根據(jù)漏洞情報，漏洞數(shù)據(jù)和風險評級的全球領導者Risk Based Security的數(shù)據(jù)顯示，2019年有望成為網(wǎng)絡犯罪“有史以來很糟糕的一年”。在勒索軟件、病毒、特洛伊木馬和網(wǎng)絡釣魚事件幾乎持續(xù)不斷的頭條新聞中，我們已經(jīng)看到了這種情況，這對各種規(guī)模的企業(yè)造成了嚴重破壞。這些攻擊不僅在頻率上增加了，而且在收入影響和復雜性上也有所增加。

[[313479]]

去年春天，名為羅賓漢(RobbinHood)的全新勒索軟件開創(chuàng)的針對Baltimore數(shù)據(jù)網(wǎng)絡的勒索軟件攻擊，導致網(wǎng)絡宕機造成至少1820萬美元的收入損失。這并沒有引起人們的注意。瞻博網(wǎng)絡研究發(fā)現(xiàn)，網(wǎng)絡犯罪已經(jīng)造成了2萬億美元的損失。該公司估計，到2021年這一數(shù)字將達到6萬億美元。

所有這些負面報道已經(jīng)轉(zhuǎn)化為客戶和IT專業(yè)人士之間的艱難對話——無論您是自己完成所有工作，還是尋求云服務提供商(CSP)的幫助。事實上，如果您是一名IT開發(fā)人員、買方或可能受到網(wǎng)絡犯罪影響的人員(基本上是我們所有人)，對數(shù)據(jù)安全性有一個粗略的了解是這項工作必不可少的一部分。否則，你就會把自己或公司置于危險之中。

為2020年做準備

解決此問題的第一步就是承認它的存在，這就是許多組織在2020年為應對網(wǎng)絡犯罪做準備時正在做的事情。我們防范網(wǎng)絡犯罪的能力正在提高，因為各組織在安全方面投入了更多的資金，并將其戰(zhàn)略重點放在了安全方面。其中一種策略稱為“零信任”，它將技術、服務、人員和流程合并到一個包含多層防御的內(nèi)聚方法中。

由Forrester Research在十年前開發(fā)的零信任安全模型可以總結為“從不信任，總是驗證”。換句話說，不管是否嘗試從組織的網(wǎng)絡內(nèi)部或外部連接到系統(tǒng)或數(shù)據(jù)，未經(jīng)驗證都不允許訪問。零信任是必要的，因為傳統(tǒng)的網(wǎng)絡安全已經(jīng)無法保證數(shù)據(jù)安全不受當今先進威脅的影響。

實現(xiàn)零信任的四種方法

讓我們來舉個例子:如果你從前門進入你的房子，你希望能夠進入里面的所有房間。在一個零信任的世界中，您不一定能夠自動訪問所有的房間。事實上，沒有進一步的許可，你可能無法越過入口。

為了達到零信任所需的安全級別，我建議依賴這四個核心租戶:物理安全、邏輯安全、流程和第三方認證。

• 物理安全

物理安全仍然是第一層防御。物理數(shù)據(jù)中心(無論是在本地還是在云中)，都是客戶數(shù)據(jù)的中心。因此，它也應該是防范網(wǎng)絡盜竊的主要防御手段。應該對您或您的CSP管理的所有數(shù)據(jù)中心給予同等的優(yōu)先級和關注，并在所有物理資產(chǎn)上應用一致的安全標準。這包括主動監(jiān)控，通過批準的訪問列表控制對所有設施的訪問，以及安全的環(huán)境因素，如電力、冷卻和滅火。

• 邏輯安全

邏輯安全是指技術配置和軟件的許多不同層，它們創(chuàng)建了安全穩(wěn)定的基礎。在層方面，邏輯安全應用于網(wǎng)絡、存儲和程序管理層。您或者您的CSP的位置，應該在每一層中提供盡可能多的安全性。一定要提前咨詢您的CSP，以確保您的邏輯安全性得到了正確的處理。

• 流程

沒有經(jīng)過培訓和有經(jīng)驗的人員，任何安全解決方案(無論是物理的還是邏輯的)都是無效的。如果管理系統(tǒng)的人員不了解如何在為保護各種系統(tǒng)而建立的控制中工作，那么解決方案將失敗。簡單地說，你不會在一個家庭安全系統(tǒng)上花費過多資金，然后把你房子的鑰匙從前門的鎖上伸出來。員工背景檢查、安全性和遵從性培訓、定期訪問審查、針對基礎設施的年度滲透測試，以及所有系統(tǒng)的定期補丁計劃，這些都是實施正確流程的關鍵。

• 第三方認證

來自第三方驗證的信心不能被夸大。即使是最安全的組織也可以從附加的審查中受益。您或您的CSP應該考慮遵守以下一些框架和標準:HIPAA、HITRUST、SSAE16、ITIL、GDPR、CSA STAR、CJIS等。

回到未來

僅在2019年，就有無數(shù)的“內(nèi)鬼”利用有效憑證，對公司內(nèi)部造成巨大損害的例子。與外部安全威脅(勒索軟件、惡意軟件等)相關的安全風險似乎每天都在增長，您會明白為什么客戶在他們的IT組織中追求零信任策略。

組織中的零信任策略可以消除許多僅由技術實現(xiàn)遺留下來的漏洞。隨著我們進入2020年及其可能帶來的一切，重要的是要認識到網(wǎng)絡犯罪會在數(shù)量、影響和復雜性上增加。這并不意味著我們無能為力，卻意味著我們需要改變，零信任策略可以幫助解決這個問題。