當(dāng)每個(gè)員工成為企業(yè)安全的一部分時(shí)，擁有一種安全文化(包括教育、IT運(yùn)營(yíng)和安全團(tuán)隊(duì)之間的協(xié)作以及安全工具)是至關(guān)重要的。這是IDG-TECH(talk)在最近進(jìn)行的一次網(wǎng)絡(luò)討論中達(dá)成的共識(shí)。

[[334408]]

確保企業(yè)安全并非易事。這是因?yàn)槠髽I(yè)在安全方面需要教育和培訓(xùn)員工，管理和保護(hù)數(shù)百甚至數(shù)千臺(tái)設(shè)備，以及時(shí)刻應(yīng)對(duì)不斷發(fā)展的安全威脅。

企業(yè)的首席安全官(CSO)和首席信息安全官(CISO)依靠其強(qiáng)大的信息網(wǎng)絡(luò)來保持其組織盡可能的安全。IDG TECH(Talk)在Twitter和實(shí)時(shí)視頻發(fā)起了一場(chǎng)討論，與安全專家和科技行業(yè)觀察人士一起對(duì)2020年企業(yè)安全狀況以及如何防范網(wǎng)絡(luò)攻擊者進(jìn)行了探討。

安全意識(shí)的缺乏是一個(gè)問題

安全意識(shí)的缺乏仍然困擾著很多企業(yè)，因?yàn)槠髽I(yè)員工不可避免地犯錯(cuò)，使企業(yè)容易受到攻擊。波士頓學(xué)院首席技術(shù)專家Peter Salvitti指出，這些錯(cuò)誤其中包括：弱密碼、電子郵件操作不當(dāng)、政策和工具過時(shí)、沒有監(jiān)控，以及對(duì)數(shù)據(jù)所在位置的一無(wú)所知。

微軟M365卓越中心的安全和法規(guī)遵從架構(gòu)師Wayne Anderson補(bǔ)充說，企業(yè)管理者往往對(duì)威脅一無(wú)所知，即使這意味著可能降低企業(yè)的脆弱性，也不愿意改變傳統(tǒng)做法。

他說，“有些企業(yè)管理者總是喜歡說這兩句話：‘我們就是這樣做的，我們真的不知道怎么做才對(duì)'，以及‘我們只是沒有那么大的目標(biāo)。'”

Cloud Technology Partners (CTP)公司副總裁兼首席云計(jì)算架構(gòu)師Ed Featherston對(duì)于企業(yè)如何成為黑客的目標(biāo)進(jìn)行了闡述。

他說，“我們經(jīng)常和客戶建立一個(gè)公共共享/存儲(chǔ)點(diǎn)，通常在幾分鐘之內(nèi)就有人試圖進(jìn)行攻擊，客戶表示，‘我沒想到會(huì)有這種反應(yīng)’。”

網(wǎng)絡(luò)安全專家Scott Schober說，缺乏安全意識(shí)也體現(xiàn)在員工的個(gè)人行為中，例如在社交媒體上分享過多信息。

如何提高企業(yè)安全性

企業(yè)可以通過改進(jìn)密碼策略基礎(chǔ)知識(shí)、創(chuàng)建安全系統(tǒng)來驗(yàn)證密碼是否正在更新，以及對(duì)員工進(jìn)行培訓(xùn)來解決安全問題。

做好這項(xiàng)工作的一個(gè)關(guān)鍵方面是增強(qiáng)工作人員對(duì)持續(xù)安全的參與感，從而創(chuàng)造一種安全文化。企業(yè)想讓員工感受到自己是安全解決方案的一部分。

正如Salvitti所說，“企業(yè)不要認(rèn)為員工是薄弱環(huán)節(jié)，而讓他們參與進(jìn)來，讓他們成為項(xiàng)目的利益相關(guān)者和計(jì)劃的一部分。”

技術(shù)撰稿人Will Kelly對(duì)此表示認(rèn)同，他說：“這需要更多具有安全意識(shí)的員工、開發(fā)人員和運(yùn)營(yíng)人員。然后使用行業(yè)標(biāo)準(zhǔn)的框架、培訓(xùn)和工具來強(qiáng)化這些人員的安全意識(shí)。”

此外，Salvitti強(qiáng)調(diào)，IT運(yùn)營(yíng)和安全需要協(xié)同工作。他說：“IT運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該與企業(yè)的安全團(tuán)隊(duì)合作，不要把他們排除在外，需要讓他們加入。”

Zeus Kerravala在最近發(fā)表的一篇《2020年首席信息官的大任務(wù)：將安全和IT運(yùn)營(yíng)結(jié)合在一起》的文章中寫道，通過彌合這些孤立團(tuán)隊(duì)之間的差距，企業(yè)可以提高可視性，并具有更好的安全性。

Kerravala寫道，“研究發(fā)現(xiàn)，在缺乏安全性和IT之間協(xié)作的組織中，修補(bǔ)IT漏洞所需的時(shí)間要比擁有良好關(guān)系的團(tuán)隊(duì)時(shí)間要多出兩周的時(shí)間。這種延遲可能使企業(yè)面臨破壞業(yè)務(wù)，損害品牌聲譽(yù)，甚至使運(yùn)營(yíng)癱瘓的巨大風(fēng)險(xiǎn)。”

Salvitti表示，企業(yè)還必須驗(yàn)證其使用的產(chǎn)品和服務(wù)的安全性。他說，“企業(yè)需要問自己，是否參與和訂閱了已知的安全框架?是否知道互聯(lián)網(wǎng)安全中心(CIS)優(yōu)秀20個(gè)安全控件?是否是負(fù)責(zé)安全性的行業(yè)機(jī)構(gòu)的成員?使用的產(chǎn)品和服務(wù)符合最新法規(guī)嗎?”

Tapad公司高級(jí)信息安全專家Ben Rothke表示，安全層可以為應(yīng)對(duì)黑客攻擊提供緩沖，為員工提供多條防線，并減輕了他們始終保持警惕的壓力。

Rothke說，“企業(yè)需要深度防御措施。需要使用防火墻、過濾、防止數(shù)據(jù)丟失(DLP)、物聯(lián)網(wǎng)安全、加密、入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)(IDS/IPS)、DNS安全、容器安全、Web應(yīng)用程序防火墻(WAF)、DDoS緩解、云安全等信息安全工具，而且還要注意人身安全。”