什么是网络安全?网络安全领域的未来前景如何?
2024-05-13 17:11:02
浏览量:0
网络安全对企业的意义是什么?
作为一项业务问题,网络安全一直是董事会的重要议题,但目前,其职责仍主要由IT领导者承担。
在Gartner 2022年董事会调研中,88%的董事会成员将网络安全视为业务风险,只有12%的人称其为技术风险。
然而2021年的一项调研显示,在85%的企业中,网络安全的工作职责仍由首席信息官(CIO)、首席信息安全官(CISO)或类似职位的人员承担。
当前,针对信息和关键基础设施的攻击更加复杂,且数字信息和技术已大量融入到人们的日常工作中,企业机构因此更易受到网络威胁。
而网络风险事件的发生可能会对企业机构的运营、财务、声誉和战略产生影响,需要企业机构付出巨大的代价。因此在现有措施效力降低的背景下,大多数企业机构都需要提高其网络安全性。
什么是网络攻击?
最常见的网络安全攻击类型包括:
网络钓鱼和社会工程攻击
攻击者通过欺骗拥有访问凭证的合法用户,并诱导其进行相关操作,便于未授权用户转移信息和数据(数据渗漏)
互联网服务风险(包括云服务)
企业、合作伙伴和供应商未能充分保障云服务或其他互联网服务(如:配置管理失败)免受已知威胁的攻击
密码账户盗取
未授权用户通过部署软件或其他黑客技术,识别常见且重复使用的密码,进而访问机密系统、数据或资产
信息滥用
已授权用户(有意或无意)传播或以其他方式滥用其合法拥有的信息或数据
网络攻击和中间人攻击
由于企业机构未加密防火墙内外的信息,攻击者可窃听未受到安全保护的网络数据流、重定向或中断数据流。
供应链攻击
因合作伙伴、供应商或其他第三方的资产或系统(或代码)受到损害,形成了可攻击或泄露企业系统信息的途径
拒绝服务攻击(DoS)
攻击者向企业系统反复发送请求,导致系统暂时关闭或减速。分布式DoS(DDoS)攻击同理,不同点在于DDoS使用的设备众多且具有分散性。(参见《什么是DDos攻击?》)
勒索软件
该恶意软件感染企业系统,限制后者对加密数据或系统的访问。只有向攻击者支付赎金后,威胁才能停止。如果不支付赎金,部分攻击者甚至会威胁企业机构泄露其数据。
什么是DDos攻击?
网络攻击者部署DDoS攻击的方法是:使用多个不同位置的设备向企业系统重复发送请求。
虽然该类型的网络攻击能够让目标机器停止提供服务,但其一般而言是为了造成破坏,而不是完全中断服务。
如今,每天都会发生成百上千的DDoS攻击,但大多数攻击在普通的业务过程中都能得以解除,并没有获得特别的关注。
但是,随着网络攻击者的攻击范围越来越大,DDoS攻击的复杂性、数量和频率也持续上升,即使是小型企业,其网络安全也面临了越来越大的威胁。
DDos针对应用程序的攻击也越来越直接。因此,要想低成本高效益地成功防御这种类型的威胁,所采取的方法需要照顾到各个层面:
网络内部:
网络内部、防火墙后的防御
企业边缘:
企业本地的防御解决方案(企业防火墙和边缘路由器上或前面的物理设备)
外部/云提供商
企业外部(如互联网服务提供商(ISP))的防御
人员和流程:
包括事件响应和补救措施手册,以及阻止攻击所需的技能组合
缓解DDoS攻击所需的防御技能与其他类型的网络攻击所需的防御技能并不相同,因此大多数企业机构都需要通过第三方解决方案来增强其网络安全能力。
什么是网络安全控制和网络防御?
一系列IT和信息系统控制措施构成了防止网络攻击的技术防线。具体包括:
网络边界
安全措施
网络边界措施划分了企业机构内部网络和外部网络(或公共互联网)之间的边界。如网络出现漏洞,攻击者就可以利用互联网,攻击与之相连的任何资源。
端点安全措施
端点是与网络连接的设备,如笔记本电脑、移动电话和服务器。因此,端点安全措施可以保护这些资产,以及与这些资产相连的数据、信息或资产,使其免受恶意行为或活动的影响。
应用安全措施
应用安全措施可以保护应用部署前后、云端和传统应用内的数据或代码。
数据安全措施
数据安全措施包括保护(动态或静态)敏感信息资产的流程和相关工具。作为保护数据安全的方法之一,加密技术可删除敏感数据,并创建数据备份。
身份和IAM措施
身份和访问管理(IAM)措施能够保障拥有权限的个人在正确的时间以正确的理由访问正确的资源。
零信任架构措施
零信任架构措施消除了隐性信任(“该用户在我的安全边界内”),取而代之的是适应性的显性信任(“该用户使用的企业笔记本电脑安装了正常工作的安全套件,并通过了多因素验证”)。
技术控制措施并不是防止网络攻击的唯一方式。为了加强网络防御,一流的企业机构会严格检查其网络风险和相关职能部门的成熟度,如提高员工安全意识和培养员工养成安全行为习惯。
为什么网络安全防御会无效?
简单地说,导致网络安全防御无效的原因是缺乏足够的控制措施。但没有任何一个企业机构是100%安全的。企业机构无法控制威胁或不良行为,他们只能控制安全就绪工作的优先次序和相关投资。
为了决定在何处、何时以及如何对IT控制和网络防御措施进行投资,你需要对贵企业机构员工、流程和技术的安全能力进行基准评估,并确定能力差距和投资重点。
值得注意的是,人为因素在网络安全风险中占很大比重。现在的网络犯罪分子已经成为社会工程专家,可以使用极其复杂的技术来欺骗员工点击恶意链接。因此,确保员工掌握相关的技术常识,才能更好地抵御这些攻击。
网络安全领域的未来前景如何?
当前,网络环境的主要演变趋势如下:
不断成熟复杂的网络、基础设施和架构形成了多种多样的网络连接,这些连接都可以成为网络攻击的目标。
日益复杂的威胁及其不足的侦查能力使我们很难跟踪日益增多的信息安全控制措施、要求和威胁。
第三方漏洞持续存在,因为企业机构会继续为第三方部署最低限度但稳健的控制措施,特别是大多数供应商(尤其是云计算供应商)本身就依赖第三方(而这些第三方会成为贵企业机构的第四方等等)。
网络安全债务已创新高,全新的数字项目通常是基于公有云的,往往在安全问题得到解决之前就已经被部署。
信息物理系统旨在协调传感、计算、控制、网络和分析技术,从而与现实世界(包括人类)进行互动。而虚拟世界和现实世界的互联(如智能建筑)导致网络漏洞越来越多、越来越独特。
应该由谁来负责管理网络安全问题?
网络威胁和相关技术的发展十分迅速,且网络安全问题与许多其他形式的企业风险息息相关。
在这个背景下,多个利益相关方必须进行合作,确保达到一定级别的安全水平,并共同防范盲点。但是,尽管已经有越来越多的人认为网络安全问题是一种业务风险,但其相关的职责仍然主要由IT领导者肩负。
2021年Gartner的一项调研发现,在85%的企业机构中,网络安全的工作职责仍由CIO、CISO(首席信息安全官)或类似职位的人员承担。只有10%的企业机构,其网络安全职责由非IT部门的高级管理人员承担,且只有12%的董事会专门设立了董事会级别的网络安全委员会。
为了确保网络的安全性,CIO应该与其董事会合作,确保所有做出影响企业安全业务决策的利益相关方都能分担责任、共同治理。
需要什么样的网络安全指标?
当下大多数的网络安全指标追踪的都是企业机构没有控制的因素,例如,“我们上周被攻击的次数是多少?”。因此,指标重点应与具体的成果挂钩,利用这些成果来证明您网络安全项目的可信性和防御性。
Gartner预计,到2024年,在监管机构判处的网络安全漏洞罚款中,80%的罚款是因为企业机构不能证明其履行了应有的注意义务,与漏洞产生的影响无关。
Gartner建议成果驱动型指标(ODM)采用“CARE”模式:
一致性
一致性指标可评估控制措施在企业机构内的长期持续性。
充分性
充分性指标可评估控制措施是否符合业务需求,是否令人满意并被人们接受。
合理性
合理性指标可评估控制措施是否恰当、正确、公平和公正。
有效性
有效性指标可评估控制措施是否能成功和/或有效地实现预期的成果。
