【51CTO.com现场报道】2016年8月5日,首届C3安全峰会在成都世纪城会展中心召开。本届峰会以“安全可控•御未来”为主题,议题紧密契合国家网络安全战略,更包含了网络安全标准、云安全、大数据安全,移动安全、网络安全治理以及覆盖政府、金融、医疗等行业的十余个技术论坛、70多场立意高远的精彩演讲。其中,CLOUDSEC全球理事Jon Clay带来了题为《掌控网络安全:防范祸起萧墙内》的精彩演讲。
Jon Clay表示:“世界瞬息万变,未来将不再是大鱼吃小鱼的时代,而是速度制胜的时代。目前我们看到全球范围内的网络攻击和威胁非常普遍,各种网络勒索、数据泄露等问题层出不穷,需要主动掌控安全问题,乱中求序,从服务器、网络、用户各个方面内外结合、全方位保护,同时借助一些新型工具让自身具备抵御攻击的能力,防患于未然。”
资料显示,仅仅在5分钟内,就有1800个应用正在诞生,同时会发生80万次安全事件,有超过6300多条记录被破坏,全球范围内每5分钟有73美元的损失。这是个全球化的问题,我们必须面对。
据相关数据表明,网络勒索正处在历史最高的水平。首先,无论是学校、医院,甚至一家网络安全企业本身都被邮件入侵遭遇假冒CEO的欺诈。其次,数据泄露问题也已经非常严重,特别是针对金融行业等关键机构,数以亿计的数据正在泄露。
网络勒索形势尤其严峻
2016年,无疑将是一个网络勒索年。这是去年就预测的情况,而目前已得到证明。
那么,我们该如何应对这些情况,不让这种勒索情况来掌控你?
首先要保护服务器,无论是实体的、虚拟的还是云端的。因为网络安全第一步是控制服务器。
第二是你的网络层面内部外部都需要保护。在网络层面进行保护,无论是从外到内还是内部之间的沟通,都必须有防范措施。
第三是移动用户的防范。现在移动用户遭到越来越多的攻击,包括员工、合作伙伴等。
目前企业的安全准备工作不够充分
Jon Clay在现场展示了以下调研研究结果:
26%的用户认为自己已经为网络事件做好了充分准备。
56%仍然没有在应对APT方面采取措施。
59%认为员工失误或缺乏网络知识是最令人堪忧的内部威胁。
47%的公司没有网络安全计划。
以上数据表明:组织并没有做好充足准备!因此,企业需要掌握控制权。
企业需要掌握控制权
◆掌握控制权,企业需要选择合适的方式
我们需要:
1,制定和落实信息安全计划。包括网络计划、云计划、服务器计划等,识别网络风险威胁。
2,安装网络漏洞检测程序。快速识别网络风险和漏洞——能在几周了解风险,
3,组件事件响应小组。这个小组不仅仅是IT的小组,还要有合法合规等其他人员。
4,进行及时调查并解决事件。我们需要一些工具,进行及时的审计和分析。这种能力很关键。
5,通知客户。作为一个组织,如果客户数据损失了,必须及时判断什么时候联系客户,以及如何去补救。
6,学习并改进。我们必须了解谁对我进行了攻击,怎么攻击的,然后进行学习。
◆掌握控制权,需要借助正确的人员帮助掌控
首先,我们需要合适的人员,并且对他们进行正确的培训。其次,甄别和甄选:我们要对人员进行甄别,对网络风险进行甄别。这方面我们要投入一些资金和时间。这些培训需要全职人员来工作,用大数据等方法来检查一些异常。
演讲最后,Jon Clay呼吁企业组织:“由您掌控,不要让网络犯罪分子将掌控权从您手中夺走。”
51CTO是本次2016年首届C3安全峰会暨中国云安全峰会的独家直播媒体。更多相关信息,请参见直播专题http://netsecurity.51cto.com/act/C3/201607。