轉(zhuǎn)向遠程工作的公司帶來了許多挑戰(zhàn),從維護對業(yè)務(wù)關(guān)鍵應(yīng)用程序的訪問到確保連接性和生產(chǎn)力。但是,業(yè)務(wù) IT 部門面臨的最大挑戰(zhàn)之一是跨遠程或混合工作環(huán)境維護安全性。網(wǎng)絡(luò)安全在未來只會變得更加重要、復(fù)雜和要求更高,惡意活動的威脅繼續(xù)增長,美國的網(wǎng)絡(luò)犯罪在大流行初期飆升了300%。
數(shù)據(jù)泄露不僅會給原始組織帶來極其高昂的代價(預(yù)計到2021 年底,網(wǎng)絡(luò)犯罪將給全球造成6 萬億美元的損失,到 2025 年將攀升至10.5 萬億美元),而且它可能對公司的供應(yīng)商產(chǎn)生深遠的影響,供應(yīng)商和客戶。
雖然數(shù)據(jù)安全在政府和醫(yī)療保健等受到嚴格監(jiān)管的行業(yè)中尤為重要(且復(fù)雜),但對于所有垂直行業(yè)的公司來說,它是一個高度優(yōu)先事項,因為制造業(yè)等行業(yè)——因此,供應(yīng)鏈和物流——需要越來越復(fù)雜的網(wǎng)絡(luò)安全措施應(yīng)對混合工作中的網(wǎng)絡(luò)安全挑戰(zhàn)。
這篇文章將涵蓋公司今天面臨的常見網(wǎng)絡(luò)安全挑戰(zhàn)和安全威脅,然后解釋技術(shù)如何幫助解決這些問題。
企業(yè)面臨的 5 大網(wǎng)絡(luò)安全挑戰(zhàn)
首先,讓我們看一下公司及其 IT 團隊所面臨的五個最普遍的挑戰(zhàn)。
1. 在遠程(和混合)世界中保護業(yè)務(wù)數(shù)據(jù)
對于必須管理遠程或混合勞動力的 IT 部門而言,保護敏感數(shù)據(jù)是一個重大問題。事實上,52% 的法律和合規(guī)負責人認為,網(wǎng)絡(luò)安全和數(shù)據(jù)泄露是他們的組織自大流行開始以來面臨的最大的第三方風險。
存儲在外部設(shè)備或公司 IT 部門無法保護的地方的數(shù)據(jù)存在問題,并且容易受到無數(shù)威脅,例如網(wǎng)絡(luò)釣魚、惡意軟件、勒索軟件以及利用基于云的微服務(wù)、加密貨幣以及移動應(yīng)用程序和設(shè)備中的漏洞。
不安全數(shù)據(jù)的成本不斷增加
根據(jù) IBM 和 Ponemon Institute 的一份報告,2021 年數(shù)據(jù)泄露的平均成本為每次事件 424 萬美元。更重要的是,根據(jù)同一份報告,當涉及遠程工作時,安全漏洞每起事件的平均成本超過 100 萬美元。
遠程工作以及數(shù)據(jù)丟失和數(shù)據(jù)泄露的風險
由于員工使用一系列設(shè)備和網(wǎng)絡(luò)網(wǎng)關(guān)、在多個地方存儲數(shù)據(jù)以及訪問他們完成工作所需的各種應(yīng)用程序的不同版本或?qū)嵗h程工作的數(shù)據(jù)丟失或損壞風險增加。因此,IT 團隊必須通過基于用戶的細粒度訪問、組權(quán)限、位置和設(shè)備等限制帳戶的策略來限制或降低惡意活動和數(shù)據(jù)丟失的風險。
2. 遵守數(shù)據(jù)安全法規(guī)
行業(yè)標準和安全法規(guī)合規(guī)性也會對各種業(yè)務(wù)和托管服務(wù)提供商產(chǎn)生不同的影響。根據(jù)行業(yè)的不同,IT 部門必須遵守某些規(guī)則或遵守某些規(guī)定才能保持運營并避免罰款或其他法律處罰。例如,美國的醫(yī)療和保健組織必須遵守健康保險流通與責任法案 (HIPAA) 以及隨之而來的相關(guān)網(wǎng)絡(luò)安全指南。
其他行業(yè)也需要考慮各種規(guī)章制度:
- 與管理機構(gòu)直接互動的政府組織和公司需要遵循某些網(wǎng)絡(luò)安全框架,例如美國國家標準與技術(shù)研究院 (NIST) 制定的法律和法規(guī)。
- 金融和金融服務(wù)公司必須遵守各種監(jiān)管機構(gòu)制定的標準,例如歐盟的通用數(shù)據(jù)保護條例 (GDPR),否則將面臨嚴厲處罰。
- 醫(yī)療保健組織和醫(yī)療提供者需要遵守美國的 HIPAA 法規(guī)以及其他國家的類似法規(guī)。
- 制造商必須經(jīng)常遵守特定的數(shù)據(jù)隱私和安全法律法規(guī),具體取決于其行業(yè)、位置和業(yè)務(wù)活動。
未能遵守這些標準或法規(guī)的后果因行業(yè)和違規(guī)行為而異,但其中包括罰款、潛在訴訟以及對因未能遵守而有過錯的個人可能受到的民事或刑事處罰。更不用說減輕或修復(fù)違規(guī)影響所涉及的成本以及公眾眼中的潛在信任損失。
3. 為遠程勞動力啟用網(wǎng)絡(luò)安全措施
在 2022 年及以后啟用遠程工作的明確需求意味著 IT 團隊必須應(yīng)對許多新的挑戰(zhàn)和要求,例如添加增強的加密和安全協(xié)議,如多因素身份驗證 (MFA) 和精細訪問控制,以及用戶政策。
實施加密協(xié)議和多因素身份驗證
任何受密碼保護的數(shù)據(jù),或需要用戶名和密碼才能訪問的應(yīng)用程序,仍然沒有達到應(yīng)有的安全性。輸入加密協(xié)議和 MFA,這有助于保護通過任何網(wǎng)絡(luò)訪問的任何公司數(shù)據(jù)。
為了幫助保護公司數(shù)據(jù),有必要設(shè)置這些協(xié)議(尤其是對于遠程工作人員、出差或以其他方式從不受公司 IT 部門維護或控制的網(wǎng)絡(luò)訪問業(yè)務(wù)應(yīng)用程序和數(shù)據(jù))。
在粒度基礎(chǔ)上控制訪問
從中央位置管理數(shù)據(jù)訪問并根據(jù)需要或逐個用戶提供數(shù)據(jù)的能力是在當今分布式商業(yè)世界中維護網(wǎng)絡(luò)安全的必要條件。IT 團隊必須能夠根據(jù)用戶、組、媒體訪問控制 (MAC) 地址、互聯(lián)網(wǎng)協(xié)議 (IP) 地址和傳入網(wǎng)關(guān)等分類來限制訪問,以確保敏感信息的安全。
跨多個位置保護各種/BYOD 設(shè)備
由于團隊成員經(jīng)常使用自己的設(shè)備(以及帶回家的筆記本電腦和手機進行遠程工作),維護安全環(huán)境變得比以往任何時候都更加復(fù)雜。
對于那些提供自帶設(shè)備 (BYOD) 計劃的公司來說,還有額外的復(fù)雜性需要應(yīng)對。例如,員工可能擁有不同品牌和型號的設(shè)備,他們可能運行不同的操作系統(tǒng)和這些系統(tǒng)的版本。
員工還可能通過公司不管理的 Wi-Fi 網(wǎng)絡(luò)訪問公司服務(wù)器或數(shù)據(jù)(例如,在家中、機場、咖啡店、酒店或其他公共設(shè)施中的那些),這可能不安全。
此外,某些遺留應(yīng)用程序可能無法在某些設(shè)備上本地使用,但仍對業(yè)務(wù)運營至關(guān)重要。這些應(yīng)用程序可能需要虛擬化技術(shù)讓員工遠程訪問它們,這可能需要額外的網(wǎng)絡(luò)安全措施。
4. 減輕 IT 資源的壓力
很明顯,遠程和混合工作增加了 IT 部門的壓力。由于遠程工作人員使用不同的設(shè)備和網(wǎng)關(guān)從一系列位置訪問公司數(shù)據(jù)并與之交互,因此網(wǎng)絡(luò)安全漏洞的潛在訪問點數(shù)量顯著增加。
公司必須對涉及多層保護的網(wǎng)絡(luò)安全采取越來越復(fù)雜和多管齊下的方法。理想情況下,組織的數(shù)據(jù)安全方法應(yīng)該易于管理且具有成本效益,但61% 的 IT 專業(yè)人員表示他們的公司人手不足,導致網(wǎng)絡(luò)犯罪分子可以輕易利用的資源缺口。
5. 與不斷演變的網(wǎng)絡(luò)安全威脅保持同步
網(wǎng)絡(luò)犯罪分子正在移動目標。因此,IT 部門必須應(yīng)對一系列不斷變化的網(wǎng)絡(luò)安全挑戰(zhàn),例如惡意軟件感染、帳戶劫持、垃圾郵件、有針對性的攻擊、惡意腳本、網(wǎng)絡(luò)釣魚等。黑客和其他不良行為者似乎總是領(lǐng)先于潮流,因此確保您公司的數(shù)據(jù)安全協(xié)議是一流的至關(guān)重要,而且這可能是一項重大任務(wù)。
隨著越來越多的工作人員使用移動應(yīng)用程序和云,網(wǎng)絡(luò)犯罪分子正在適應(yīng)新的滲透工具、深度偽造技術(shù)和其他網(wǎng)絡(luò)犯罪策略,這些策略對網(wǎng)絡(luò)安全構(gòu)成了更大的挑戰(zhàn)。雖然公司可以而且應(yīng)該為員工實施網(wǎng)絡(luò)安全意識培訓,但組織可以采取其他措施來應(yīng)對這些不斷變化的威脅。
如何保護您的公司免受混合工作中的網(wǎng)絡(luò)安全挑戰(zhàn)
對許多企業(yè)來說,長期致力于混合工作場所是有意義的。這意味著評估您現(xiàn)有的公司安排在哪里運作以及需要改變什么以保護您的公司和員工,無論他們在哪里工作是一個好主意。以下是創(chuàng)建新工作訂單時的一些最重要的注意事項。
首先是制定網(wǎng)絡(luò)安全政策,并確保組織中的每個人都得到適當?shù)暮唸蟛⒓尤搿H绱硕嗟木W(wǎng)絡(luò)安全依賴于人們了解竊賊如何以及在何處瞄準他們,以及是什么讓他們和他們的設(shè)備易受攻擊。向您的員工傳授危險以及如何保護自己至關(guān)重要,例如識別和正確響應(yīng)社會工程和網(wǎng)絡(luò)釣魚攻擊、創(chuàng)建強密碼、物理保護他們的設(shè)備等等。在選擇最好的云服務(wù)提供商時,選擇頂級供應(yīng)商同樣重要。Parallels? RAS 就是此類供應(yīng)商之一,它可以確保您在遠程和現(xiàn)場的安全。
