2018年網絡安全:需要解決三個問題
2018年03月01日
盡管網絡攻擊的威脅對人類來說是否比核戰爭的威脅還要大���,這并不能確定,但網絡肯定比以往更加脆弱�����。美國聯邦調查局的調查報告表明,每天都在發生4,000多起勒索軟件攻擊�。而其他調查研究發現�,每天都會產生23萬個新的惡意軟件樣本�����。
鑒于當今網絡中的威脅數量和種類繁多�����,IT安全團隊往往難以確定優先事項。最佳實踐并不是查找和應對每一個令人關注的新威脅��,而是讓組織更加安全地運營業務���。以下是人們需要面對的兩個基礎設施問題和即將實施的新法規��,以及這兩個問題將如何影響法規的遵從�。
1. 改變靜態安全
雖然很多技術正在以閃電般的速度發生變化�����,但也有一些仍然停滯不前���。靜態安全措施(如密碼和保險庫)不會隨著當今業務的速度而相應改善���,并且安全性不足。
網絡犯罪分子將繼續發起針對靜態安全的攻擊��,因為這很容易獲利���。在這個沒有邊界的新型網絡世界中�,企業必須將其更多的資金花費在其基礎設施上,以保護他們的數據安全����。并且在操作系統下進行操作���,在基礎上構建帶有元素證書�、SSH密鑰�����、PAM和其他元素的安全性���。
2. 確保特權訪問管理(PAM)
針對敏感數據的特權訪問管理(PAM)由于其關鍵性質已經成為商業和企業管理人員關注的話題�,而在這一領域的失敗可能是災難性的�。基于SSH用戶密鑰的訪問被稱為合規性的陰暗面,具有更高的風險���,因為在開展業務時是一種不受控制和非托管的訪問。組織在評估安全性時必須考慮使用SSH訪問權限,因為它提供最高級別的訪問權限,但很少(如果有的話)受到監視����。
在網絡安全研究所的調查中���,61%的受訪者表示不會限制或監控管理SSH管理人員的數量���。此外�,90%的受訪者表示��,缺乏完整和準確的所有SSH密鑰清單。因此,他們無法判斷密鑰是否被盜或濫用���,或者應該是否被信任。
如今�,企業的業務向云計算的過渡正在全面展開����,不能允許存在這些安全隱患。云計算應用程序具有彈性、可伸縮性和動態性�����,而傳統特權訪問管理(PAM)是為小型環境中的靜態物理服務器設計的����。但是與密碼和其他靜態安全措施一樣,靜態特權訪問管理(PAM)也無法完成任務。傳統特權訪問管理(PAM)不能提供云計算所需的敏捷性�����,并且不能很好地處理彈性服務����。事實上,它甚至不能很好地處理傳統基礎設施的業務,這使得項目變得更加復雜和昂貴。
大部分情況就是這樣��。一種新的特權訪問管理(PAM)解決了這些問題�����。它不需要服務器上的永久訪問憑據�,只使用按需創建的短期臨時憑證����。其沒有密碼可循環使用,不需要儲存它們的數據庫,也沒有必要在服務器上安裝和打補丁的軟件。這種方法提供了一個非?����?焖俸椭苯拥牟渴痦椖?,具有無限的可擴展性�����。
3. 遵從一般數據保護條例(GDPR)
歐盟發布的一般數據保護條例(GDPR)將在今年五月正式實施��,這個具有國際影響的法規將對歐盟和能夠獲取歐洲公民敏感數據的國際公司產生重大影響。 GDPR與美國48個州頒布的美國安全違規立法類似���。組織必須在運營業務時考慮所有敏感數據和授予的訪問權限。
同時��,它擴展了敏感數據的定義��,其中包含在線標識符��,例如IP地址或Cookie。GDPR適用于任何擁有超過250名員工的擁有歐盟公民個人數據的組織�,無論其組織是在歐盟境內還是歐盟公民���,都應遵從��。這標志著美國公司不得不遵守歐盟法規(而不是指令)。此外�����,對違規行為的罰金也很高:高達2000萬歐元或組織全球年營業額的4%(以較高者為準)�����。
當組織試圖向客戶保證他們的數據安全時�,他們將需要在自己的網站上放置GDPR合規語言�。這只是GDPR產生的許多變化之一��。但是��,企業的更大轉變將需要深入了解他們的流程以遵守這一規定。他們需要了解可以訪問敏感數據的人員���,這樣的過程在以往很少見。
關注重要的事情
面對需要改變的特權訪問和安全方法����,以及具有深遠影響力的新監管法規��,組織需要認真對待其安全和合規措施��。他們是否一貫執行政策?這些政策有效嗎?
因此,2018年的基礎網絡安全主題是對受保護數據可信訪問的治理����。如今���,已進入2018年�,盡早解決這些風險至關重要���。組織必須對其受保護數據完全負責:誰可以訪問我的數據?我的數據在哪里?哪些法律法規影響我的合規計劃?
也許沃倫·巴菲特(Warren Buffet)在這方面的描述是對的:發生核戰爭的威脅遠遠小于數據泄露��。企業不會為核戰爭召開會議�����,但是如果企業董事會成員發現PAM的已知和受管制問題沒有得到解決,那么可能會十分關注���。由于網絡現在沒有邊界,因此在核心層控制對網絡的訪問至關重要����。最后,希望企業加強對安全和合規性的認識,以創造一個更安全�、更美好的未來�����。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計����、軟件研發����、數據中心領域具備十多年的行業沉淀���。公司遵循信息安全整體性的IATF模型���,從“人員素養”��、“制度流程”��、“技術產品”三個視角提供全面、可信的方案�,業務涵蓋咨詢��、評估、規劃、管控��、建設��、培訓等���。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商�。
