日前,美国《企业家》杂志的一篇报道称,许多公司无论为2020年网络安全工作作出多大预算,都会依然被“网络安全人才短缺”的问题所困扰。
根据国际信息系统安全认证协会自2018年以来的研究报告显示,新一轮网络安全与数据隐私新规逐渐在整个亚太地区确立,该地区正面临的高达214万的人才缺口的问题,也随之暴露出来。在这份报告中,有63%的受访者表示,他们的企业组织缺乏专门针对网络安全工作的IT人员,而近60%的受访者说,由于这种短缺,他们的公司正处于中等或极端的网络安全攻击风险中。
为了减少与IT人才短缺相关的风险,亚太地区的企业将需要严格考虑其网络系统中的弱点,并建立包括网络分段、网络可见性和多重身份验证的全面性网络安全计划。企业还需要评估和分类其拥有的数据,并且确认在何处进行分类,然后确定网络安全控件的设计——这种“深度防御”或“分层安全防护”的方法将是最适合用于网络防护的方法。
实际上,除了制定强有力的安全计划外,在2020年,企业的网络安全议程应主要围绕这四个领域而展开:
1. 多重身份验证将是网络访问控制的关键
之前,已不乏一些企业组织安全网络遭到侵入的案例:其网络信息安全模型的密码被暴露,使得公司或个人的数据账户都更容易被进一步攻击。对于寻求保护其数据完整性的公司而言,若没有“多重身份验证”这道防线,前述问题将是他们在2020年所要面临的一大网络安全威胁。可见,多重身份验证仍然是企业在网络安全防护方面应注意的最重要的事情之一,其作用就在于,在密码防护之外还提供了一道附加的保护防线。除此以外,一些大型云服务供应商正在通过“硬件令牌”这一设备,推动进一步的网络安保服务。
2. “云意识”帮助企业保护数据
在2019年,有太多的企业将数据移至云端,却未能采用标准化的网络控件,还在无意中为不良入侵者打开了安全防护的大门。
在网络安全市场上,像亚马逊这样的云存储提供商正在改善与其企业客户的互动方式——例如,帮助他们识别S3存储桶配置中的弱点。但是,在2020年,企业如未能在网络安全方面确立合规性和认证的事项,都将可能导致其网络上继续出现安全漏洞的问题。
在2020年,企业应以一种安全、自觉的方式将自身网络嫁接到云平台上,从而更好地做出决定,即“将哪些数据发送到云上”“传到云上的数据能起什么样的作用”……而不只是单纯地把所有信息一股脑“批发”上去。
3. 第三方风险,将导致企业网络出现重大安全漏洞
第三方风险,在2020年将继续成为企业网络安全实践中的潜在弱点。因此,企业需要准确地考虑到,第三方提供的数据以及什么样的控制级别,能确保自身数据的完整性。例如,一家企业将人力资源工作外包给第三方,其共享的员工人事信息,就比营销方面的数据敏感得多。所以,公司必须对此问题进行尽职调查,以确保相关的数据安全配置准确无误。
4. 物联网设备的激增,会给企业网络带来不受控制的风险
在2020年,物联网将继续发展,但问题在于,这些物联网设备的功能虽然日益强大,却没有变得更加智能。而最初的物联网设备相对简单,尽管它们确实为外来者“提供”了侵入网络的途径,但损害还是有限的。而目前,物联网设备的功能已经变得强大得多,他们有望做更多的工作,并且将更深入地集成到企业网络中。同时这也意味着,如果侵入者能够控制设备,则其可能造成广泛性的破坏,而目前物联网设备的安全性,还无法跟上其功能和覆盖范围的发展速度。