組織面臨著對(duì)其信息系統(tǒng)和數(shù)據(jù)的諸多威脅。了解網(wǎng)絡(luò)安全的所有基本要素是攻克這些威脅的第一步。
網(wǎng)絡(luò)安全是確保信息的完整性、保密性和可用性(ICA)的實(shí)踐。它代表了防御和從諸如硬盤驅(qū)動(dòng)器故障或斷電等事故中恢復(fù)的能力,以及抵御敵人攻擊的能力。后者包括從腳本kiddies到黑客和能夠執(zhí)行高級(jí)持久威脅(advanced persistent threats, apt)的犯罪組織,他們對(duì)企業(yè)構(gòu)成嚴(yán)重威脅。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃對(duì)于網(wǎng)絡(luò)安全的重要性不亞于應(yīng)用程序和網(wǎng)絡(luò)安全。
整個(gè)企業(yè)都應(yīng)該把安全放在首位,并由高級(jí)管理層授權(quán)。我們現(xiàn)在所處的信息世界的脆弱性,也需要強(qiáng)有力的網(wǎng)絡(luò)安全控制。管理層應(yīng)該確保所有系統(tǒng)都按照一定的安全標(biāo)準(zhǔn)構(gòu)建,并對(duì)員工進(jìn)行適當(dāng)?shù)呐嘤?xùn)。例如,所有代碼都有bug,其中一些bug是安全缺陷。畢竟,開發(fā)人員只是人。
安全培訓(xùn)
在任何網(wǎng)絡(luò)安全計(jì)劃中,人總是最薄弱的環(huán)節(jié)。培訓(xùn)開發(fā)人員如何安全編碼,培訓(xùn)運(yùn)營人員如何優(yōu)先考慮強(qiáng)大的安全態(tài)勢(shì),培訓(xùn)終端用戶如何識(shí)別釣魚郵件和社會(huì)工程攻擊——網(wǎng)絡(luò)安全始于意識(shí)。
所有公司都會(huì)遭遇某種形式的網(wǎng)絡(luò)攻擊,即使有強(qiáng)有力的控制措施。攻擊者總是會(huì)利用最薄弱的環(huán)節(jié),許多攻擊很容易通過執(zhí)行基本的安全任務(wù)來預(yù)防,這些任務(wù)有時(shí)被稱為“網(wǎng)絡(luò)衛(wèi)生”。“外科醫(yī)生如果不先洗手,就永遠(yuǎn)不會(huì)進(jìn)入手術(shù)室。同樣,企業(yè)有責(zé)任履行網(wǎng)絡(luò)安全保護(hù)的基本要素,例如維護(hù)強(qiáng)大的身份驗(yàn)證實(shí)踐,不將敏感數(shù)據(jù)存儲(chǔ)在可以公開訪問的地方。
然而,一個(gè)好的網(wǎng)絡(luò)安全戰(zhàn)略需要超越這些基礎(chǔ)。老練的黑客可以繞過大多數(shù)防御,而對(duì)于大多數(shù)公司來說,攻擊面(攻擊者進(jìn)入系統(tǒng)的方式或“載體”的數(shù)量)正在擴(kuò)大。例如,信息和物理世界正在融合,犯罪分子和民族國家間諜現(xiàn)在威脅著ICA的網(wǎng)絡(luò)物理系統(tǒng),比如汽車、發(fā)電廠、醫(yī)療設(shè)備,甚至是你的物聯(lián)網(wǎng)冰箱。類似地,云計(jì)算的趨勢(shì),將您自己的設(shè)備(BYOD)策略帶到工作場所,以及蓬勃發(fā)展的物聯(lián)網(wǎng)(IoT)帶來了新的挑戰(zhàn)。捍衛(wèi)這些體系從未像現(xiàn)在這樣重要。
令網(wǎng)絡(luò)安全更加復(fù)雜的是圍繞消費(fèi)者隱私的監(jiān)管環(huán)境。遵守嚴(yán)格的監(jiān)管框架,如歐盟的《一般數(shù)據(jù)保護(hù)條例》(GDPR),還需要新的角色來確保組織滿足GDPR和其他條例的隱私和安全要求。
因此,對(duì)網(wǎng)絡(luò)安全專業(yè)人士的需求日益增長,使得招聘人員難以用合格的候選人填補(bǔ)職位空缺。這種斗爭要求組織對(duì)風(fēng)險(xiǎn)最大的領(lǐng)域給予高度關(guān)注。
網(wǎng)絡(luò)安全的種類
網(wǎng)絡(luò)安全的范圍是廣泛的。核心領(lǐng)域如下所述,任何良好的網(wǎng)絡(luò)安全戰(zhàn)略都應(yīng)該考慮到這一切。
關(guān)鍵基礎(chǔ)設(shè)施
關(guān)鍵的基礎(chǔ)設(shè)施包括社會(huì)所依賴的網(wǎng)絡(luò)物理系統(tǒng),涵蓋電網(wǎng)、水凈化、交通信號(hào)燈和醫(yī)院。例如,將一座發(fā)電廠接入互聯(lián)網(wǎng),就容易受到網(wǎng)絡(luò)攻擊。對(duì)于負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織,解決方案是執(zhí)行盡職調(diào)查,以保護(hù)了解漏洞并防范它們。其他人應(yīng)該評(píng)估對(duì)他們所依賴的關(guān)鍵基礎(chǔ)設(shè)施的攻擊可能會(huì)如何影響他們,然后制定應(yīng)急計(jì)劃。
網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全防范未經(jīng)授權(quán)的入侵以及懷有惡意的內(nèi)部人士,確保網(wǎng)絡(luò)安全常常需要權(quán)衡利弊。例如,訪問控制(如額外登錄)可能是必要的,但會(huì)降低工作效率。
用于監(jiān)控網(wǎng)絡(luò)安全的工具會(huì)生成大量數(shù)據(jù),以至于經(jīng)常會(huì)錯(cuò)過有效的警報(bào)。為了更好地管理網(wǎng)絡(luò)安全監(jiān)控,安全團(tuán)隊(duì)越來越多地使用機(jī)器學(xué)習(xí)來實(shí)時(shí)標(biāo)記異常流量和警告威脅。
云安全
企業(yè)進(jìn)軍云計(jì)算為安全帶來了新的挑戰(zhàn)。例如,2017年幾乎每周都有來自配置不良的云實(shí)例的數(shù)據(jù)泄露。云提供商正在創(chuàng)建新的安全工具,以幫助企業(yè)用戶更好地保護(hù)他們的數(shù)據(jù),但底線仍然存在:當(dāng)涉及網(wǎng)絡(luò)安全時(shí),向云轉(zhuǎn)移并不是執(zhí)行盡職調(diào)查的萬靈藥。
App 保護(hù)
應(yīng)用程序安全(AppSec),尤其是web應(yīng)用程序安全,已經(jīng)成為最薄弱的技術(shù)攻擊點(diǎn),但是很少有組織能夠完全緩解OWASP十大web漏洞。AppSec從安全編碼實(shí)踐開始,應(yīng)該通過模糊化和滲透測(cè)試加以增強(qiáng)。
快速的應(yīng)用程序開發(fā)和云部署已經(jīng)將DevOps看作是一門新的學(xué)科。DevOps團(tuán)隊(duì)通常優(yōu)先考慮業(yè)務(wù)需求而不是安全性,考慮到威脅的擴(kuò)散,這個(gè)重點(diǎn)可能會(huì)發(fā)生變化。
物聯(lián)網(wǎng)(IoT)安全
物聯(lián)網(wǎng)指的是各種各樣的關(guān)鍵和非關(guān)鍵網(wǎng)絡(luò)物理系統(tǒng),如家用電器、傳感器、打印機(jī)和安全攝像頭。物聯(lián)網(wǎng)設(shè)備往往處于不安全狀態(tài),提供的安全補(bǔ)丁很少甚至沒有,這不僅對(duì)它們的用戶構(gòu)成威脅,也對(duì)互聯(lián)網(wǎng)上的其他人構(gòu)成威脅,因?yàn)檫@些設(shè)備往往發(fā)現(xiàn)自己是僵尸網(wǎng)絡(luò)的一部分。這給家庭用戶和社會(huì)帶來了極大的安全挑戰(zhàn)。
網(wǎng)絡(luò)威脅的種類
常見的網(wǎng)絡(luò)威脅大致可分為三類:
保密攻擊:竊取或復(fù)制目標(biāo)的個(gè)人信息是網(wǎng)絡(luò)攻擊開始的次數(shù),包括信用卡欺詐、身份盜竊或盜竊比特幣錢包等普通犯罪攻擊。民族國家間諜將保密攻擊作為其工作的主要部分,以獲取機(jī)密信息為政治、軍事或經(jīng)濟(jì)利益。
對(duì)完整性的攻擊:也被稱為“破壞”或“完整性攻擊”,關(guān)鍵在于破壞、旨在破壞信息或系統(tǒng)以及依賴它們的人。整性攻擊可以是很微妙的:這里有一個(gè)錯(cuò)誤,那里有一點(diǎn)篡改或者對(duì)目標(biāo)進(jìn)行破壞或銷毀活動(dòng)。犯罪者的范圍從腳本小子到民族國家的攻擊者。
可用性攻擊:防止目標(biāo)訪問他們的數(shù)據(jù)是目前最常見的勒索軟件和拒絕服務(wù)攻擊的形式。勒索軟件加密目標(biāo)的數(shù)據(jù),并要求贖金解密它。拒絕服務(wù)攻擊(通常以分布式拒絕服務(wù)(DDoS)攻擊的形式出現(xiàn))會(huì)向網(wǎng)絡(luò)資源發(fā)送大量請(qǐng)求,使其不可用。
下面描述了這些攻擊的執(zhí)行方法。
社會(huì)工程
如果攻擊者能夠攻擊人類,他們就不會(huì)攻擊計(jì)算機(jī)。社會(huì)工程惡意軟件,通常用于發(fā)送勒索軟件,是攻擊的頭號(hào)方法(不是緩沖區(qū)溢出,錯(cuò)誤配置,或先進(jìn)的利用)。最終用戶被騙運(yùn)行特洛伊木馬程序,通常來自他們信任并經(jīng)常訪問的網(wǎng)站。持續(xù)的用戶教育是對(duì)抗這種攻擊的最佳對(duì)策。
釣魚式攻擊
有時(shí)候,盜取某人密碼的最好方法就是欺騙他們,讓他們透露自己的密碼。即使是受過良好安全訓(xùn)練的聰明用戶,也可能會(huì)受到釣魚攻擊。這就是為什么最好的防御是雙因素身份驗(yàn)證(2FA)——如果存在第二個(gè)因素,例如硬件安全令牌或用戶手機(jī)上的軟令牌身份驗(yàn)證應(yīng)用程序,被盜密碼對(duì)攻擊者來說毫無價(jià)值。
未修補(bǔ)的軟件
如果攻擊者對(duì)您部署了零日攻擊,就很難責(zé)怪您的企業(yè),但是修補(bǔ)失敗看起來很像沒有執(zhí)行的盡職調(diào)查。如果在一個(gè)漏洞被暴露數(shù)月或數(shù)年之后,您的企業(yè)還沒有應(yīng)用該安全補(bǔ)丁,那么您可能會(huì)被指控疏忽大意。再次強(qiáng)調(diào)補(bǔ)丁的重要性。
社交媒體的威脅
釣魚不僅僅是為了約會(huì)。可信的馬甲賬戶可以通過你的LinkedIn網(wǎng)絡(luò)慢慢滲透。如果一個(gè)認(rèn)識(shí)你100個(gè)專業(yè)聯(lián)系人的人開始談?wù)撃愕墓ぷ鳎銜?huì)覺得奇怪嗎?信口開河會(huì)使船沉沒。期待社交媒體的間諜活動(dòng),包括工業(yè)間諜和民族國家間諜。
先進(jìn)的持續(xù)威脅
說到民族國家的敵人,你的企業(yè)有他們。如果多個(gè)apt在您的公司網(wǎng)絡(luò)上玩捉迷藏,不要感到驚訝。如果您在任何地方正在做一些對(duì)某人來說非常有趣的事情,那么您需要考慮針對(duì)復(fù)雜apt的安全姿態(tài)。這一點(diǎn)在技術(shù)領(lǐng)域體現(xiàn)得最為明顯,因?yàn)檫@個(gè)行業(yè)擁有豐富的寶貴知識(shí)產(chǎn)權(quán),許多罪犯和國家都會(huì)毫不猶豫地去竊取。
網(wǎng)絡(luò)安全的職業(yè)
實(shí)施強(qiáng)有力的網(wǎng)絡(luò)安全戰(zhàn)略需要你有合適的人選。從高層到前線的安全工程師,對(duì)專業(yè)網(wǎng)絡(luò)安全人員的需求從未像現(xiàn)在這樣高。隨著保護(hù)公司數(shù)據(jù)成為企業(yè)至關(guān)重要的任務(wù),安全部門的領(lǐng)導(dǎo)人已經(jīng)擠進(jìn)了高管層和董事會(huì)。首席安全官(CSO)或首席信息安全官(CISO)現(xiàn)在是任何正規(guī)企業(yè)都必須擁有的核心管理職位。
角色也變得更加專業(yè)化。多面手安全分析師的時(shí)代正在迅速消逝。今天,滲透測(cè)試人員可能會(huì)關(guān)注應(yīng)用程序安全、網(wǎng)絡(luò)安全或釣魚用戶來測(cè)試安全意識(shí)。事件響應(yīng)可能24/7隨叫隨到。以下角色是任何安全團(tuán)隊(duì)的基礎(chǔ)配置。
CISO /方案
CISO是一個(gè)c級(jí)管理人員,負(fù)責(zé)監(jiān)督組織的IT安全部門和相關(guān)人員的操作。CISO指導(dǎo)和管理策略、操作和預(yù)算,以保護(hù)組織的信息資產(chǎn)。
安全分析師
也被稱為網(wǎng)絡(luò)安全分析師、數(shù)據(jù)安全分析師、信息系統(tǒng)安全分析師或IT安全分析師,這個(gè)角色通常有以下職責(zé):
1. 計(jì)劃、實(shí)施和升級(jí)安全措施和控制;
2. 保護(hù)數(shù)字文件和信息系統(tǒng)免受未經(jīng)授權(quán)的訪問、修改或破壞;
3. 維護(hù)數(shù)據(jù)并監(jiān)控安全訪問;
4. 進(jìn)行內(nèi)部和外部安全審計(jì);
5. 管理網(wǎng)絡(luò)、入侵檢測(cè)和預(yù)防系統(tǒng);
6. 分析安全漏洞,確定其根本原因;
7. 定義、實(shí)現(xiàn)和維護(hù)公司安全策略;
8. 與外部供應(yīng)商協(xié)調(diào)安全計(jì)劃;
安全架構(gòu)師
一個(gè)好的信息安全架構(gòu)師橫跨業(yè)務(wù)和技術(shù)領(lǐng)域。雖然不同行業(yè)的角色在細(xì)節(jié)上可能有所不同,但是高級(jí)職員的角色是負(fù)責(zé)計(jì)劃、分析、設(shè)計(jì)、配置、測(cè)試、實(shí)現(xiàn)、維護(hù)和支持組織的計(jì)算機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。這需要全面了解業(yè)務(wù),了解其技術(shù)和信息需求。
安全工程師
安全工程師站在保護(hù)公司資產(chǎn)免受威脅的第一線。這份工作需要很強(qiáng)的技術(shù)、組織和溝通能力。IT安全工程師是一個(gè)相對(duì)較新的職位。它的重點(diǎn)是IT基礎(chǔ)設(shè)施中的質(zhì)量控制。這包括設(shè)計(jì)、構(gòu)建和保護(hù)可伸縮的、安全的和健壯的系統(tǒng);負(fù)責(zé)運(yùn)營數(shù)據(jù)中心系統(tǒng)和網(wǎng)絡(luò);協(xié)助本組織了解先進(jìn)的網(wǎng)絡(luò)威脅;并幫助制定保護(hù)這些網(wǎng)絡(luò)的策略。