在數字優先的世界中,網絡安全至關重要。確保您的公司、數據、最終用戶甚至客戶的安全依賴于網絡安全工具和全面的公司范圍戰略。安全和 IT 專業人員了解網絡安全的重要性,但他們不可能同時無處不在。沒有涉及整個組織的戰略,就不可能存在真正的保護。
現代網絡安全格局
網絡安全通常感覺像是一個移動的目標,而且有充分的理由。隨著數字依賴性的增長,威脅形勢也在增長。準備充分的組織依靠敏捷和勤奮來領先于網絡犯罪分子。
《2022 年網絡安全狀況報告》對 C 級安全專家和學者進行了調查,以了解威脅形勢。根據受訪者的說法,三個主要威脅是首要考慮因素:
2021 年勒索軟件攻擊事件總數超過 6.23 億次,2022 年上半年嘗試次數接近四分之一。勒索軟件攻擊的演變意味著更復雜的嘗試讓組織保持警惕。勒索軟件可以通過網絡釣魚、欺騙和深度造假啟動,所有這些都經過精心策劃以獲得信任和信息訪問。
民族國家攻擊直接反映了日益增長的政治動蕩和對操縱信息進行惡意手段的擔憂。金融、醫療保健、政府和公用事業提供商等組織對現代社會各個階層和部門的個人都至關重要。民族國家攻擊有可能危及關鍵數據和操作。
供應鏈攻擊越來越受到關注,特別是隨著供應鏈變得更加數字化和復雜,從而更容易受到網絡威脅。2021 年的Colonial Pipeline 攻擊讓人們開始關注供應鏈弱點和安全漏洞的影響。
沒有部門是筒倉
勒索軟件、民族國家和供應鏈攻擊者對他們的目標并不挑剔。通過獲得對企業內最終用戶或系統的訪問權限,網絡犯罪分子可以索要金錢或采取行動謀取私利。
無論組織規模大小,沒有哪個部門是孤島式的。跨部門協作很常見,即使在部門沒有日常交互的情況下,系統和數據之間的重疊也很重要。
由于團隊合作破裂、資源競爭以及普遍缺乏溝通,可能會出現孤島。有效的網絡安全戰略始于組織優先考慮具有凝聚力的結構并全面實現公司目標。
真正的網絡安全需要協作
隨著網絡威脅的不斷演變,組織無法承擔將安全責任推給少數人的責任。協作是構建將所有部門和最終用戶都考慮在內的穩健戰略的關鍵。
期望所有員工都精通安全威脅的語言是不現實的。盡管如此,在風險成為現實之前,網絡安全應該成為整個組織的主題。這需要多個部門對網絡安全戰略的要素負責。
威脅情報必須通過領導、管理層、IT、SecOps 和運營之間自上而下的協作來實施。代表各自部門并與之溝通的組織中的支柱可以制定積極主動的戰略,并可以共享信息以領先于威脅。
知識就是力量保障
安全應該是一種通用語言,尤其是涉及到最終用戶執行的日常操作時。您的安全策略的基礎應該從一個簡單的清單開始:
- 強制使用強密碼并要求定期更新——包括最小長度和特殊字符,并且不允許多個系統使用相同的密碼。
- 使用身份驗證系統或 2FA——例如 LastPass、Dashlane 或物理身份驗證令牌。
- 使軟件和安全補丁保持最新——確保您的 IT 和安全團隊擁有在整個組織范圍內使用的軟件,包括 SaaS 和云系統。
- 加密所有數據,包括本地、云和電子郵件傳輸——為數據傳輸添加另一層保護將防止一些最常見的安全漏洞。
- 創建和維護嚴格的訪問策略——包括在您的策略中授予和撤銷訪問權限。考慮諸如本地存儲信息的緩存副本以及用于查看、移動和下載的文件級權限等方面。
- 確保您的安全策略考慮到遠程和混合最終用戶——近年來工作環境發生了巨大變化,安全策略必須隨之改變,以確保數據和最終用戶在現場、遠程和混合環境中的安全。
- 了解您的協議和在出現安全漏洞時涉及的主要參與者——有效解決成功的網絡攻擊意味著了解在危機發生之前要采取的步驟。
讓安全成為日常對話
您的安全策略將隨著環境的變化而發展,因此教育至關重要。威脅情報不僅依賴于了解當前的游戲狀態,還依賴于通過關注新聞來領先于威脅。及時了解成功或受挫的安全攻擊,以確保您的組織做好準備,以防網絡犯罪分子瞄準您的網絡。
然而,安全教育不僅僅是新聞文章。從入職那一刻起,威脅情報就應該成為對話的一部分,并且應該貫穿員工的整個任期。值得慶幸的是,這項任務比在人力資源團隊中尋找安全專家來發送威脅更新要容易得多。組織越來越多地利用網絡安全意識培訓來支持所有部門的入職和持續對話。與其被不斷變化的威脅形勢所趕超,掌握所有網絡安全問題的專業人士可以補充組織政策,以增加參與、協作和保護。
