某企業(yè)最近發(fā)布了《2022年數(shù)據(jù)泄露調(diào)查報(bào)告》，為企業(yè)提供了關(guān)于全球網(wǎng)絡(luò)安全狀況的重要見解，分析了過去15年里超過2.3萬起事件和5200起已確認(rèn)的入侵事件，將網(wǎng)絡(luò)攻擊的首要?jiǎng)訖C(jī)歸因于經(jīng)濟(jì)利益。

幾乎五分之四的違法行為是有組織犯罪所為，他們?cè)噲D通過保險(xiǎn)賠付的方式，向企業(yè)勒索巨額。

勒索軟件入侵增加了13%，這比過去5年的總和還要多。此外，82%的網(wǎng)絡(luò)入侵涉及人為因素，即通過竊取證書、網(wǎng)絡(luò)釣魚、濫用或僅僅是簡(jiǎn)單的錯(cuò)誤。

人們繼續(xù)在事件和違規(guī)行為中扮演著非常重要的角色。據(jù)悉，今年有18%的網(wǎng)絡(luò)釣魚郵件直接來自手機(jī)，這突顯出這是商業(yè)安全的一個(gè)弱點(diǎn)。它的統(tǒng)計(jì)數(shù)據(jù)強(qiáng)調(diào)了擁有一個(gè)強(qiáng)大的安全意識(shí)項(xiàng)目的重要性。

很明顯，私營(yíng)企業(yè)和公共機(jī)構(gòu)迫切需要改變他們的網(wǎng)絡(luò)安全方法。提高安全意識(shí)固然好，但直接解決一個(gè)近二十年來無人問津的問題更好。

訪問過程的系統(tǒng)性缺陷

網(wǎng)絡(luò)安全界和媒體普遍認(rèn)為，網(wǎng)絡(luò)安全的主要問題是人。超過80%的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵可以追溯到憑證方面的人為錯(cuò)誤，特別是憑證盜竊和濫用。

然而，這種指責(zé)是錯(cuò)誤的。想象一下，如果有一個(gè)路口，超過80%的事故發(fā)生，人們開始指責(zé)司機(jī)，建議他們應(yīng)該接受訓(xùn)練，更好地駕駛。但其實(shí)需要改變的是路口的設(shè)計(jì)，而不是人。

系統(tǒng)使用弱密碼和重復(fù)使用的密碼

在所有的入侵中，使用了弱密碼或重復(fù)使用的密碼是最容易被破解的。這個(gè)問題實(shí)際上不是個(gè)人的錯(cuò)。首先，要記住幾百個(gè)隨機(jī)密碼是不可能的，但在數(shù)字世界中別無選擇，他們不得不求助于容易記住的密碼。

系統(tǒng)性違反數(shù)據(jù)隱私法

弱密碼和重復(fù)使用的密碼不是入侵的根本原因。公司面臨的最大問題是允許員工自己設(shè)置密碼。當(dāng)這種情況發(fā)生時(shí)，公司就失去了對(duì)密鑰的控制，也就失去了對(duì)數(shù)據(jù)和網(wǎng)絡(luò)的控制。如果它不是“你的密鑰”，它就不是“你的數(shù)據(jù)”。這意味著公司不能遵守?cái)?shù)據(jù)隱私法，這可以解釋為什么數(shù)據(jù)泄露現(xiàn)在如此普遍。

瓦解彈性的系統(tǒng)性

為了減少需要記住的密碼數(shù)量，企業(yè)采用了單一訪問，也就是單點(diǎn)登錄，身份訪問管理，特權(quán)訪問管理，而沒有意識(shí)到這自動(dòng)為犯罪分子降低了層次和障礙，減少了他們進(jìn)入網(wǎng)絡(luò)所需的步驟數(shù)量。

在為犯罪分子創(chuàng)造了獲取訪問、掃描和定位鎖定整個(gè)網(wǎng)絡(luò)所需特權(quán)的黃金路徑后，從2019年到2021年，首次訪問勒索軟件所需的總時(shí)間從兩個(gè)多月減少到3.85天。在同一過程中，他們將所有數(shù)據(jù)放在同一個(gè)籃子中，從管理員或特權(quán)帳戶訪問，從而加劇了任何數(shù)據(jù)泄露的潛在負(fù)面影響。

更多的網(wǎng)絡(luò)安全工具或培訓(xùn)并不能解決問題

如果不解決他們的訪問安全漏洞，增加網(wǎng)絡(luò)安全工具或培訓(xùn)的預(yù)算，就無法阻止入侵或勒索軟件，就像在汽車?yán)锇惭b更多的電子設(shè)備和提供更多的駕駛課程，如果基礎(chǔ)設(shè)施建設(shè)得很危險(xiǎn)，就無法阻止交通事故一樣。當(dāng)人們一開始就不應(yīng)該創(chuàng)建和了解公司密碼時(shí)，就沒有必要對(duì)他們進(jìn)行密碼安全培訓(xùn)。當(dāng)人們無法泄露他們不知道的密碼時(shí)，就沒有必要對(duì)他們進(jìn)行網(wǎng)絡(luò)釣魚訓(xùn)練。當(dāng)懷疑有漏洞時(shí)，當(dāng)每個(gè)系統(tǒng)都有不同的密碼，并且沒有從哪里鎖定或竊取所有東西的單一訪問時(shí)，沒有必要拔掉整個(gè)IT基礎(chǔ)設(shè)施。

心態(tài)的轉(zhuǎn)變

在過去的幾年里，隨著網(wǎng)絡(luò)安全預(yù)算的增加，網(wǎng)絡(luò)攻擊的數(shù)量一直在上升，沒有很多人問為什么。盡管超過80%的漏洞與基于人工的證書有關(guān)，但大部分網(wǎng)絡(luò)安全預(yù)算都花在了基礎(chǔ)設(shè)施和系統(tǒng)漏洞上，其中大多數(shù)仍未被發(fā)現(xiàn)。但現(xiàn)在，網(wǎng)絡(luò)安全溢出到物理世界的巨大風(fēng)險(xiǎn)，促使人們要求改變網(wǎng)絡(luò)安全的工作方式。

為什么人們不應(yīng)該首先設(shè)置密碼

除非你能保證自己的大門安全，否則在網(wǎng)絡(luò)安全上投資數(shù)十億美元是不會(huì)有效果的。首先，不讓員工控制對(duì)公司基礎(chǔ)設(shè)施和資產(chǎn)的訪問權(quán)限。當(dāng)其他人創(chuàng)建了你整個(gè)企業(yè)的數(shù)字密鑰時(shí)，你就失去了對(duì)他們的可見性和控制權(quán)。

實(shí)際上，密碼只是鑰匙

為了能夠重新獲得對(duì)其密碼的控制權(quán)，公司需要按其本質(zhì)對(duì)待密碼。就像新員工開始新工作并收到大樓和辦公室的鑰匙一樣，他或她在開始新工作時(shí)收到的是數(shù)字鑰匙，而不是自己制作的。

物理密鑰和數(shù)字密鑰的唯一區(qū)別是在數(shù)字世界中沒有物理障礙。要竊取物理密鑰，需要靠近密鑰。數(shù)字密鑰或密碼可以從世界上任何地方被盜。

加密密鑰，以免它們被盜

在憑證盜竊沒有物理障礙的情況下，保護(hù)密鑰的最有效措施是使用保護(hù)秘密的方法，也就是密碼學(xué)。公司只需加密他們的訪問權(quán)限，并將所有系統(tǒng)的憑據(jù)分發(fā)給他們的用戶，這些系統(tǒng)位于一個(gè)只有每個(gè)用戶可以訪問的安全地方。這種邏輯解決了超過80%的違規(guī)行為。