尽管大多数企业已经接受了这样的事实,即安全事件不是“如果”的因素,而是“何时”的因素,但许多企业仍在努力将其转变为正确的安全体系结构和思维方式。FireEye的《 Cyber Trendscape 2020》报告发现,大多数组织(51%)不认为自己准备好了,也不会对网络攻击或数据泄露做出良好反应。
在日益发展的威胁形势下,预计旧的安全范例将迫使许多受害公司破产。如果您犯了常见错误,那么企业网络安全可能注定会在来年失败:
1.您认为企业业务规模太小,无法成为目标
Verizon的《 2019年数据泄露调查报告》显示,所有网络攻击中有43%针对小型企业。根据保险公司Hiscox的数据,在过去一年中,超过一半的小企业遭受了违规,十分之四的企业经历了多次事件。此外,美国国家网络安全联盟报告称,估计有60%的小公司在网络攻击后仅六个月内就倒闭了,这说明了网络安全措施不足的现实后果。
各种规模的企业都需要将高科技安全作为2020年的重中之重。尽管许多小企业主认为他们负担不起保持公司安全的风险,但违规行为的代价却是巨大的。IBM 报告称,员工人数少于500人的公司平均遭受的损失超过250万美元。
最好开始将部分资金用于主动安全措施。请记住,将安全预算增加一倍并不能使安全性增加一倍。在网络安全投资方面,这不是一对一的权衡。
必须为企业部署SSL证书作为最基础的安全防护,部署SSL证书后,可以通过验证HTTPS中的SSL证书信息,确认网站的真实身份,通过SSL加密层,也可以对传输的数据进行加密和解密,确保数据在传输过程中的安全,保障数据的机密性和完整性。
通过专注于最终目标(无论是保护客户端数据,保护知识产权还是避免网络中断)来明智地分配安全预算。这将帮助您确定投资的优先顺序,并在安全性,可用性和成本之间做出适当的业务折衷。
2.企业无法防御零日攻击,多向量攻击或多态攻击
自1980年代以来,我们看到了网络攻击的演变,这不断迫使我们更新保护数字资产的方式。第一代攻击包括病毒,并且主要使用防病毒软件进行控制。
在90年代,随着黑客将网络作为攻击目标,威胁变得更加复杂,从而使防火墙成为必不可少的安全防御措施。2000年代,随着应用程序的广泛利用以及其漏洞的利用,入侵防御系统(IPS)广受欢迎。从2010年开始,我们开始看到零日威胁,该威胁使用高度逃避的多态内容绕过传统防御。行为分析工具帮助我们应对了这些威胁。
当前,我们正在目睹WannaCry和NotPetya等大规模和多媒介攻击的泛滥。在这些攻击中,黑客试图同时利用多个领域,包括网络,云和移动设备。这使网络安全变得更加复杂。如今,全世界只有3%的人准备为自己抵御零日攻击,多媒介攻击或多态攻击。
但是,网络安全不是可以一次忘记的事情。网络犯罪分子不断壮大,因为他们在经济上受到激励并乐于创新。随着我们进入2020年,人们期望看到更加复杂的攻击,能够造成更多的破坏,同时更加难以防御。
作为响应,企业需要通过多层现代网络安全来增强防御能力。随着攻击媒介的发展以及这些新技术证明它们已经为企业做好了准备,正在开发中的潜在改变游戏规则的产品,例如自主安全服务和基于区块链的数据泄露保护,都值得考虑。
3.企业淹没在数据中
在网络上寻找攻击者的迹象就像在大海捞针一样。在许多情况下,公司平均需要6个月才能检测到数据泄露。显然,企业需要数据才能找到攻击者。但是,许多公司付出了巨大的努力,试图以巨大的基础架构和劳动力成本来捕获所有内容。然后发现他们不能在紧要关头有效地分析或操作该数据。
企业的安全团队比以往任何时候都需要正确的工具来检测和调查关键的安全威胁。这包括安全软件,该软件提供了用于寻找和执行诊断的工具以及研究模式的启发式方法。使用机器学习和AI的新型自适应安全工具可以帮助企业更有效地找到攻击者,在几毫秒内阻止攻击者入侵或泄露数据,并防止下次攻击。
4.企业没有事件响应计划
事件响应计划提供了一组说明,可帮助IT人员检测,响应网络安全事件并从中恢复。IBM发现,拥有事件响应团队并且还对其事件响应计划进行了广泛测试的公司,与未采取措施的公司相比,平均而言,其数据泄露成本减少了123万美元。
企业的事件响应计划应解决网络犯罪,数据丢失和服务中断之类的问题,这些问题可能会破坏日常业务运营,给企业带来高昂的成本。如果企业没有事件响应计划,那么该是制定计划的时候了。
5.企业没有认真对待第三方风险
企业安全中的薄弱环节实际上可能是企业的合作伙伴和供应商。当某人通过有权访问企业的系统和数据的外部实体渗透到企业的系统时,就会发生供应链攻击,也称为价值链或第三方攻击。
来自第三方的违规行为使公司损失了平均37万美元。根据Ponemon的说法,有56%的组织因其供应商之一造成的违规行为。同时,能够访问敏感信息的第三方的平均数量正在增加。
作为回应,监管机构越来越多地关注第三方风险。去年,纽约州金融监管机构开始要求在纽约设有办事处的金融公司确保其供应商的网络安全保护达到标准。明年,欧洲将采用GDPR进行同样的处理,该法律适用于从欧洲人那里收集个人信息并因违规而处以高额罚款的任何公司-占全球总收入的4%。
为了保护企业并避免受到任何处罚,将需要仔细审查与企业有业务往来的公司在2020年的安全性,调整安全标准并积极监控第三方访问。
6.安全不是企业的当务之急
2019年因数据泄露而进行的罚款金额表明,监管机构正在更加严厉地惩罚那些未能适当保护消费者数据的组织。在英国,英国航空公司(British Airways)受到创纪录的2.3亿美元罚款,而Equifax同意为其2017年在美国的违约行为支付至少5.75亿美元。
随着该行业呼吁采用欧洲化GDPR的美国化版本,企业应为在2020年增加罚款的步伐和数额做好准备。随着罚款成本的上升,安全性将被从事后考虑的事务中逼到主流。
如果企业尚未注意到不断发展的网络安全和法规环境,则应注意。根据Infosys知识研究院(IKI)的研究,将近一半(48%)的公司董事会和63%的商业领袖正在积极参与网络安全策略的讨论。
安全领导者必须准备好,愿意并且能够组建并执行合理的安全策略,其中包括合适的人才,服务和技术,以抵御当今复杂的威胁环境。
7.企业的员工无需承担网络安全责任
人为错误仍然是企业的最大威胁之一。目前,只有十分之三的员工正在接受年度网络安全培训,对于有进取心的骗子或电子邮件骗子来说,即使是最前沿的数字安全防护措施也是如此。
企业所有违规行为中有91%来自网络钓鱼。虽然电子邮件安全工具可以提供针对网络钓鱼的第一道防线,但防止网络钓鱼破坏的最佳方法是将网络安全视为工作场所文化问题,而不是IT问题。
为了使这种类型的网络安全计划取得成功,不仅必须在组织结构中编织良好的安全习惯,而且还必须让员工对企业的安全性负责并承担责任。正式的安全培训计划可以帮助教会员工如何保护自己和公司免受网络攻击,但是改变员工的态度和习惯可能更具挑战性。为此,将需要适当地利用变更管理模型来成功构建全面的安全文化。
结论
攻击者变得越来越聪明,攻击发生得越来越快,事件变得越来越复杂。现在可以保证,几乎每个现代组织的高科技领域都将最终遭到破坏。如果仍然使用断开连接的点工具,手动流程和人员不足而随意地或被动地寻求安全保护,请准备在2020年的大部分时间里应对网络安全威胁。
随着我们进入连通性不断提高的时代,网络安全已成为一项业务关键,极其动态,可大规模扩展和高度专业化的学科。在2020年,企业必须准备好接受AI和自治服务,实施实时网络安全工具,并鼓励每个员工在打击在线威胁中发挥作用。
随着网络犯罪分子的创新能力不断增强,请确保企业的执行团队了解数据泄露可能造成的全部财务和运营影响,并准备就如何使用多方面的网络安全管理方法提出明确的战略利用了一组强大的自适应安全措施。
企业的策略应包括一系列措施,其中安全软件,漏洞管理和员工培训是企业在未来一年和几年中提高抵御网络攻击能力的方法之首。