行業(yè)動(dòng)態(tài)

2020年的網(wǎng)絡(luò)安全:從安全代碼到深度防御

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-02-20    瀏覽次數(shù):
 

信息來(lái)源:Freebuf

自2014年以來(lái),信息管理協(xié)會(huì)的權(quán)威調(diào)查IT趨勢(shì)研究數(shù)據(jù)顯示,CIO在面對(duì)IT管理問(wèn)題時(shí),已經(jīng)將網(wǎng)絡(luò)安全提升至數(shù)一數(shù)二的位置了。然而,在2013年,同樣的調(diào)查中,網(wǎng)絡(luò)安全還只是第七的位置。一年的時(shí)間發(fā)生了什么?那不得不提的事件應(yīng)該是臭名昭著的Target數(shù)據(jù)泄露事件了,該事件直接導(dǎo)致1850萬(wàn)美元的罰款和Target首席執(zhí)行官的離職。

tech_spotlight_security_cso_overview_3x2_2400x1600_security_concept_virtual_key_digital_connections_by_froyo_92_gettyimages-683716096-100829355-large.jpg

自那之后發(fā)生的一系列的數(shù)據(jù)泄露事件就像開(kāi)了閥門(mén)的水閘,傾涌而出,Target事件簡(jiǎn)直是小巫見(jiàn)大巫,不足為奇。這給大家傳達(dá)了一個(gè)信息:年復(fù)一年,隨著網(wǎng)絡(luò)威脅事件的數(shù)量和嚴(yán)重程度不斷攀升,促使企業(yè)倒閉的數(shù)據(jù)泄露風(fēng)險(xiǎn)似乎越來(lái)越高。

如今,企業(yè)的首席安全官們就像握著這個(gè)燙手的山芋一樣。有些人被迫采用一種單點(diǎn)解決方案來(lái)應(yīng)對(duì)每一個(gè)新的威脅,而這種解決方案直接參與了安全軟件行業(yè)的營(yíng)銷(xiāo)策略。然而,任何組織的網(wǎng)絡(luò)安全預(yù)算都是有限的。CSO如何最有效地分配其安全防御資源?

簡(jiǎn)單的答案有兩個(gè):合理地確定風(fēng)險(xiǎn)的優(yōu)先級(jí),同時(shí)充分利用現(xiàn)有的有效防御措施。在大多數(shù)組織中,無(wú)可爭(zhēng)辯的是未修補(bǔ)的軟件和社會(huì)工程(包括網(wǎng)絡(luò)釣魚(yú))風(fēng)險(xiǎn)最高,其次是密碼破解和軟件配置錯(cuò)誤。減少政策因素和運(yùn)營(yíng)障礙,確保及時(shí)進(jìn)行補(bǔ)丁修復(fù),建立有效的安全意識(shí)計(jì)劃,培訓(xùn)操作人員鎖定配置并實(shí)施兩因素身份驗(yàn)證,這樣企業(yè)將大大降低總體風(fēng)險(xiǎn)。

當(dāng)然,任何人都可以避免其他重大風(fēng)險(xiǎn)和漏洞。例如,如果是一家電力公司,那么負(fù)責(zé)人需要了解對(duì)關(guān)鍵基礎(chǔ)設(shè)施針對(duì)性很強(qiáng)的威脅,以及如何防御這些威脅。當(dāng)黑客真正入侵組織系統(tǒng)之后,在系統(tǒng)內(nèi)部進(jìn)行身份驗(yàn)證的零信任措施則發(fā)揮作用,阻止攻擊。

bigstock-219048286_1200x-1-1.jpg

將風(fēng)險(xiǎn)管理日?;?

自軟盤(pán)時(shí)代以來(lái),惡意軟件和黑客攻擊就一直困擾著計(jì)算機(jī)用戶(hù)。然而,近幾年,又出現(xiàn)了一種新的威脅,創(chuàng)新壓力下的技術(shù)漏洞。在CIO撰稿人Bob Violino的《安全vs 創(chuàng)新:IT行業(yè)最棘手的權(quán)衡》文章中就揭示了數(shù)據(jù)化變革時(shí)代的陰暗面,文章的核心觀點(diǎn)就是如果以安全和隱私為代價(jià),那么中變革性的創(chuàng)舉也將會(huì)失敗,而且還可能會(huì)以驚人的方式失敗。所以在創(chuàng)新時(shí)也要考慮到安全架構(gòu),這樣子不但有利于整體創(chuàng)新的成功還會(huì)增加最終成果的吸引力。

InfoWorld特約編輯Isaac Sacolick在《如何將安全性引入靈活開(kāi)發(fā)和CI / CD中》一文中從軟件開(kāi)發(fā)的角度詳細(xì)探討了該主題。開(kāi)發(fā)人員往往會(huì)認(rèn)為安全性不是他們的問(wèn)題,而是將這個(gè)責(zé)任推到安全團(tuán)隊(duì)身上,而安全團(tuán)隊(duì)是在后期才參與到開(kāi)發(fā)過(guò)程中來(lái)的,因此無(wú)法注意到在構(gòu)建應(yīng)用程序時(shí),業(yè)務(wù)流程中存在的漏洞。DevSpsOps是DevOps的產(chǎn)物,這讓安全性成為開(kāi)發(fā)人員和操作人員的主要關(guān)注點(diǎn),不僅避免了代碼缺陷,而且還使安全測(cè)試自動(dòng)化,并在應(yīng)用程序投入生產(chǎn)后對(duì)其進(jìn)行監(jiān)控。

《計(jì)算機(jī)世界》高級(jí)記者Lucas Mearian也在《UEM最終會(huì)在漫長(zhǎng)的求愛(ài)之后嫁給安全》一文中探討過(guò)將安全集成到軟件中的話(huà)題。過(guò)去,使用MDM(移動(dòng)設(shè)備管理),EMM(企業(yè)移動(dòng)管理)或最新版本UEM(統(tǒng)一的端點(diǎn)管理)來(lái)管理移動(dòng)或桌面設(shè)備,這與端點(diǎn)安全管理重疊了,但仍需要單獨(dú)進(jìn)行。據(jù)Lucas說(shuō),供應(yīng)商現(xiàn)在將兩者合并在一起,以“提供一個(gè)集中化的策略引擎,用單個(gè)控制臺(tái)管理和保護(hù)公司的筆記本電腦和移動(dòng)設(shè)備?!痹谀承┣闆r下,這種發(fā)展涉及了機(jī)器學(xué)習(xí)算法,該算法基于一些參數(shù)自動(dòng)為用戶(hù)分配安全策略,比如地理位置、使用的設(shè)備類(lèi)型以及網(wǎng)絡(luò)連接是公共的還是私有的等。

然而,盡管有時(shí)候新的網(wǎng)絡(luò)安全技術(shù)大張旗鼓地出現(xiàn),而有些用戶(hù)仍毫不知情。Network World的撰稿人Zeus Kerravala在《IT專(zhuān)業(yè)人員應(yīng)該了解但可能不知道的5種防火墻功能》中,揭開(kāi)了現(xiàn)代防火墻的神秘面紗,從網(wǎng)絡(luò)分段到策略?xún)?yōu)化再到DNS安全。不費(fèi)吹灰之力就充分利用了防火墻的功能, Zeus在書(shū)中提供了合理、詳細(xì)的建議。

tech-trends.jpg

最后,我們所有人都必須做好準(zhǔn)備,抵御當(dāng)下時(shí)代最?lèi)毫拥耐獠客{——勒索軟件。CSO高級(jí)作家Lucien Constantin 在《更具針對(duì)性、更復(fù)雜、更昂貴:為什么勒索軟件可能是最大的威脅》一文中警告我們,勒索軟件已變得如此隱秘和復(fù)雜,可以與高級(jí)持續(xù)威脅(APT)相媲美。此外,最近的安全事件也證明,勒索軟件攻擊者的目標(biāo)已從勒索個(gè)體用戶(hù)轉(zhuǎn)移到了能夠提供更多贖金的企業(yè)組織。這個(gè)問(wèn)題有多嚴(yán)重?FBI表示,雖然事件數(shù)量一直相對(duì)平穩(wěn),但支出卻更高。由于組織不愿報(bào)告勒索軟件的勒索事件,因此沒(méi)人真正知道具體情況。

網(wǎng)絡(luò)安全可能是一門(mén)沉悶的科學(xué)。隨著威脅的增加,甚至民主機(jī)構(gòu)也受到攻擊,似乎不僅是制度,而且文明本身也在受到圍攻。但是在這種情況下,只能鼓勵(lì)CSO及其企業(yè)組織加倍努力地開(kāi)發(fā)出更為先進(jìn)的安全防御體系。


 
 

上一篇:csv_vul_plugins_202002

下一篇:Microsoft.com 等微軟系網(wǎng)站被發(fā)現(xiàn)存在子域劫持問(wèn)題