如何构建网络安全策略

组织面临着对其信息系统和数据的诸多威胁。了解网络安全的所有基本要素是攻克这些威胁的第一步。

网络安全是确保信息的完整性、保密性和可用性(ICA)的实践。它代表了防御和从诸如硬盘驱动器故障或断电等事故中恢复的能力，以及抵御敌人攻击的能力。后者包括从脚本kiddies到黑客和能够执行高级持久威胁(advanced persistent threats, apt)的犯罪组织，他们对企业构成严重威胁。业务连续性和灾难恢复计划对于网络安全的重要性不亚于应用程序和网络安全。

整个企业都应该把安全放在首位，并由高级管理层授权。我们现在所处的信息世界的脆弱性，也需要强有力的网络安全控制。管理层应该确保所有系统都按照一定的安全标准构建，并对员工进行适当的培训。例如，所有代码都有bug，其中一些bug是安全缺陷。毕竟，开发人员只是人。

安全培训

在任何网络安全计划中，人总是最薄弱的环节。培训开发人员如何安全编码，培训运营人员如何优先考虑强大的安全态势，培训终端用户如何识别钓鱼邮件和社会工程攻击——网络安全始于意识。

所有公司都会遭遇某种形式的网络攻击，即使有强有力的控制措施。攻击者总是会利用最薄弱的环节，许多攻击很容易通过执行基本的安全任务来预防，这些任务有时被称为“网络卫生”。“外科医生如果不先洗手，就永远不会进入手术室。同样，企业有责任履行网络安全保护的基本要素，例如维护强大的身份验证实践，不将敏感数据存储在可以公开访问的地方。

然而，一个好的网络安全战略需要超越这些基础。老练的黑客可以绕过大多数防御，而对于大多数公司来说，攻击面(攻击者进入系统的方式或“载体”的数量)正在扩大。例如，信息和物理世界正在融合，犯罪分子和民族国家间谍现在威胁着ICA的网络物理系统，比如汽车、发电厂、医疗设备，甚至是你的物联网冰箱。类似地，云计算的趋势，将您自己的设备(BYOD)策略带到工作场所，以及蓬勃发展的物联网(IoT)带来了新的挑战。捍卫这些体系从未像现在这样重要。

令网络安全更加复杂的是围绕消费者隐私的监管环境。遵守严格的监管框架，如欧盟的《一般数据保护条例》(GDPR)，还需要新的角色来确保组织满足GDPR和其他条例的隐私和安全要求。

因此，对网络安全专业人士的需求日益增长，使得招聘人员难以用合格的候选人填补职位空缺。这种斗争要求组织对风险最大的领域给予高度关注。

网络安全的种类

网络安全的范围是广泛的。核心领域如下所述，任何良好的网络安全战略都应该考虑到这一切。

1. 关键基础设施

关键的基础设施包括社会所依赖的网络物理系统，涵盖电网、水净化、交通信号灯和医院。例如，将一座发电厂接入互联网，就容易受到网络攻击。对于负责关键基础设施的组织，解决方案是执行尽职调查，以保护了解漏洞并防范它们。其他人应该评估对他们所依赖的关键基础设施的攻击可能会如何影响他们，然后制定应急计划。

2. 网络安全

网络安全防范未经授权的入侵以及怀有恶意的内部人士，确保网络安全常常需要权衡利弊。例如，访问控制(如额外登录)可能是必要的，但会降低工作效率。

用于监控网络安全的工具会生成大量数据，以至于经常会错过有效的警报。为了更好地管理网络安全监控，安全团队越来越多地使用机器学习来实时标记异常流量和警告威胁。

3. 云安全

企业进军云计算为安全带来了新的挑战。例如，2017年几乎每周都有来自配置不良的云实例的数据泄露。云提供商正在创建新的安全工具，以帮助企业用户更好地保护他们的数据，但底线仍然存在:当涉及网络安全时，向云转移并不是执行尽职调查的万灵药。

4. App 保护

应用程序安全(AppSec)，尤其是web应用程序安全，已经成为最薄弱的技术攻击点，但是很少有组织能够完全缓解OWASP十大web漏洞。AppSec从安全编码实践开始，应该通过模糊化和渗透测试加以增强。

快速的应用程序开发和云部署已经将DevOps看作是一门新的学科。DevOps团队通常优先考虑业务需求而不是安全性，考虑到威胁的扩散，这个重点可能会发生变化。

5. 物联网(IoT)安全

物联网指的是各种各样的关键和非关键网络物理系统，如家用电器、传感器、打印机和安全摄像头。物联网设备往往处于不安全状态，提供的安全补丁很少甚至没有，这不仅对它们的用户构成威胁，也对互联网上的其他人构成威胁，因为这些设备往往发现自己是僵尸网络的一部分。这给家庭用户和社会带来了极大的安全挑战。

网络威胁的种类

常见的网络威胁大致可分为三类：

• 保密攻击：窃取或复制目标的个人信息是网络攻击开始的次数，包括信用卡欺诈、身份盗窃或盗窃比特币钱包等普通犯罪攻击。民族国家间谍将保密攻击作为其工作的主要部分，以获取机密信息为政治、军事或经济利益。
• 对完整性的攻击：也被称为“破坏”或“完整性攻击”，关键在于破坏、旨在破坏信息或系统以及依赖它们的人。整性攻击可以是很微妙的：这里有一个错误，那里有一点篡改或者对目标进行破坏或销毁活动。犯罪者的范围从脚本小子到民族国家的攻击者。
• 可用性攻击：防止目标访问他们的数据是目前最常见的勒索软件和拒绝服务攻击的形式。勒索软件加密目标的数据，并要求赎金解密它。拒绝服务攻击(通常以分布式拒绝服务(DDoS)攻击的形式出现)会向网络资源发送大量请求，使其不可用。

下面描述了这些攻击的执行方法。

1. 社会工程

如果攻击者能够攻击人类，他们就不会攻击计算机。社会工程恶意软件，通常用于发送勒索软件，是攻击的头号方法(不是缓冲区溢出，错误配置，或先进的利用)。最终用户被骗运行特洛伊木马程序，通常来自他们信任并经常访问的网站。持续的用户教育是对抗这种攻击的最佳对策。

2. 钓鱼式攻击

有时候，盗取某人密码的最好方法就是欺骗他们，让他们透露自己的密码。即使是受过良好安全训练的聪明用户，也可能会受到钓鱼攻击。这就是为什么最好的防御是双因素身份验证(2FA)——如果存在第二个因素，例如硬件安全令牌或用户手机上的软令牌身份验证应用程序，被盗密码对攻击者来说毫无价值。

3. 未修补的软件

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!