在运营一家能够承担风险、实现业务目标的企业时,创建一种更有效、更有针对性的网络安全方法至关重要,同时成功维护可防御的数字资产。
一个有缺陷的公司网络安全方法
随着公司越来越依赖技术,网络安全在公司优先事项列表中的地位也越来越高。由于网络犯罪的增加,尤其如此。但是,首席执行官,首席财务官,首席信息官和公司董事会成员之间存在重大脱节。许多缺乏技术知识的业务主管很乐意在网络保护部门投入大量预算,以使“网络安全”威胁“神奇地”消失。这当然是一种有缺陷的方法-CEO必须学会接受,无论他们花多少钱,总会有一定程度的网络安全漏洞。
网络安全利益相关者应避免询问哪些问题
为了安抚董事会和股东,高管们提出了所有错误的问题:
问题一: 我应该跟踪并向管理层报告的指标是什么?
为什么这个问题有缺陷:作为强大的基础策略的一部分,首席信息官(CIO)经常会忙于灭火,而不是采取积极的预防性网络安全措施。
问题二: 我如何遵守网络安全法规?
为什么这个问题有缺陷:许多政府领导的合规性法规迫使公司投资于网络法规,这往往会使公司产生虚假的安全感:
遵守不等于保护!
问题三: 在我们的行业中哪些威胁最常见,我如何才能最好地为我们的组织做好准备以应对这些威胁?
为什么这个问题有缺陷:公司没有对威胁的任何控制权,但是他们可以控制的是,他们投资了哪些资源以及针对实时,新威胁和未知威胁的运营准备就绪程度,无论其复杂程度或来源如何。
处理网络安全的更好方式
公司必须采取积极主动的态度,而不是被动地采取行动。组织需要将网络安全视为一项业务和客户体验问题,而不仅是“技术上的”失败或成功。企业需要重新评估其衡量,报告和优先处理网络安全问题的方式。
问问自己: 我的组织的主要业务成果是什么?哪些技术对支持上述成果至关重要?
企业领导者必须以网络安全风险是技术硬币的另一面这一事实与和平相处-没有100%的安全性之类的东西。您可以做的就是定义并识别最重要的资产,业务成果和客户体验,并努力创建保护性环境。
企业安全威胁管理的细微方法
公司目前正在处理三种类型的网络安全威胁。这些公司能够努力确定自己最大的资产并关联威胁,最终形成了成功的网络安全策略。
1. 分布式拒绝服务(DDoS)尝试
威胁: DDoS攻击已成为攻击者淹没公司网络的一种常见方式,其方式是触发崩溃并不允许授权用户访问所需的站点和信息。
正确的方法:公司首先需要确定运营网络以及网络可访问性是其最重要的资产。一旦意识到这一点,该公司就可以模拟并为此类攻击做准备,并确保其防火墙已做好防御准备。
2. 数字资产攻击
威胁:关键时刻通过电子邮件或社交网络针对公司利益相关者(CEO,CFO)的基于云的攻击。攻击的范围从勒索到关闭关键任务系统以换取“赎金”不等。
正确的方法:公司首先需要列出关键人物和领导者的清单,并为他们提供一个安全的场所来交流和保存重要文档。然后,公司可以向外看并在网络上扫描关键数据点(“ whois数据”),这将使他们能够保护公司个性。在这种情况下,就实时,实时地瞄准恶意行为者而言,创建数据池和“风险图”也可能是一种非常有效的工具。
3. 恶意代码注入
威胁:恶意代码是从外部“不可信”来源注入公司系统和网站的。攻击者可以模拟一切,从任意SQL注入到易受攻击的应用程序,跨站点脚本(例如注入恶意JavaScript)以及Web服务器上Shell命令的执行。
正确的方法:可以通过首先确定哪些应用程序对运营和风险最关键来缓解这些可怕的风险。然后,您可以让您的网络安全团队使用多种IP,例如,以确保对不可信输入的处理并利用“深度防御”,从而对正在运行的应用程序施加特权限制。
这三个用例的共同点是,首先建立了业务环境,然后才解决了网络安全威胁。
结论
业务主管必须接受这样一个事实,即保护整个公司,资产和交互不是一个现实的目标。相反,通过确定业务优先事项和核心功能并对其进行优先级排序,您将能够实现和维护可防御的网络资产。
本文引用自:Bright Data官方博客
