随着越来越多的网络安全事件发生,组织虽然普遍都能认识到网络安全准备措施的必要性,但往往未能执行实施或扩展计划。“网络安全准备”一词是指识别、预防和应对网络威胁的具体措施。当80%的企业认为他们无法承受严重的网络入侵,为了防止攻击进一步造成威胁,是时候采取具体措施来提高组织网络安全准备水平。
维持专门的安全团队
从长远来看,拥有一个安全团队可以降低开支。当一个组织拥有一个专门的网络安全团队时,可以快速识别违规并及时缓解风险或攻击行为,可以大大降低安全支出成本。如果组织无法将资源专用于内部网络安全团队,请考虑将网络安全需求外包给托管安全服务提供商 (MSSP) 或其他专业公司。外包网络安全需求可以提供保护,同时允许小型企业经营者专注于核心业务活动和利润驱动因素。
持续评估网络安全准备情况
通过定期审核、NIST 框架、SANS关键安全控制列表、第三方管理调查问卷和最佳实践规则进行评估。确保组织考虑到自身和供应商合作伙伴的整个攻击面。对供应商进行分级,以确定如何仔细审查他们。当阅读评估结果时,最终是可以优化网络安全资源的分配。相应地,组织也将提高其网络安全准备和网络安全准备水平。
保护员工和客户信息
限制组织在组织内外共享员工数据和客户数据的范围。此外,确保数据安全存储,以及组织的IT团队有多个数据备份(遵循3-2-1方法),以防网络加密、丢失或物理破坏。考虑使用可以实时加密和存储数据的安全数据存储服务,因为网络攻击随时可能发生。
零信任访问控制
利用零信任原则来增加组织内部的保护。将访问权限限制为真正需要此类权限的人员,而不是随意将其授予所有员工用户。在凭据泄露的情况下,这可以防止网络犯罪分子获取组织最有价值的资源。零信任安全解决方案还可以使组织能够防止受感染的设备访问公司数据和访问权限;从移动设备到工作站,再到工业控制系统。
分段网络
隔离关键网络和服务可以阻止网络入侵者访问(可能窃取或加密)组织的整个数字资产和资源。通过软件定义的网络实现的微分段是一种属于网络分段保护伞的安全技术,它还可以帮助组织实现更强大的网络安全。
寻找网络入侵
组织可以主动采取措施检测、隔离和删除网络中的任何恶意存在。被动检测机制可以帮助安全专家有效地执行此操作。利用日志、安全信息和事件管理 (SIEM) 产品、端点检测和响应 (EDR) 解决方案以及其他数据分析工具。积极的威胁搜寻还可以包括“搜寻行动”、红队和渗透测试。
将用户过渡到多因素身份验证
对于具有较高特权、远程访问或存储高价值资产的账户,请专注于多因素身份验证。使用多因素身份验证可以防止在凭据泄露的情况下出现违规行为。凭据很容易受到暴力攻击、密码喷洒和第三方盗窃;因此应该强调多因素身份验证的必要性。多因素身份验证只是作为有助于网络安全准备的另一个安全层。
实施切实可行的应急计划
专注于风险缓解的组织可能会实施正确的政策和协议,而忽略了事件响应。计划如何处理网络攻击与规划和实施预防策略一样重要。未能制定事件应急计划可能会导致延迟取证调查、修复时间延长和更高的长期成本。
组织通常维护独特的内部结构,并保留独特的数字贵重物品(受法律保护的信息——信用卡号码、健康信息……等)。因此,组织可能希望避免“规定的”事件响应计划。确保组织具有通过组织升级事件的已确认流程。还要确保团队了解何时引入外部援助。
制定计划后,请确保通过演习来测试紧急情况。事件响应计划的第一次演练不应与实际的网络攻击同时进行。
做好网络安全准备是每个人的工作
组织内的每个员工都对保持组织的网络安全负有一定程度的责任。大约85%的网络安全事件涉及人为因素。90%的网络攻击始于一封发送给员工的可疑电子邮件,而63%的网络攻击是由于密码薄弱或密码被盗造成的。
为了强化员工“网络战士”的角色,可以实施网络安全意识培训计划。重申需要强密码、正确的密码管理实践、频繁的安全更新,以及在共享信息或在没有身份验证的情况下传输资源时要谨慎。
面对发生频率逐渐增加的网络安全事件,我们应采取安全第一的心态,确保组织始终领先于网络风险。
热门跟贴