工作场所中10种常见IT安全风险

2019-11-07 14:37:42 云杰通信 99


因为每天都会遇到不同的客户,我都向他们询问他们面临的主要挑战。我一遍又一遍听到的频率最高的是保持他们的业务不受网络攻击和其他安全事件的干扰。

拿起任何报纸或观看任何新闻频道,您都会听到有关企业网络漏洞的信息。当宣布发生新的漏洞时,我听到的是大多数公司如何继续保持网络的脆弱性,无论其行业,规模和资源如何。

工作场所中10种常见IT安全风险

从我的角度来看,这里有两种作用力正在朝着不同的方向拉动:

攻击者,他们越来越快地控制威胁

而仍然在紧急安全任务中承受超负荷工作的公司

我们都已经看到了这种情况,但是《普华永道全球经济犯罪调查》证实了这一点:

网络犯罪上升到第二大报告的经济犯罪之中,影响到32%的组织。

互联网提供的攻击已不再是未来。它们是一个有影响力的现实,尽管它是不可触及的且通常是抽象的。

顶级安全威胁可能会影响您公司的发展

公司基础架构中的漏洞可能会损害您当前的财务状况并危及其未来。正如《 2017年全球信息安全状况调查》所揭示的那样,各地的公司都在寻找潜在的解决方案来解决其网络安全问题。

整合似乎是民间组织和CIO们对追求的目标。将所有要素放在一起,可以从安全风险和漏洞方面描绘出清晰的画面,而这确实是必须具备的条件。因此,在这种动荡的环境中,公司迫切需要将网络安全措施纳入一项重要资产。这不仅与技术有关,而且与业务连续性有关。

如果您担心公司的安全,则可以采用一些解决方案来保护资产安全。第一步是要认识到现有的网络安全风险,使您的组织容易受到恶意黑客的攻击。

企业网络安全风险准备

未来几年,您都希望将信息安全放在业务计划的顶部。制定强有力的计划来保护您的组织免受网络攻击是至关重要的。所以是一个业务连续性计划,以帮助您应对潜在的安全漏洞的后果。

在下面,您会发现按特定顺序排列的一系列IT安全风险,这将有助于您制定行动计划来增强公司对攻击性网络犯罪分子及其行为的防御能力。

未能涵盖网络安全基础知识

攻击者在过去一年中使用的常见漏洞和利用表明,缺乏基本的网络安全措施。网络罪犯使用不到十二个漏洞来入侵组织及其系统,因为他们不需要更多的漏洞。

前十大外部漏洞占所有已识别外部漏洞的近52%。数千个漏洞占其他48%。

2015年期间,占所有内部漏洞超过78%,排名前10的内部漏洞的所有10个内部漏洞有直接关系的过时的补丁级别在目标系统上。

例如,诸如及时修补之类的简单操作可能阻止了被调查组织中78%的内部漏洞。外部安全漏洞也是如此。此外,依靠防病毒软件作为单个安全层并且无法加密数据是攻击者的公开邀请。它只是大叫:“开放供黑客使用!”

不了解是什么产生了企业网络安全风险

公司常常不了解“他们的攻击脆弱性,关键资产的价值以及潜在攻击者的概况或复杂程度”。这个问题是在2015年世界经济论坛上提出的,可能还会再持续几年。

安全风险并不总是很明显。技术并不是带来安全风险的唯一来源。还涉及心理和社会方面。这就是为什么公司文化在其处理和感知网络安全及其作用方面起着重要作用的原因。

缺乏网络安全政策

对于如今开展业务并希望蓬勃发展的任何公司而言,安全标准都是必不可少的。网络罪犯不仅针对金融或科技行业的公司。他们威胁着那里的每家公司。

备受关注的安全漏洞的发生频率越来越高,已使C级管理层更加了解此事。这是重要的一步,但也是其中的一步。外部攻击非常频繁,并且外部攻击的经济成本很高。接受调查的505家企业和金融机构平均每月遭受一次以上的网络攻击,并且每年平均花费近350万美元来应对攻击。

如今,公司无法承受不将网络安全政策视为优先事项,也不能让员工参与其中的问题。值得在Fortune.com上的一篇文章中分享的这一建议值得考虑:就像公司在法律和财务事务上寻求外部专业知识一样,他们现在应该寻找网络安全和数据隐私方面的专家。

作为网络安全政策的一部分,公司应:

  • 识别与网络安全相关的风险

  • 建立网络安全治理

  • 制定政策,程序和监督流程

  • 保护公司网络和信息

  • 识别并解决与远程访问客户信息和资金转账请求相关的风险

  • 定义和处理与供应商和其他第三方相关的风险

  • 能够检测到未经授权的活动。

混淆网络安全合规性

企业必须应对的另一个风险是合规性与网络安全政策之间的混淆。确保遵守公司规则并不等于保护公司免受网络攻击。当然,除非规则明确将重点放在安全性上。

企业风险管理要求公司中的每个经理都可以访问安全系统中与其相关的部分。正如我们的CEO经常说的那样,安全是整个公司的责任。因此,管理人员(以及其他所有人)应该监督数据如何通过系统流动,并知道如何保护机密信息不泄漏到网络犯罪基础设施。

大多数公司仍未充分准备,甚至不了解所面临的风险:只有37%的组织制定了网络事件响应计划。 显然,这里有很多工作要做。

最薄弱的环节

还有其他因素也可能成为企业网络安全风险。它们是技术含量较低的一种。人为因素在公司信息安全防御的强弱方面起着重要作用。事实证明,担任高级职务的人,例如执行和管理职务,不太容易成为恶意内部人员。是低级员工会严重削弱您的安全性。请注意如何设置和监视他们的访问级别。

您可以从最近的统计数据中看到,特权滥用是恶意内部人员确定的数据泄漏的主要原因。

这是将网络安全策略添加到您公司的方法中的又一个原因,而不仅仅是您可能已经制定的合规性检查表。保护敏感信息是必不可少的,您需要查看内部和外部,以绘制和缓解潜在威胁。

带上自己的设备策略(BYOD)和云

为了为您的员工提供更好的工作条件和更灵活的环境,您可能采用了“自带设备”政策。 但是,您是否考虑过这样做带来的企业网络安全风险?

在BYOD和移动安全2016研究提供了关键指标:

五分之一的组织遭受了移动安全漏洞,主要是由恶意软件和恶意WiFi驱动的。

对BYOD的安全威胁给组织的IT资源(35%)和服务台工作负载(27%)带来了沉重负担。

尽管存在越来越多的移动安全威胁,数据泄露和新法规,但只有30%的组织在未来12个月内增加了BYOD的安全预算。同时,有37%的人没有计划更改其安全预算。

好的一面是,人们对BYOD政策问题的认识正在提高。对于移动设备,密码保护仍然是首选解决方案。总体而言,BYOD安全性似乎朝着正确的方向发展。但是,像其他所有事情一样,还有更多的公司可以做到这一点。

资金,人才和资源限制

我们知道,在发展业务,保持优势和规划增长方面,有很多问题需要考虑。因此预算紧张,资源匮乏。这恰恰是引发公司网络安全风险的因素之一。将此安全层视为您公司的免疫系统。它需要资金和人才来防止由于网络攻击而造成的严重损失。

一个好的方法是为此目标设定合理的期望并分配您可以负担的资源。鉴于网络安全专家的短缺,这并非易事,这种现象正在影响整个行业。

没有信息安全培训

员工培训和意识对于您公司的安全至关重要。实际上,根据Dell的“保护组织免受未知威胁-新一代威胁”的调查,有50%的公司认为对新老员工的安全培训是当务之急。

专家的建议是快速了解网络攻击者用于渗透您的系统的最常见文件类型。这将告诉您可以在员工的网络安全培训中包括哪些类型的可行建议。人为因素既可以是优点,也可以是缺点。对您的员工进行教育,他们可能会为此感谢您。这项培训对他们的私人生活也很有价值。

缺乏恢复计划

为安全攻击做好准备意味着要有周密的计划。该计划应包括为防止网络攻击而可能发生的情况,还应包括如何最大程度地减少损害(如果发生)。不幸的是,统计数据表明公司还没有准备好应对以下紧急情况:

观察自2013年以来支持的事件趋势,备灾情况几乎没有改善。2015年,未做好准备且没有正式计划应对事件的组织略有增加。在过去三年中,平均有77%的组织属于此类别,只有23%的组织具有有效响应的能力。

如果77%的组织缺乏恢复计划,那么他们的资源可能会更好地用于预防措施。这样,公司可以在早期阶段检测到攻击,并可以更有效地隔离和管理威胁。但这并不能消除对恢复计划的需求。毫无疑问,这样的计划对于您的响应时间和恢复业务活动至关重要。

不断发展的风险

您不能做很多事情,这是当前恶意软件特有的多态性和隐秘性。

多态恶意软件是有害,破坏性或侵入性的计算机软件,例如病毒,蠕虫,特洛伊木马或间谍软件。它的主要优点是它可以不断变化,因此反恶意软件程序很难检测到它。因此,您应该考虑到,在防病毒解决方案之上,您的公司可能需要额外的保护层。

您的第一道防线应该是可以主动识别恶意软件的产品。它应该能够阻止对恶意服务器的访问并阻止数据泄漏。预防层的部分作用还在于通过快速修补漏洞来保护您的系统。随着网络风险的增加和网络攻击的加剧,更极端的措施可能已成为常态。此类策略包括关闭网段或断开特定计算机与Internet的连接。

正如德勤(Deloitte)的这篇文章所指出的那样:与当今的安全和隐私周界防御方法相比,这可能需要截然不同的思维方式,后者有时的答案是建造更高的城堡墙和更深的护城河。

这里要考虑的另一件事是,网络罪犯拥有强大的,完全自动化的系统。鉴于CIO和CSO必须应对的威胁数量巨大,自动化对您的组织也至关重要。您将需要一种解决方案,该解决方案可以扫描传入和传出的Internet通信以识别威胁。它还应防止它们渗透到系统中。犯罪分子都是自动化的,并且公司对付犯罪的唯一方法就是也要自动发现这些漏洞……坏人只需找到一个漏洞。我们必须全部找到它们。