人工智能和自动化将如何提供帮助

2021-04-13 09:03:31 云杰 185

  这些法规带来了双重挑战。首先,季度和年度审核要求安全团队生成并收集详细的数据,以证明其安全控制措施如何满足给定法规的要求。这通常涉及将一般法规要求映射到公司网络上的特定安全控制,然后收集与这些控制有关的数据。其次,强制性违规报告给安全团队带来了巨大的时间压力。

03e364a7d2f2b656d54d514cf76c1ae.png

  例如,GDPR要求组织在发现数据后72小时内报告数据泄露。准确的报告需要在截止日期之前进行全面调查。每个法规都有不同的报告要求和监管机构,这可能使手动违规通知成为一个复杂且耗时的过程。由于其法律和潜在的财务影响,合规性任务通常比安全团队的日常工作更为重要。在研究特定法规,将安全控制映射到法规要求以及证明对法规的遵守上所花费的任何时间都使团队无法识别和响应安全事件。

  这些法规的数量和复杂性持续增长。组织可能要负责其运营所在每个辖区的法规遵从,并且越来越多的州,国家,地区和特定于行业的法规列表使实现和维持法规遵从变得越来越困难。

  人工智能和自动化将如何提供帮助

  在日益复杂的威胁形势(已成倍增加的安全警报数量),日益严重的网络安全技能差距以及安全团队必须遵守的复杂合规性和报告法规之间,组织正在努力确保快速有效的事件响应。

  幸运的是,安全信息和事件管理(SIEM)的集成和自动化对于解决警报的优先级和简化事件响应大有帮助,可解决上述许多挑战。此外,安全领导者必须利用自动化和其他AI驱动的创新功能来减轻负担过重的安全团队。

  影响数字业务的安全风险

  电子商务等数字业务模型已成为全球经济的重要组成部分,但它们并非没有自身的风险。随着组织急于数字化,为了节省时间和初期成本,网络安全常常被排除在外。但是,如果不将安全性纳入数字策略的框架中,组织可能最终会失去最初为节省而投入的资源。对于任何数字业务,尤其是电子商务领域的数字业务,都应单独考虑这一事实。

  在线购物的增加导致网络流量的增加,这是网络犯罪分子利用起来太快的原因。到2020年,这一问题只会变得更加严重,进一步影响电子商务网站的安全性。仅在9月到10月之间,实验室团队就 针对该空间的未遂攻击增加了 140%。知道现在有越来越多的人在线购物,网络罪犯已经利用了虚拟队列的增加和缓慢的Web处理时间。

  随着数字化转型的到来,威胁范围的扩大,为网络犯罪分子提供了针对毫无戒心的个人的各种机会。威胁参与者采取的一种策略是在受信任的网站上放置广告或链接,以引导购物者摆脱其安全的浏览体验,通常会带来很多希望。到达欺诈性网站后,购物者将被指示输入访问凭证(包括用户名和密码),然后网络罪犯可以在真实网站上使用该凭证来窃取个人信息。

  通过网络钓鱼,恶意软件和中间人攻击的部署,以及通过利用恶意访问点(AP),网络罪犯可以进一步尝试利用无线或代理服务器。通常,这里的目标是获得对可用于资助其他工作的支付卡信息的访问。不幸的是,尽管这样的网络威胁通常在数字业务中普遍存在,但许多电子商务站点之间缺乏安全措施,尤其是考虑到在不了解潜在风险的情况下在网上购物的大部分公众。

  采取步骤确保数字体验

  电子商务领域极为有利可图,这正是网络罪犯针对这类企业的原因。他们依靠这样的事实,即大多数人不会问自己:我怎么知道这个在线购物网站是否安全? 因此,企业必须实施策略,以确保能够从幕后进行安全交易,在威胁者甚至无法到达客户之前就将其停止。以下是完成此操作的几种方法:

  确保合规性: 满足合规性标准是电子商务网站可以保护其客户的最基本但至关重要的方法之一。通过采取某些步骤,企业可以确保他们为应对网络威胁奠定了部分框架–这通常意味着不会存储比必要数量更多的数据。电子商务网站应遵守的与网络安全相关的主要法规包括:支付卡行业数据安全标准(PCI-DSS),通用数据保护法规(GDPR),加利福尼亚消费者隐私法(CCPA)和国际标准化组织(ISO)。

  确认基础结构是最新的: 毫不奇怪,过时的安全性是重复攻击的首要原因。这通常伴随着存储桶和公共云计算访问系统上的基本配置错误,从而导致容易利用的漏洞。尽管这无疑是所有类型的数字业务中的问题,但由于这些站点的复杂性,在电子商务中拥有最新的基础架构尤为关键。在某些情况下,这就像升级插件一样简单,但是在其他情况下,可能必须更新整个系统和网站才能有效地管理漏洞。换句话说,没有一种万能的解决方案,并且要求将视具体情况而定。

  要求使用强密码: 电子商务网站和数字企业一般都应要求客户创建网络犯罪分子不容易猜到的密码。尽管这可能以一般建议的形式出现(即,不鼓励包含电话号码或生日),但这也可能意味着完全拒绝某些密码。为了有效实现其安全目标,网站应要求密码至少包含8个字符,包括数字,符号以及大小写字母的组合。此外,建议用户利用随机单词组合(修订的密码方法)或将句子转换为密码(Bruce Schneier方法)。最重要的是,请记住长度和晦涩感是关键。

  维护更新的SSL / TLS证书: 尽管 由于PCI和其他行业法规,对于电子商务商人而言,维护更新的 SSL / TLS证书从本质上来说是很重要的事情,但这仍然很关键,并且这样做可以使企业实现许多好处。从安全的角度来看,他们帮助确保其网站能够抵御网络威胁,漏洞利用和网站滥用,同时还通过实施端到端的数据加密来确保客户数据的安全。从声誉的角度来看,在页面URL的开头包含 HTTPS会产生一种信任感,这将使客户对其数字体验的安全性更有信心。 从业务角度来看,HTTPS允许使用需要执行权限的更强大的Web平台功能和API集成,例如地理定位服务。

  尽管这些策略对于数字业务的安全至关重要,但是每个策略都不能独立存在。相反,安全团队必须编织这样的策略框架,以提供最高级别的保护,以保持其组织和客户的安全。

  关于确保数字业务安全的最终想法

  数字化转型继续改变着我们开展业务的方式以及客户的期望。在整个电子商务领域尤其如此。现在,在线购物比以往任何时候都要多,因此企业必须确保其网站可以从性能和安全角度来处理这种流量涌入。虽然没有一种万无一失的方法来管理电子商务站点安全,但是与保护捷径的企业相比,在保护客户的工作时要谨慎考虑基本原则。