你的敏感資料是否安全?

這并不夸張:任何公司都可能成為網(wǎng)絡(luò)犯罪的受害者。有關(guān)網(wǎng)絡(luò)攻擊的報告來自政府機(jī)構(gòu)、教育和醫(yī)療機(jī)構(gòu)、銀行、律師事務(wù)所、非營利組織和許多其他組織。

[[277476]]

黑客、內(nèi)部威脅、勒索軟件和其他危險都存在。

聰明的企業(yè)正在加大對網(wǎng)絡(luò)安全的投資，以消除風(fēng)險，確保敏感數(shù)據(jù)的安全，這已經(jīng)帶來了首批成果。請看下面的信息圖表，了解網(wǎng)絡(luò)安全的新趨勢。

接下來的問題是:作為一名企業(yè)主，在2019年我能做些什么來保護(hù)我的數(shù)據(jù)?

上圖顯示，在政府機(jī)構(gòu)和企業(yè)都開始加大對網(wǎng)絡(luò)安全的投資的同時，數(shù)據(jù)泄露的數(shù)量顯著下降。

不知道從哪里開始加強(qiáng)你的網(wǎng)絡(luò)安全政策?我們準(zhǔn)備告訴你網(wǎng)絡(luò)安全的趨勢和新的技術(shù)。

以下是我們2019年的IT安全優(yōu)秀實(shí)踐清單:

1. 考慮生物安全

生物識別技術(shù)確保了快速認(rèn)證、安全訪問管理和精確的員工監(jiān)控。

在提供對有價值資產(chǎn)的訪問之前，驗(yàn)證用戶的身份對企業(yè)來說至關(guān)重要。語音識別、指紋掃描、手掌生物識別、面部識別、行為生物識別和步態(tài)分析是識別用戶是否是他們自稱的人的完美選擇。

使用生物識別技術(shù)提供了比密碼和短信驗(yàn)證更安全的身份驗(yàn)證。這就是為什么生物識別技術(shù)已經(jīng)成為多因素認(rèn)證的重要組成部分。

然而，身份驗(yàn)證并不是生物識別的唯一用途。安全人員受益于各種生物識別驅(qū)動的工具，這些工具允許他們實(shí)時檢測受損的特權(quán)帳戶。

行為生物學(xué)分析用戶與輸入設(shè)備交互的方式。如果檢測到異常行為，工具會向安全人員發(fā)送警告，以便他們能夠立即做出反應(yīng)。

以下是用戶和實(shí)體行為分析(UEBA)系統(tǒng)可以使用的幾種行為生物識別技術(shù):

• 擊鍵動態(tài)——考慮打字速度和在某些單詞中出現(xiàn)典型錯誤的傾向，以創(chuàng)建用戶行為概要文件
• 鼠標(biāo)動態(tài)—跟蹤鼠標(biāo)點(diǎn)擊和鼠標(biāo)移動速度、節(jié)奏和樣式之間的時間間隔
• 眼動生物測定-使用眼睛和注視跟蹤設(shè)備來記錄眼睛運(yùn)動的視頻和檢測獨(dú)特的模式

market sandmarkets對2018年的預(yù)測顯示，到2023年，生物識別市場將從2018年的168億美元增長到418億美元。因此，請密切關(guān)注生物特征安全技術(shù)，并為您的用例選擇優(yōu)秀技術(shù)。

2. 形成分級的網(wǎng)絡(luò)安全政策

為什么書面的網(wǎng)絡(luò)安全政策如此重要?

首先，書面政策作為貴公司所有網(wǎng)絡(luò)安全措施的正式指南。

它允許您的安全專家和員工處于同一頁面，并為您提供了一種強(qiáng)制執(zhí)行保護(hù)數(shù)據(jù)的規(guī)則的方法。然而，每個部門的工作流程可能是獨(dú)特的，而且很容易被不必要的網(wǎng)絡(luò)安全措施打亂。

雖然集中式安全策略作為整個公司的基本方針是有益的，但它不應(yīng)該覆蓋每個部門的每個流程。相反，允許您的部門基于中央策略創(chuàng)建自己的安全策略。

以這種分層的方式確定安全策略有很多好處。通過這樣做，您可以考慮每個部門的需求，并確保他們的工作流和您的底線不會在安全的名義下受到損害。

伊利諾伊州政府網(wǎng)站提供了一個很好的網(wǎng)絡(luò)安全政策模板，可以作為你分級管理的起點(diǎn)。

如果您想學(xué)習(xí)如何預(yù)防、檢測和糾正內(nèi)部攻擊，您應(yīng)該考慮構(gòu)建一個內(nèi)部威脅程序。

3.采用基于風(fēng)險的安全方法

法規(guī)遵從性不能保護(hù)您的數(shù)據(jù)。

每個行業(yè)都有其特定的和隱藏的風(fēng)險，因此關(guān)注法規(guī)遵從性和滿足所有標(biāo)準(zhǔn)法規(guī)不足以保護(hù)您的敏感數(shù)據(jù)。

注意你的公司所面臨的風(fēng)險，以及它們?nèi)绾斡绊懩愕牡拙€。這里比較好的工具是全面的風(fēng)險評估。

以下是風(fēng)險評估允許你做的一些最重要的事情:

識別所有有價值的資產(chǎn)，公司當(dāng)前的網(wǎng)絡(luò)安全狀況，明智地管理你的安全策略

適當(dāng)?shù)娘L(fēng)險評估可以讓你避免許多不愉快的事情，比如因不遵守規(guī)定而被罰款，為潛在的泄漏和違規(guī)行為而付出的補(bǔ)救成本，以及由于流程缺失或效率低下而造成的損失。

找出網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，并做出相應(yīng)的調(diào)整。此外，請密切關(guān)注使用數(shù)據(jù)庫和框架的新黑客技術(shù)，例如MITRE ATT&CK for enterprise。

全面的風(fēng)險評估將幫助您優(yōu)先考慮您的安全措施，并使您的策略以優(yōu)質(zhì)的方式服務(wù)于公司的底線。

您可以在Compliance Forge網(wǎng)站上找到一個風(fēng)險評估工作表和評估報告的實(shí)際示例。如果你需要更多關(guān)于如何在你的公司進(jìn)行風(fēng)險評估的信息，請查看它。

4. 備份數(shù)據(jù)

定期備份數(shù)據(jù)，確保數(shù)據(jù)的安全性。

備份數(shù)據(jù)是近年來越來越重要的信息安全優(yōu)秀實(shí)踐之一。隨著勒索軟件的出現(xiàn)，對所有數(shù)據(jù)進(jìn)行完整的、當(dāng)前的備份可能是一種救星。

如何處理備份?您需要確保它們被徹底保護(hù)、加密并經(jīng)常更新。同樣重要的是，將備份任務(wù)分配給幾個人，以減輕內(nèi)部威脅。

美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)提供了一份文件，詳細(xì)說明了不同的數(shù)據(jù)備份選項(xiàng)。如果你想了解更多關(guān)于這個話題的信息，你應(yīng)該讀一讀聯(lián)邦調(diào)查局關(guān)于勒索軟件的一篇優(yōu)秀文章。

5. 物聯(lián)網(wǎng)安全管理

今年延續(xù)了2018年以來的趨勢——物聯(lián)網(wǎng)設(shè)備越來越受歡迎。

貝恩公司預(yù)測，物聯(lián)網(wǎng)市場將在2021年增長到約5200億美元。然而，無論我們多么渴望看到新技術(shù)，安全總是第一位的。

物聯(lián)網(wǎng)設(shè)備很具挑戰(zhàn)性的地方是它們對敏感信息的訪問。

安全攝像頭、門鈴、智能門鎖、供暖系統(tǒng)、辦公設(shè)備——所有這些你的商業(yè)網(wǎng)絡(luò)的小部件都是潛在的接入點(diǎn)。

例如，一臺受損的打印機(jī)可以允許惡意行為者查看正在打印或掃描的所有文檔。

以下是一些企業(yè)網(wǎng)絡(luò)安全的優(yōu)秀實(shí)踐:

• 進(jìn)行滲透測試，了解真正的風(fēng)險，并據(jù)此制定安全策略。
• 為靜態(tài)和傳輸中的數(shù)據(jù)提供加密(端到端加密)。
• 確保正確的身份驗(yàn)證只允許到端點(diǎn)的可信連接。
• 不要使用默認(rèn)的硬編碼憑證:通常使用的密碼在互聯(lián)網(wǎng)上很容易找到。
• 購買安全和較新的路由器，并啟用防火墻。
• 開發(fā)一個可伸縮的安全框架來支持所有物聯(lián)網(wǎng)部署。
• 考慮實(shí)現(xiàn)端點(diǎn)安全解決方案。

6. 使用多因素身份驗(yàn)證

多因素身份驗(yàn)證(MFA)是高級安全策略的必備解決方案。

雖然這是一個基本的實(shí)現(xiàn)，但MFA仍然屬于網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐。它是如此有效，以至于國家網(wǎng)絡(luò)安全聯(lián)盟甚至將MFA加入到其安全意識和教育運(yùn)動中。

MFA通過添加額外的安全層幫助您保護(hù)敏感數(shù)據(jù)，使惡意行為者幾乎沒有機(jī)會像您一樣登錄。

即使惡意行為者擁有您的密碼，他們?nèi)匀恍枰牡诙€或第三個身份驗(yàn)證“因素”，例如安全令牌、您的移動電話、您的指紋或您的語音。

作為一個額外的好處，MFA還允許您明確區(qū)分共享帳戶的用戶，從而改進(jìn)訪問控制。

還請閱讀:雙因素身份驗(yàn)證:類別、方法和任務(wù)

7. 處理密碼安全

提到密碼和安全密碼處理的重要性總是值得的。

密碼管理是企業(yè)安全的一個關(guān)鍵部分，尤其是涉及特權(quán)訪問管理(PAM)時。特權(quán)帳戶是網(wǎng)絡(luò)罪犯的寶石誰試圖獲得訪問您的敏感數(shù)據(jù)和最有價值的商業(yè)信息。

確保適當(dāng)安全性的優(yōu)秀方法是使用專用工具，如密碼保險庫和PAM解決方案。這樣，您可以防止未經(jīng)授權(quán)的用戶訪問特權(quán)帳戶，同時簡化員工的密碼管理。

網(wǎng)絡(luò)威脅行為者仍然使用密碼噴霧攻擊來竊取敏感信息，擾亂運(yùn)營，損害組織的財務(wù)和聲譽(yù)。

當(dāng)你為你的員工設(shè)定密碼要求時，以下是你應(yīng)該考慮的主要技巧:

• 為一個帳戶使用一個密碼。
• 使用容易記住的短語，而不是由隨機(jī)字符組成的短字符串。
• 使用助記符或其他個人策略來記住長密碼。
• 無論多么方便，都不能互相共享憑據(jù)。
• 要求員工在一段時間后更改密碼。

美國國家網(wǎng)絡(luò)安全和通信集成中心(National Cybersecurity and Communications Integration Center)提出了一套選擇和保護(hù)強(qiáng)密碼的建議。如果你想了解更多細(xì)節(jié)，可以查看它們。

8. 使用最少特權(quán)原則

注意:有太多特權(quán)用戶訪問您的數(shù)據(jù)是非常危險的。

默認(rèn)情況下，授予新員工所有特權(quán)允許他們訪問敏感數(shù)據(jù)，即使他們不一定需要這樣做。這種方法增加了內(nèi)部威脅的風(fēng)險，并允許黑客在您的任何員工賬戶受到攻擊時訪問敏感數(shù)據(jù)。

一個更好的解決方案是使用最小特權(quán)原則。

換句話說，為每個新帳戶分配盡可能少的特權(quán)，并在必要時升級特權(quán)。當(dāng)不再需要訪問敏感數(shù)據(jù)時，應(yīng)立即撤銷所有相應(yīng)的特權(quán)。

持續(xù)的特權(quán)管理可能是困難和耗時的，特別是對于大公司，但是市場上有很多訪問管理解決方案可以使其變得更容易。

特別是，當(dāng)您需要處理不受控制的特權(quán)時，專門化的PAM解決方案可以證明是一種救命稻草。

最小特權(quán)原則似乎類似于零信任安全模型，該模型還通過顯著減少無保證的信任來降低內(nèi)部威脅的風(fēng)險。

零信任實(shí)踐表示，只向那些已經(jīng)在系統(tǒng)中進(jìn)行了身份驗(yàn)證和驗(yàn)證的用戶和設(shè)備授予訪問權(quán)限。

9. 關(guān)注特權(quán)用戶

擁有特權(quán)帳戶的用戶是公司較大的資產(chǎn)之一，還是對數(shù)據(jù)安全的較大威脅之一?

有特權(quán)的用戶擁有所有必要的手段來竊取您的敏感數(shù)據(jù)，并且不被注意。無論你多么信任擁有特權(quán)賬戶的員工，任何事情都有可能發(fā)生。

你怎樣才能把風(fēng)險降到很低?以下是一些簡單而有效的步驟:

• 通過實(shí)現(xiàn)最小特權(quán)原則來限制特權(quán)用戶的數(shù)量。
• 確保在用戶終止使用特權(quán)帳戶時，立即刪除特權(quán)帳戶。
• 使用用戶活動監(jiān)視解決方案來記錄在網(wǎng)絡(luò)中采取的任何操作。

您可以查看Ponemon研究所的這份出色的報告，了解更多關(guān)于特權(quán)用戶在內(nèi)部威脅場景中的角色。

10. 監(jiān)控對數(shù)據(jù)的第三方訪問

控制第三方訪問是您的安全策略的一個重要部分。

遠(yuǎn)程員工、分包商、業(yè)務(wù)合作伙伴、供應(yīng)商和供應(yīng)商——這只是可能遠(yuǎn)程訪問您數(shù)據(jù)的人員和公司的一小部分。

第三方訪問不僅會帶來更高的內(nèi)部攻擊風(fēng)險，還會為惡意軟件和黑客進(jìn)入您的系統(tǒng)打開大門。

通過第三方訪問來保護(hù)您的敏感數(shù)據(jù)不受攻擊的一個好方法是監(jiān)視第三方操作。您可以限制第三方用戶的訪問范圍，并知道誰確切地連接到您的網(wǎng)絡(luò)以及為什么。

用戶活動監(jiān)視還應(yīng)該與一次性密碼結(jié)合使用，以便提供所有用戶操作的完整日志記錄，以便您可以檢測惡意活動并在必要時進(jìn)行調(diào)查。

11. 小心網(wǎng)絡(luò)釣魚

你們所有的員工都知道網(wǎng)絡(luò)釣魚嗎?

值得注意的是，內(nèi)部威脅不會以惡意員工告終。更常見的情況是，善意的員工無意中幫助了犯罪者，為他們提供了進(jìn)入你的系統(tǒng)的方法。

網(wǎng)絡(luò)攻擊者使用垃圾郵件和電話等網(wǎng)絡(luò)釣魚技術(shù)來獲取員工信息、獲取他們的證書，或者用惡意軟件感染系統(tǒng)。

你的基本防御可以很簡單，只包括兩個步驟:

獲得一個正確配置的垃圾郵件過濾器，并確保最明顯的垃圾郵件總是被阻塞。

教育你的員工流行的網(wǎng)絡(luò)釣魚技術(shù)和很好的處理方法。

幸運(yùn)的是，教育和意識確實(shí)起了作用，人們現(xiàn)在對網(wǎng)絡(luò)威脅的意識要高得多。Verizon 2018年的數(shù)據(jù)泄露調(diào)查報告強(qiáng)調(diào)，73%的人在2017年沒有點(diǎn)擊任何惡意郵件。他們2019年的報告顯示，2018年網(wǎng)絡(luò)釣魚攻擊的點(diǎn)擊率只有3%。

您可以在US-CERT網(wǎng)站上找到更多關(guān)于網(wǎng)絡(luò)釣魚的信息，包括報告形式。

12. 提高員工的意識

這可能很難相信，但你的員工是保護(hù)你數(shù)據(jù)的關(guān)鍵。

處理員工疏忽和安全錯誤的一個可靠方法是教育他們?yōu)槭裁窗踩苤匾?

• 提高對公司面臨的網(wǎng)絡(luò)威脅及其如何影響底線的認(rèn)識。
• 向你的員工解釋每項(xiàng)電腦安全措施的重要性。
• 展示現(xiàn)實(shí)生活中安全漏洞的例子，它們的后果，以及恢復(fù)過程的困難。
• 詢問員工對當(dāng)前公司安全體系的反饋。
• 詢問員工關(guān)于如何將健壯的安全性與高效的工作流結(jié)合起來的新想法。

雇傭你的員工作為你辯護(hù)的一部分，你會發(fā)現(xiàn)疏忽和錯誤的情況將會減少。讓你的員工接受適當(dāng)?shù)呐嘤?xùn)比處理意外行為造成的數(shù)據(jù)泄露要好得多。

上述網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐將幫助您保護(hù)您的數(shù)據(jù)和您的企業(yè)的聲譽(yù)。然而，實(shí)現(xiàn)它們是另一個挑戰(zhàn)。