在数字优先的世界中,网络安全至关重要。确保您的公司、数据、最终用户甚至客户的安全依赖于网络安全工具和全面的公司范围战略。安全和 IT 专业人员了解网络安全的重要性,但他们不可能同时无处不在。没有涉及整个组织的战略,就不可能存在真正的保护。
现代网络安全格局
网络安全通常感觉像是一个移动的目标,而且有充分的理由。随着数字依赖性的增长,威胁形势也在增长。准备充分的组织依靠敏捷和勤奋来领先于网络犯罪分子。
《2022 年网络安全状况报告》对 C 级安全专家和学者进行了调查,以了解威胁形势。根据受访者的说法,三个主要威胁是首要考虑因素:
2021 年勒索软件攻击事件总数超过 6.23 亿次,2022 年上半年尝试次数接近四分之一。勒索软件攻击的演变意味着更复杂的尝试让组织保持警惕。勒索软件可以通过网络钓鱼、欺骗和深度造假启动,所有这些都经过精心策划以获得信任和信息访问。
民族国家攻击直接反映了日益增长的政治动荡和对操纵信息进行恶意手段的担忧。金融、医疗保健、政府和公用事业提供商等组织对现代社会各个阶层和部门的个人都至关重要。民族国家攻击有可能危及关键数据和操作。
供应链攻击越来越受到关注,特别是随着供应链变得更加数字化和复杂,从而更容易受到网络威胁。2021 年的Colonial Pipeline 攻击让人们开始关注供应链弱点和安全漏洞的影响。
没有部门是筒仓
勒索软件、民族国家和供应链攻击者对他们的目标并不挑剔。通过获得对企业内最终用户或系统的访问权限,网络犯罪分子可以索要金钱或采取行动谋取私利。
无论组织规模大小,没有哪个部门是孤岛式的。跨部门协作很常见,即使在部门没有日常交互的情况下,系统和数据之间的重叠也很重要。
由于团队合作破裂、资源竞争以及普遍缺乏沟通,可能会出现孤岛。有效的网络安全战略始于组织优先考虑具有凝聚力的结构并全面实现公司目标。
真正的网络安全需要协作
随着网络威胁的不断演变,组织无法承担将安全责任推给少数人的责任。协作是构建将所有部门和最终用户都考虑在内的稳健战略的关键。
期望所有员工都精通安全威胁的语言是不现实的。尽管如此,在风险成为现实之前,网络安全应该成为整个组织的主题。这需要多个部门对网络安全战略的要素负责。
威胁情报必须通过领导、管理层、IT、SecOps 和运营之间自上而下的协作来实施。代表各自部门并与之沟通的组织中的支柱可以制定积极主动的战略,并可以共享信息以领先于威胁。
知识就是力量保障
安全应该是一种通用语言,尤其是涉及到最终用户执行的日常操作时。您的安全策略的基础应该从一个简单的清单开始:
- 强制使用强密码并要求定期更新——包括最小长度和特殊字符,并且不允许多个系统使用相同的密码。
- 使用身份验证系统或 2FA——例如 LastPass、Dashlane 或物理身份验证令牌。
- 使软件和安全补丁保持最新——确保您的 IT 和安全团队拥有在整个组织范围内使用的软件,包括 SaaS 和云系统。
- 加密所有数据,包括本地、云和电子邮件传输——为数据传输添加另一层保护将防止一些最常见的安全漏洞。
- 创建和维护严格的访问策略——包括在您的策略中授予和撤销访问权限。考虑诸如本地存储信息的缓存副本以及用于查看、移动和下载的文件级权限等方面。
- 确保您的安全策略考虑到远程和混合最终用户——近年来工作环境发生了巨大变化,安全策略必须随之改变,以确保数据和最终用户在现场、远程和混合环境中的安全。
- 了解您的协议和在出现安全漏洞时涉及的主要参与者——有效解决成功的网络攻击意味着了解在危机发生之前要采取的步骤。
让安全成为日常对话
您的安全策略将随着环境的变化而发展,因此教育至关重要。威胁情报不仅依赖于了解当前的游戏状态,还依赖于通过关注新闻来领先于威胁。及时了解成功或受挫的安全攻击,以确保您的组织做好准备,以防网络犯罪分子瞄准您的网络。
然而,安全教育不仅仅是新闻文章。从入职那一刻起,威胁情报就应该成为对话的一部分,并且应该贯穿员工的整个任期。值得庆幸的是,这项任务比在人力资源团队中寻找安全专家来发送威胁更新要容易得多。组织越来越多地利用网络安全意识培训来支持所有部门的入职和持续对话。与其被不断变化的威胁形势所赶超,掌握所有网络安全问题的专业人士可以补充组织政策,以增加参与、协作和保护。
