Hiscox發(fā)布報告稱，自2019年以來，企業(yè)在網絡安全方面的支出翻了一番。2N TELEKOMUNIKACE首席產品官Tomáš Vystavěl調查訪問控制已成打擊網絡犯罪重要資產的個中緣由。

2021年早些時候，Hiscox對位于美國、英國、西班牙、荷蘭、德國、法國、比利時和愛爾蘭的6000多家公司進行了問卷調查，據此發(fā)布了《2021年網絡準備度報告》。最引人注目的發(fā)現(xiàn)之一是，在過去兩年中，各家企業(yè)在網絡安全方面的支出平均增加了一倍多。

不過，網絡安全開支增加是應對威脅水平日益增長的理性選擇。Hiscox的研究表明，從2019年到2020年，成為網絡罪犯目標的公司更多了，且遭遇攻擊的公司中28%都經歷了不止五次攻擊。近半數受訪者表示，自新冠肺炎疫情開始以來，自家公司變得更容易受到網絡攻擊;在員工數量超過250名的企業(yè)中，這么認為的受訪者占比上升到59%。遭遇網絡攻擊的企業(yè)中，大約六分之一認為網絡安全事件威脅到了企業(yè)生存能力。調查還發(fā)現(xiàn)，遭網絡罪犯侵襲的企業(yè)中，約六分之一被勒索金錢，其中半數以上真的付款了。

Hiscox進一步評估公司在六個不同能力領域的成熟度，這六個能力領域組成了安裝、運行、管理和治理有效安全系統(tǒng)所需的種種要素。其中的“身份與訪問管理”能力在所有受訪公司中位居能力成熟度列表的倒數第二位。

為什么訪問控制是網絡安全計劃的重要組成部分?

現(xiàn)實總是比理想骨感。在網絡安全方面，訪問控制并不總是企業(yè)的首要考慮，很多公司在這方面仍然處于需要“迎頭趕上”的狀態(tài)。不過，情況正在迅速改變?，F(xiàn)在，越來越多的公司意識到，如果訪問控制系統(tǒng)受到損害，企業(yè)大廈的日常運營，還有其中人員，都可能面臨風險。

這些公司正采取各種措施，重點應對最緊迫的威脅，尤其是下面這五個威脅：

• 中間人攻擊(MitM)：黑客接入網絡并竊聽終端設備間通信的攻擊。攻擊者可通過中間人攻擊盜取開門密碼和設備登錄口令。

• 密碼/字典攻擊：黑客嘗試猜解設備登錄密碼的攻擊(通常使用密碼生成器，嘗試不同猜解策略)。

• 局域網未授權連接：門禁對講機或讀卡器可能會裝在房子外面，給壞人留下了破壞對講機并利用UTP電纜接入LAN網絡的機會。

• 對講系統(tǒng)攝像頭未授權查看：網絡攝像頭留有默認密碼的事很常見，基本上任何人都可以連接這種攝像頭，查看拍到的所有情況。

• 針對手機的惡意軟件攻擊：由于十分便利，基于手機憑證的訪問控制系統(tǒng)越來越受歡迎。但是，這種系統(tǒng)也一直是黑客的目標，他們試圖通過憑證竊取、監(jiān)視和惡意廣告來攻擊智能手機。

這些威脅不僅僅局限于網絡領域。訪問控制遭破壞也可能構成物理威脅——如果罪犯能夠潛入大樓的話。即便物理安全未遭破壞，網絡攻擊也可能導致成百上千萬元的監(jiān)管處罰，中斷核心業(yè)務功能，威脅企業(yè)聲譽。

保護訪問控制系統(tǒng)免受網絡攻擊侵害：應遵循哪些基本規(guī)則?

很明顯，威脅逐漸加重，企業(yè)應該采取一些基本的“良好實踐”措施來保護其IT系統(tǒng)的各個方面。例如，使用復雜的強密碼，定期對IT基礎設施進行安全審計以識別和消除可能的漏洞，并培訓負責保護大樓IT基礎設施的安全團隊，讓他們了解最常見的威脅及其應對方法。

最重要的是，具體到訪問控制上，公司可以遵循下面這幾條收效甚高的附加規(guī)則：

• 遵循經驗證的安全控制框架。其中兩個備受認可的安全控制框架是ISO 27001和SOC 2。這些框架可以指導公司創(chuàng)建安全的系統(tǒng)和流程。

• 確保訪問控制系統(tǒng)采用了加密和多步身份驗證。這樣可以保護設備、控制器和移動設備之間的通信，并杜絕出于“維護目的”的后門。

• 創(chuàng)建獨立的網絡，專用于處理敏感信息的設備，并確保這些設備之間的通信是加密的。將這些設備置于獨立的虛擬局域網(VLAN) 中，確保已安裝設備或軟件的制造商默認使用HTTPS、TLS、SIPS或SRTP等實現(xiàn)協(xié)議。

• 創(chuàng)建具有不同權限的賬戶。這么做可以確保用戶只能夠做出與其特定任務相關的更改，而管理員會得到更大的權限來管理大樓和所有關聯(lián)賬戶。

• 經常升級軟件。在設備上安裝最新的固件版本是降低網絡安全風險的重要措施。每個新版本都通過實現(xiàn)最新安全補丁來修復在軟件上發(fā)現(xiàn)的漏洞。

• 安排網絡安全培訓，教育員工規(guī)避社會工程威脅。人的因素是任何系統(tǒng)中最脆弱的一環(huán)，攻擊者可以誘騙員工犯下安全錯誤，或者給出敏感信息。因此，有必要定期培訓員工，培養(yǎng)他們的網絡安全意識。

這些規(guī)則并不復雜，遵循這些規(guī)則也不用投入太多資源。事實上，隨著抗擊網絡攻擊和數據泄露的戰(zhàn)爭愈演愈烈，哪家公司能夠承擔忽視這些規(guī)則的后果?

想進一步了解智能訪問控制和不斷擴大的網絡安全需求，可以查閱2N的白皮書《訪問控制的演進》。

《訪問控制的演進》：https://go.2n.cz/l/515041/2021-04-15/3vc2rb