù)并實現(xiàn)HTTPS。

(4)包括認證、角色管理和訪問控制。

(5)包括審計和日志記錄。

(6)遵循配置虛擬服務器的最佳實踐。

(7)不要簡化質(zhì)量保證和測試。

(8)隨著安全威脅的發(fā)展，升級應用軟件。

(9)刪除不活躍的虛擬服務器和數(shù)據(jù)庫。

當企業(yè)的數(shù)字化轉(zhuǎn)型應用程序用于常規(guī)生產(chǎn)中時，遵循這些最佳實踐將顯著地降低遭受網(wǎng)絡攻擊的風險。

5、限制對云管理控制臺的訪問

具有云計算組件的數(shù)字化轉(zhuǎn)型項目將操作一個相關(guān)的管理控制臺?？刂婆_是網(wǎng)絡攻擊的熱門目標，因為這些控制臺控制著企業(yè)的云計算資源的所有方面。未經(jīng)授權(quán)使用這些強大的云計算控制臺可能會立即造成嚴重破壞或數(shù)據(jù)泄露。

對管理控制臺風險的最佳響應是將對云計算管理控制臺的訪問視為特權(quán)訪問。這一最佳實踐由以下人員實施:

(1)要求最終用戶證明每次登錄的合理性，并跟蹤所有登錄，以快速識別異常、不適當或欺詐性訪問。

(2)授權(quán)每個用戶ID在指定的時間內(nèi)只進行特定的、有限的訪問，以控制任何泄露的用戶ID可能造成的損害。

(3)采用單點登錄(SSO)，以便最終用戶體驗安全且無障礙的登錄。

(4)實現(xiàn)多因素身份驗證(MFA)，在授權(quán)訪問云控制臺之前添加額外的保護層。

這些特權(quán)訪問措施一起防止針對云計算管理控制臺的網(wǎng)絡攻擊。

6、確認云計算服務提供商(CSP)的網(wǎng)絡安全防御策略

許多數(shù)字化轉(zhuǎn)型項目都包含云組件，該組件可以使用云計算服務提供商(CSP)運營的計算基礎(chǔ)設施，也可以使用SaaS提供商運營的云平臺。

由于大多數(shù)云計算服務提供商(CSP)運營廣泛的網(wǎng)絡安全防御策略，并將這項工作描述為有價值的客戶利益，大多數(shù)客戶不會在云計算網(wǎng)絡安全評估或測試上投入更多精力。

謹慎的做法是花費時間和精力來確認云計算服務提供商(CSP)的網(wǎng)絡安全防御策略的全面性。

7、評估SCADA/IIoT集成點

一些數(shù)字化轉(zhuǎn)型項目將SCADA/IIoT數(shù)據(jù)從OT基礎(chǔ)設施帶入IT系統(tǒng)領(lǐng)域，這兩個領(lǐng)域通常由具有不同任務和優(yōu)先級的不同企業(yè)高管管理。

評估數(shù)字化轉(zhuǎn)型項目的SCADA/IIoT集成點的網(wǎng)絡安全風險，這些集成點通常由管理職責模糊或不明確的服務器或網(wǎng)絡設備表示。因此，網(wǎng)絡安全防御措施可能參差不齊。

根據(jù)集成點評估的結(jié)論采取行動，它們通常包括明確角色和職責以及更新設備。

8、測試應用程序編程接口

大多數(shù)數(shù)字化轉(zhuǎn)型項目開發(fā)自定義應用程序編程接口(API)，用于集成數(shù)據(jù)庫或允許外部合作伙伴的軟件開發(fā)人員訪問公司計算環(huán)境中的特定應用程序。

當攻擊者發(fā)現(xiàn)這些API時，他們可以很容易地創(chuàng)建軟件來導致數(shù)據(jù)泄露。應對這一風險的措施是確保以下方面:

(1)徹底測試API軟件。

(2)更改授權(quán)憑證以定期訪問API。

(3)記錄API的使用情況，并定期檢查日志。

(4)安全地存儲API源代碼，永遠不要在開源存儲庫中發(fā)布它。

(5)限制使用API的開發(fā)人員指南的發(fā)行量，不要在網(wǎng)上發(fā)布。

9、評估技術(shù)變化

數(shù)字化轉(zhuǎn)型項目通常會對公司運營的信息技術(shù)套件進行更改，新技術(shù)引入或消除網(wǎng)絡安全風險。

當技術(shù)發(fā)生變化時，公司的項目團隊應該更新其IT網(wǎng)絡安全風險評估，并根據(jù)新發(fā)現(xiàn)采取行動。

10、進行OT網(wǎng)絡安全風險評估

數(shù)字化轉(zhuǎn)型項目有時表明，運營技術(shù)(OT)領(lǐng)域并沒有像信息技術(shù)(IT)那樣受到網(wǎng)絡安全方面同樣的關(guān)注。在這種情況下，需要進行OT網(wǎng)絡安全風險評估。

國際自動化學會(ISA)標準《工業(yè)自動化和控制系統(tǒng)安全：建立工業(yè)自動化和系統(tǒng)安全計劃》(ISA-62443-2-1)為制定OT網(wǎng)絡安全投資的商業(yè)理論提供了有價值的指導。

通過將這10項行動納入數(shù)字化轉(zhuǎn)型項目的范圍，公司可以大幅降低網(wǎng)絡安全風險。