你的敏感资料是否安全?
这并不夸张:任何公司都可能成为网络犯罪的受害者。有关网络攻击的报告来自政府机构、教育和医疗机构、银行、律师事务所、非营利组织和许多其他组织。
黑客、内部威胁、勒索软件和其他危险都存在。
聪明的企业正在加大对网络安全的投资,以消除风险,确保敏感数据的安全,这已经带来了首批成果。请看下面的信息图表,了解网络安全的新趋势。
接下来的问题是:作为一名企业主,在2019年我能做些什么来保护我的数据?
上图显示,在政府机构和企业都开始加大对网络安全的投资的同时,数据泄露的数量显著下降。
不知道从哪里开始加强你的网络安全政策?我们准备告诉你网络安全的趋势和新的技术。
以下是我们2019年的IT安全优秀实践清单:
1. 考虑生物安全
生物识别技术确保了快速认证、安全访问管理和精确的员工监控。
在提供对有价值资产的访问之前,验证用户的身份对企业来说至关重要。语音识别、指纹扫描、手掌生物识别、面部识别、行为生物识别和步态分析是识别用户是否是他们自称的人的完美选择。
使用生物识别技术提供了比密码和短信验证更安全的身份验证。这就是为什么生物识别技术已经成为多因素认证的重要组成部分。
然而,身份验证并不是生物识别的唯一用途。安全人员受益于各种生物识别驱动的工具,这些工具允许他们实时检测受损的特权帐户。
行为生物学分析用户与输入设备交互的方式。如果检测到异常行为,工具会向安全人员发送警告,以便他们能够立即做出反应。
以下是用户和实体行为分析(UEBA)系统可以使用的几种行为生物识别技术:
- 击键动态——考虑打字速度和在某些单词中出现典型错误的倾向,以创建用户行为概要文件
- 鼠标动态—跟踪鼠标点击和鼠标移动速度、节奏和样式之间的时间间隔
- 眼动生物测定-使用眼睛和注视跟踪设备来记录眼睛运动的视频和检测独特的模式
market sandmarkets对2018年的预测显示,到2023年,生物识别市场将从2018年的168亿美元增长到418亿美元。因此,请密切关注生物特征安全技术,并为您的用例选择优秀技术。
2. 形成分级的网络安全政策
为什么书面的网络安全政策如此重要?
首先,书面政策作为贵公司所有网络安全措施的正式指南。
它允许您的安全专家和员工处于同一页面,并为您提供了一种强制执行保护数据的规则的方法。然而,每个部门的工作流程可能是独特的,而且很容易被不必要的网络安全措施打乱。
虽然集中式安全策略作为整个公司的基本方针是有益的,但它不应该覆盖每个部门的每个流程。相反,允许您的部门基于中央策略创建自己的安全策略。
以这种分层的方式确定安全策略有很多好处。通过这样做,您可以考虑每个部门的需求,并确保他们的工作流和您的底线不会在安全的名义下受到损害。
伊利诺伊州政府网站提供了一个很好的网络安全政策模板,可以作为你分级管理的起点。
如果您想学习如何预防、检测和纠正内部攻击,您应该考虑构建一个内部威胁程序。
3.采用基于风险的安全方法
法规遵从性不能保护您的数据。
每个行业都有其特定的和隐藏的风险,因此关注法规遵从性和满足所有标准法规不足以保护您的敏感数据。
注意你的公司所面临的风险,以及它们如何影响你的底线。这里比较好的工具是全面的风险评估。
以下是风险评估允许你做的一些最重要的事情:
识别所有有价值的资产,公司当前的网络安全状况,明智地管理你的安全策略
适当的风险评估可以让你避免许多不愉快的事情,比如因不遵守规定而被罚款,为潜在的泄漏和违规行为而付出的补救成本,以及由于流程缺失或效率低下而造成的损失。
找出网络安全的薄弱环节,并做出相应的调整。此外,请密切关注使用数据库和框架的新黑客技术,例如MITRE ATT&CK for enterprise。
全面的风险评估将帮助您优先考虑您的安全措施,并使您的策略以优质的方式服务于公司的底线。
您可以在Compliance Forge网站上找到一个风险评估工作表和评估报告的实际示例。如果你需要更多关于如何在你的公司进行风险评估的信息,请查看它。
4. 备份数据
定期备份数据,确保数据的安全性。
备份数据是近年来越来越重要的信息安全优秀实践之一。随着勒索软件的出现,对所有数据进行完整的、当前的备份可能是一种救星。
如何处理备份?您需要确保它们被彻底保护、加密并经常更新。同样重要的是,将备份任务分配给几个人,以减轻内部威胁。
美国计算机应急准备小组(US-CERT)提供了一份文件,详细说明了不同的数据备份选项。如果你想了解更多关于这个话题的信息,你应该读一读联邦调查局关于勒索软件的一篇优秀文章。
5. 物联网安全管理
今年延续了2018年以来的趋势——物联网设备越来越受欢迎。
贝恩公司预测,物联网市场将在2021年增长到约5200亿美元。然而,无论我们多么渴望看到新技术,安全总是第一位的。
物联网设备很具挑战性的地方是它们对敏感信息的访问。
安全摄像头、门铃、智能门锁、供暖系统、办公设备——所有这些你的商业网络的小部件都是潜在的接入点。
例如,一台受损的打印机可以允许恶意行为者查看正在打印或扫描的所有文档。
以下是一些企业网络安全的优秀实践:
- 进行渗透测试,了解真正的风险,并据此制定安全策略。
- 为静态和传输中的数据提供加密(端到端加密)。
- 确保正确的身份验证只允许到端点的可信连接。
- 不要使用默认的硬编码凭证:通常使用的密码在互联网上很容易找到。
- 购买安全和较新的路由器,并启用防火墙。
- 开发一个可伸缩的安全框架来支持所有物联网部署。
- 考虑实现端点安全解决方案。
6. 使用多因素身份验证
多因素身份验证(MFA)是高级安全策略的必备解决方案。
虽然这是一个基本的实现,但MFA仍然属于网络安全优秀实践。它是如此有效,以至于国家网络安全联盟甚至将MFA加入到其安全意识和教育运动中。
MFA通过添加额外的安全层帮助您保护敏感数据,使恶意行为者几乎没有机会像您一样登录。
即使恶意行为者拥有您的密码,他们仍然需要您的第二个或第三个身份验证“因素”,例如安全令牌、您的移动电话、您的指纹或您的语音。
作为一个额外的好处,MFA还允许您明确区分共享帐户的用户,从而改进访问控制。
还请阅读:双因素身份验证:类别、方法和任务
7. 处理密码安全
提到密码和安全密码处理的重要性总是值得的。
密码管理是企业安全的一个关键部分,尤其是涉及特权访问管理(PAM)时。特权帐户是网络罪犯的宝石谁试图获得访问您的敏感数据和最有价值的商业信息。
确保适当安全性的优秀方法是使用专用工具,如密码保险库和PAM解决方案。这样,您可以防止未经授权的用户访问特权帐户,同时简化员工的密码管理。
网络威胁行为者仍然使用密码喷雾攻击来窃取敏感信息,扰乱运营,损害组织的财务和声誉。
当你为你的员工设定密码要求时,以下是你应该考虑的主要技巧:
- 为一个帐户使用一个密码。
- 使用容易记住的短语,而不是由随机字符组成的短字符串。
- 使用助记符或其他个人策略来记住长密码。
- 无论多么方便,都不能互相共享凭据。
- 要求员工在一段时间后更改密码。
美国国家网络安全和通信集成中心(National Cybersecurity and Communications Integration Center)提出了一套选择和保护强密码的建议。如果你想了解更多细节,可以查看它们。
8. 使用最少特权原则
注意:有太多特权用户访问您的数据是非常危险的。
默认情况下,授予新员工所有特权允许他们访问敏感数据,即使他们不一定需要这样做。这种方法增加了内部威胁的风险,并允许黑客在您的任何员工账户受到攻击时访问敏感数据。
一个更好的解决方案是使用最小特权原则。
换句话说,为每个新帐户分配尽可能少的特权,并在必要时升级特权。当不再需要访问敏感数据时,应立即撤销所有相应的特权。
持续的特权管理可能是困难和耗时的,特别是对于大公司,但是市场上有很多访问管理解决方案可以使其变得更容易。
特别是,当您需要处理不受控制的特权时,专门化的PAM解决方案可以证明是一种救命稻草。
最小特权原则似乎类似于零信任安全模型,该模型还通过显著减少无保证的信任来降低内部威胁的风险。
零信任实践表示,只向那些已经在系统中进行了身份验证和验证的用户和设备授予访问权限。
9. 关注特权用户
拥有特权帐户的用户是公司较大的资产之一,还是对数据安全的较大威胁之一?
有特权的用户拥有所有必要的手段来窃取您的敏感数据,并且不被注意。无论你多么信任拥有特权账户的员工,任何事情都有可能发生。
你怎样才能把风险降到很低?以下是一些简单而有效的步骤:
- 通过实现最小特权原则来限制特权用户的数量。
- 确保在用户终止使用特权帐户时,立即删除特权帐户。
- 使用用户活动监视解决方案来记录在网络中采取的任何操作。
您可以查看Ponemon研究所的这份出色的报告,了解更多关于特权用户在内部威胁场景中的角色。
10. 监控对数据的第三方访问
控制第三方访问是您的安全策略的一个重要部分。
远程员工、分包商、业务合作伙伴、供应商和供应商——这只是可能远程访问您数据的人员和公司的一小部分。
第三方访问不仅会带来更高的内部攻击风险,还会为恶意软件和黑客进入您的系统打开大门。
通过第三方访问来保护您的敏感数据不受攻击的一个好方法是监视第三方操作。您可以限制第三方用户的访问范围,并知道谁确切地连接到您的网络以及为什么。
用户活动监视还应该与一次性密码结合使用,以便提供所有用户操作的完整日志记录,以便您可以检测恶意活动并在必要时进行调查。
11. 小心网络钓鱼
你们所有的员工都知道网络钓鱼吗?
值得注意的是,内部威胁不会以恶意员工告终。更常见的情况是,善意的员工无意中帮助了犯罪者,为他们提供了进入你的系统的方法。
网络攻击者使用垃圾邮件和电话等网络钓鱼技术来获取员工信息、获取他们的证书,或者用恶意软件感染系统。
你的基本防御可以很简单,只包括两个步骤:
获得一个正确配置的垃圾邮件过滤器,并确保最明显的垃圾邮件总是被阻塞。
教育你的员工流行的网络钓鱼技术和很好的处理方法。
幸运的是,教育和意识确实起了作用,人们现在对网络威胁的意识要高得多。Verizon 2018年的数据泄露调查报告强调,73%的人在2017年没有点击任何恶意邮件。他们2019年的报告显示,2018年网络钓鱼攻击的点击率只有3%。
您可以在US-CERT网站上找到更多关于网络钓鱼的信息,包括报告形式。
12. 提高员工的意识
这可能很难相信,但你的员工是保护你数据的关键。
处理员工疏忽和安全错误的一个可靠方法是教育他们为什么安全很重要:
- 提高对公司面临的网络威胁及其如何影响底线的认识。
- 向你的员工解释每项电脑安全措施的重要性。
- 展示现实生活中安全漏洞的例子,它们的后果,以及恢复过程的困难。
- 询问员工对当前公司安全体系的反馈。
- 询问员工关于如何将健壮的安全性与高效的工作流结合起来的新想法。
雇佣你的员工作为你辩护的一部分,你会发现疏忽和错误的情况将会减少。让你的员工接受适当的培训比处理意外行为造成的数据泄露要好得多。
上述网络安全优秀实践将帮助您保护您的数据和您的企业的声誉。然而,实现它们是另一个挑战。