人们如今处在信息时代,而面向首席信息官和首席技术官的一份全面IT安全指南,涵盖了从如何实施有效的网络安全策略到如何应对安全技能危机的所有内容。
IT安全指南介绍
面对越来越多的网络攻击和更复杂、更严格的数据隐私法规,IT安全已成为各行业组织董事会所讨论的日益重要的话题。
IT安全责任应由首席信息官、首席技术官或首席信息安全官的新兴角色承担,但企业需要强大的安全文化。毕竟,造成网络安全事件的最大原因是员工的疏忽。
企业的网络安全工作需要继续抵御各种网络攻击数量的不断增加和变化。调研机构普华永道公司发布的《2018年全球信息安全状况调查》报告对来自122个国家的9,500名高级企业和技术主管进行了调查,其中包括560名来自大型企业、小型企业和公共部门组织的英国受访者。调查发现,超过四分之一的英国组织(28%)不知道他们在过去一年中遭受了多少网络攻击,三分之一(33%)承认不知道他们面对的事件是如何发生的。
为了有效地对抗和了解这些威胁,首席信息官和IT管理人员需要建立有效的IT安全策略,该策略使用正确的工具和技术,同时培育组织的安全文化。
在这个指南中,人们可以探索如何实施IT安全策略、攻击预防、对业务的威胁、有关安全解决方案和公司的最新信息、新法规的影响、政府对安全的响应、应对网络安全技能的差距,以及其他公司如何应对不断变化的IT安全格局。
1. 实施IT安全策略
越来越多的网络威胁,以及数据泄露对组织的财务和声誉的影响,意味着组织需要采用正确的IT安全策略。
本节通过阐述采用最佳安全策略实践的一些文章,深入研究了要寻找的趋势以及如何保护组织。
特征:
- 《网络安全5个趋势》:不断变化的网络威胁形势与IT的发展相对应,组织必须利用可用的新技术来提供更好的安全保护。
- 《如何保护组织:网络安全提示》:不幸的是,鉴于每天有成千上万的针对组织的攻击,阻止每种威胁的机会微乎其微。但是,组织可以采取一些步骤来减轻风险,并在发生违规事件时以有效的方式做出响应。
- 《网络安全是一个“人为问题”》:最终,为了制定有效的网络安全策略,首席信息官必须在整个组织内树立安全文化。只有这样,其组织才能成为最安全的公司。
- 《工作场所的网络安全是每个人的责任》:同样,确保企业正在实施有效的网络安全措施是每个人的责任。
博客文章:
- 《集成安全策略的重要性》:AppLearn公司首席运营官Andrew Avanessian表示,将安全策略与补充解决方案集成在一起比多层复杂的保护软件更有效。
建议:
- 《应对网络攻击的6个关键步骤》:如果很可能发生成功的网络攻击,则组织及其首席信息官需要制定有效的应对计划。
- 《预防、发现和应对》:成功应对网络安全漏洞的关键在于预防、检测和响应。IBM公司收购的Resilient公司首席执行官John Bruce在这篇文章中讨论了这些要点。
2. 安全文化
组织机构的最大弱点是员工。由于疏忽或懒惰、内部威胁(无论是否有意)对企业构成最大威胁。
本节将介绍如何建立安全文化,以及员工安全培训的重要性。
特征:
《建立网络安全文化的重要性》:安全性最脆弱的组织将永远是那些无法建立安全文化的公司,那么如何创建它?
博客文章:
《培育信息安全文化》:组织需要将信息安全性视为一项业务,以促进增加竞争优势和提高安全性。
分析:
《内部威胁:大多数安全事件来自扩展企业,而不是黑客团体》:来自员工的威胁(无意或恶意)构成了事件的42%,与2015年相比有所增加,当时39%的事件来自组织的网络内部。
博客文章
《为什么内部威胁是下一个重大安全挑战》:供应商出售了许多安全解决方案,但是内部的威胁又如何呢?
特征
《如何预防最危险的网络威胁:内部攻击》:对于组织而言,员工的自满情绪是一个被忽略的风险因素,尤其是在确保安装最新软件版本或更新时。
博客文章
《内部威胁:如果员工居心不良,企业该做的5件事》:有时,员工会故意泄露组织的数据。如果遇到这种情况,需要如何应对?
建议
《员工培训是抵御网络攻击的关键》:对于那些无意间泄露组织数据的员工,基础培训可能会对安全性产生巨大影响。但是,英国企业是否错过了这一机会?
3. 攻击类型以及如何缓解
企业的首席信息官和企业应预期DDoS、物联网和勒索软件攻击的增长。随着数据价值的飙升,这些攻击将继续困扰企业的变化和频率,以及应对黑客的坚定决心。
特征
《勒索软件占到网络攻击的25%》:继2017年WannaCry和Not/ Petya受到全球关注之后,勒索软件现已成为英国企业最有可能面临的威胁,其目标行业毫不逊色。
建议
《迁移数据以防止勒索软件攻击》:通过在备份之间留出空隙(使数据脱机存储并与任何其他数据源断开连接),可以保护关键数据并在不造成大量停机的情况下对其进行恢复。
特征
《欧洲的DDoS攻击格局正在下降?》:根据Link11公司的调查数据,DDoS攻击在2019年第一季度有所下降,但网络攻击量同比增长了73%。
建议
- 《组织如何消除DDoS攻击的“盲点”》:对于任何现实的DDoS防御策略而言,至关重要的是对这些不断增加的安全事件进行适当的可视化和分析。
- 《物联网实施和安全方面的顶级女性首席信息官》:物联网网络安全攻击仍在不断实施,但是ForeScout公司的首席信息官Julie Cullivan希望立即解决该问题。文中介绍了她的物联网安全策略。
4. 用于安全的人工智能
安全解决方案具有多种技术,但是人工智能将有助于改变首席信息官和首席技术官保护业务的方式。人工智能解决方案仍处于起步阶段,但是随着网络犯罪分子越来越多地使用自动化主导的黑客技术,企业将需要做出相应的回应。
市场上有许多这样的解决方案,它们将在未来几年中显著改善:
- Cybel Angel—预防和实时检测网络事件
- Cylance—预测、预防和保护免受威胁的网络安全
- Darktrace—在网络犯罪发生之前发现模式并预防其发生
- Deep Instinct—端点和移动设备的零日攻击保护
- Delphi-针对恶意软件和恶意Internet活动的安全性
- Demisto—结合了安全流程和事件管理
- Drawbridge Networks—安全即服务
- Emergent—帮助预测黑客将攻击的地方
- Graphistry—帮助团队快速轻松地调查网络威胁
- LeapYear—从敏感数据中提取威胁见解
- Pelican—更智能、更安全的付款,合规性和银行业务
- SentinelOne—预测、预防、检测和响应威胁
- Shift Technology —有助于减少保险欺诈
- SignalSense—评估网络中发生的威胁的流量
- Sift Science—帮助防止网络规模业务的欺诈和滥用
- SparkCognition—帮助企业预测数据泄露
- Versive—自动化威胁搜寻以支持网络安全团队
- Zimperium—实时威胁防护手机和应用程序
人工智能在这个领域的承诺是能够在没有传统的威胁指标(例如已知的恶意软件)的情况下,持续检测新的未知威胁(称为零时差攻击)。
特征
- 《人工智能在网络安全中的作用》:如前所述,将人工智能集成到网络安全策略中可以帮助降低成功攻破组织的风险,同时还有助于检测进入系统的威胁。
- 《人工智能在网络保险中的作用》:随着网络攻击变得越来越普遍,只需要回顾WannaCry、Petya和Equifax数据泄露事件,越来越多的企业将购买其网络保险。这些第三方可以利用人工智能增强自己的防御攻击能力。
行业案例研究
《银行如何应对网络犯罪?》:金融服务行业不允许全面的网络攻击。但是专家认为,像人工智能这样的新兴技术的实施可以通过使流程自动化来极大地降低银行安全中人为错误的风险。
特征
《人工智能的成功取决于数据》:与大多数技术一样,成功实施人工智能取决于可用于做出正确决策的数据质量。同样,许多组织仍然无法有效地应用人工智能解决特定的业务案例。企业和购买者必须仔细评估那些吹捧其人工智能功能的组织,并密切注意确保该技术利用正确的数据和功能来真正发挥作用。
建议
《在网络安全中智能地使用人工智能》:但是,与实施任何新技术一样,首席信息官和首席技术官必须以可扩展且适当的方式使用该技术。如果做错了,这可能会使组织更容易受到网络攻击。
5. 移动安全性
随着劳动力的流动性越来越强,在办公环境相对安全的情况下,保护个人设备使用量增加的动力变得至关重要。这些移动设备都在专业和个人领域使用,不能成为事后的考虑,必须是首席信息官或首席技术官保护其组织的优先事项。
至关重要的是,当针对他们的网络攻击数量急剧增加时,首席信息官和首席技术官需要了解如何为员工加密移动设备。
特征
《移动安全对企业的影响》:随着移动设备的数量持续增长,保护它们的能力变得越来越困难。首席信息官和安全主管如何在不妨碍安全性的情况下确保移动时代获得的生产力和灵活性?
建议
- 《移动设备的常见安全漏洞》:为了应对移动威胁,首席信息官和首席技术官需要了解移动设备的脆弱性。在本文中介绍这些内容。
- 《如何保护、管理和监视边缘设备》:随着边缘设备类型的增长和扩展、保护、管理和监视它们至关重要。
6. 云计算安全
现在,每个企业都看到了云计算的优点。首先,它是私有云,成本太高,然后是公共云,这太不安全了,现在许多人都知道跨多个供应商的混合云战略的必要性,以应对数字化转型的现代挑战。
但是,随着越来越多的组织采用混合云、多云或云计算策略,他们如何保护它们并成为优先事项?有哪些云计算安全提供商解决方案?以下是一些主要的云计算安全提供商:
- Sophos
- Hytrust
- CipherCloud
- Proofpoint
- Netskope
- Twistlock
- Symantec
- Fortinet
- Cisco Cloud
- Skyhigh Networks
- vArmour
- ZScaler
- PaloAltoNetworks
- Qualys
- CATechnologies
特征
《采用云计算策略会带来哪些威胁?》
与具有传统IT环境的公司相比,采用云计算解决方案的组织可以更快地发布产品,并以更快的速度实现规模经济。
但是,云计算的共享性质也意味着组织可能面临的威胁数量正在增加。每个人都应该了解的有关云中的网络安全的知识
现在必须使用云计算,因此安全决策者首先需要了解云中的网络安全。
特征
《涉及云安全时该怎么办》:每个企业都是个人,并且有不同的安全需求。但是,在企业云安全策略方面存在广泛的不一致之处。人们需要了解如何实施统一的解决方案。
特征
《云计算安全工具用于数据存储的好处》:采用云计算的公司可以从服务提供商内置的一系列安全功能和工具中受益。
行业案例研究
《医疗保健的主要云安全风险》:与任何其他部门相比,医疗保健行业存储的敏感和个人数据更多,并且这些组织越来越多地将这些数据存储在云中。他们如何确保这一点得到保护?
7. 物联网安全
预计到2023年将使用的450亿个物联网设备中,超过一半将在企业、城市和家庭中使用。
可以说,物联网将通过海量数据收集在塑造创新未来方面发挥最重要的作用,这有助于为智慧城市提供动力并促进业务转型。但是,这种成功的转换取决于动态安全性。
在过去的四年中,物联网安全性的失败已造成DDoS攻击和Mirai僵尸网络的广泛破坏。随着企业和政府的发展,并更加依赖物联网,对其进行保护将成为巨大的安全挑战。组织将需要重新考虑其数据安全方法,并进行大量投资以满足物联网安全要求。
因此,有许多物联网安全解决方案公司可用于企业:
- ARM
- Bayshore Networks
- 思科
- Device Authority
- Dell
- Endian
- Forescout Technologies
- Gemalto
- HPE
- IBM
- 英飞凌科技
- 英特尔
- 杜松
- 卡巴斯基实验室
- Lightcyber
- 微软
- Mocana
- NXP
- Palo Alto Networks
- Risucre
- 赛门铁克
- Thales e-Security
- Utimaco
- Venafi
- Wurldtech
- ZingBox
特征
《物联网:2018年的安全危机?》:随着物联网设备的使用变得越来越普遍,它代表了跨行业出现安全危机的最大可能性,尤其是制造业作为该技术的较早采用者处于危险之中。
视频
《保护物联网》:Portnox公司的联合创始人兼首席执行官Ofer Amitai讨论了信息时代如何保护BYOD时代的物联网:
博客文章
《在物联网革命中保护网络安全》:IT专业人员,首席信息官和首席技术官面临的问题不是进入工作场所的不受管制的物联网设备的数量,而是设备本身的性质,而在设计过程中需要提高安全性。
特征
《英国政府为数百万个物联网设备设置网络安全准则》:英国政府要求制造商采取新措施,以提高数百万台联网设备的网络安全性。必须在构建安全性时考虑到它们。
8. 法规对安全性的影响
如今监管环境变得越来越复杂。在通用数据保护条例(GDPR)发布之后,加利福尼亚消费者隐私(CCPA)也在推出。这两项法律在本质上都是合理的,是对数据日益增长的重要性的回应,但更为严格,并且因无效的安全策略而未能遵守法规的组织将面临巨额罚款,并可能对声誉、客户和投资者造成不可挽回的损害。
在首席信息官和首席技术官的倡导下,实施有效的IT安全策略的重要性对于希望保持成功的企业而言从未如此重要。
特征
- 《全球组织未能在GDPR法规之前投资于急需的安全性》:为了遵守GDPR法规,组织必须投资于正确的技术以实现有效的安全策略,但是他们正在这样做吗?缺乏足够的IT安全保护和缺乏有效的数据安全性是合规性工作面临的最大挑战。
- 特征
- 《美国的GDPR:针对英国组织的CCPA准备指南》:Druva公司的总法律顾问Jung-Kyu McCann探索了英国组织如何为美国的GDPR(即CCPA)做准备。
博客文章
- 《GDPR –企业技术平台是否为首次接触提供了安全保障?》:企业如何确保其网站不受数据泄漏的影响?
- 《GDPR之下的网络威胁格局会增长吗?》:利用更严格的数据保护法,黑客可能会以该法规为杠杆,以更凶悍的方式攻击组织。
9. 政府与网络安全
英国国家网络安全中心的成立表明,英国政府认真致力于防御网络攻击所构成的日益严重的威胁,并认识到这种形势对关键基础设施、人员和企业的危害。
美国政府也认识到网络攻击的危险性不断增加,并于2018年发布了一项新的国家战略,以应对不断增长的网络安全风险,以评估这些风险并减少漏洞。
为了建立成功的21世纪经济和社会,英国政府需要高度重视网络安全,并已表明了对此的承诺。
特征
- 《在网络安全方面,企业必须遵循政府的领导》:英国政府正在针对网络安全采取明确的行动,表明其打算在该领域发挥领导作用。至关重要的是,他们已经任命了最高级别的政府人物来负责网络安全,企业也应该效仿。
- 《对英国网络防御系统的投资会有所作为吗?》:只有组织本身开始优先考虑网络安全并与公共部门合作,才能取得真正的进步。
- 《政府对技术技能差距的应对:网络安全和编码》:面对日益增加的威胁,CWJobs公司的一份调查报告发现,只有一半的雇主在招聘新技术人才时会寻求网络安全技能。更令人担忧的是,也许将近三分之一的技术员工表示,他们认为自己在编码、网络安全和云迁移方面的培训不足。人们在这篇文章可以了解政府部门如何应对威胁,并解决安全技能危机。
10. 应对网络安全技能危机
对于任何成功的IT安全策略而言,至关重要的是企业要有一支强大的员工队伍,但这是一个挑战。在网络安全技能危机中,企业如何应对网络威胁形势?
解决技能危机的一种方法集中在提高技术行业的多样性水平上,不仅要利用企业所有资源,而且还要利用女性这占到50%的人力资源。
解决这一技能差距对于让更多女性员工进入科技领域至关重要。根据ISC公司的报告,到2020年,信息安全领域的专业人才将出现150万人的缺口。然而,可以帮助填补这一缺口的妇女员工人数仍然严重不足,仅占全球劳动力的10%。可以通过打破陈规定型观念,使STEM科目更具吸引力,以及突出女性榜样来部分改善这一点。
行业和政府之间的合作在解决技能危机方面也很重要,同时也为网络安全领域提供了一条更轻松的途径。
特征
《克服网络安全行业技能危机的指南》:这是有关首席信息官和首席技术官如何应对技能危机,并创建能够执行有效网络安全策略的员工队伍的详细指南。
建议
《区块链会解决网络安全技能危机吗?》:近六年来,网络安全市场一直在努力解决失业问题。根据调研机构Frost&Sullivan公司的预测,到2020年,空缺的安全职位数量将增长到180万个。
这些统计数据与知名黑客的数量和严重性不断增加形成鲜明对比。如今,每年价值85亿美元的杀毒软件市场已经崩溃,其中70%的威胁未被发现,网络犯罪损失预计到2021年将翻番,达到6万亿美元。
McAfee Antivirus公司首席信息官兼高级副总裁Mark Tonnesen认为,区块链可能是解决长期缺乏安全人才的答案。加密货币可用于白帽黑客的市场。
博客文章
《通过安全性恢复消费者信任》:诸如WannaCry和NotPetya之类的重大攻击使消费者对其使用的品牌和服务失去了信心。安全性正日益成为所有行业厂商的竞争优势。
