組織面臨著對其信息系統(tǒng)和數(shù)據(jù)的諸多威脅。

了解網(wǎng)絡(luò)安全的所有基本要素是攻克這些威脅的第一步。

網(wǎng)絡(luò)安全是確保信息的完整性、保密性和可用性(ICA)的實(shí)踐。

它代表了防御和從諸如硬盤驅(qū)動器故障或斷電等事故中恢復(fù)的能力，以及抵御敵人攻擊的能力。

后者包括從腳本kiddies到黑客和能夠執(zhí)行高級持久威脅(advanced persistent threats, apt)的犯罪組織，他們對企業(yè)構(gòu)成嚴(yán)重威脅。

業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃對于網(wǎng)絡(luò)安全的重要性不亞于應(yīng)用程序和網(wǎng)絡(luò)安全。

整個企業(yè)都應(yīng)該把安全放在首位，并由高級管理層授權(quán)。

我們現(xiàn)在所處的信息世界的脆弱性，也需要強(qiáng)有力的網(wǎng)絡(luò)安全控制。

管理層應(yīng)該確保所有系統(tǒng)都按照一定的安全標(biāo)準(zhǔn)構(gòu)建，并對員工進(jìn)行適當(dāng)?shù)呐嘤?xùn)。

例如，所有代碼都有bug，其中一些bug是安全缺陷。

畢竟，開發(fā)人員只是人。

安全培訓(xùn)　　　　

在任何網(wǎng)絡(luò)安全計(jì)劃中，人總是最薄弱的環(huán)節(jié)。

培訓(xùn)開發(fā)人員如何安全編碼，培訓(xùn)運(yùn)營人員如何優(yōu)先考慮強(qiáng)大的安全態(tài)勢，培訓(xùn)終端用戶如何識別釣魚郵件和社會工程攻擊——網(wǎng)絡(luò)安全始于意識。

所有公司都會遭遇某種形式的網(wǎng)絡(luò)攻擊，即使有強(qiáng)有力的控制措施。

攻擊者總是會利用最薄弱的環(huán)節(jié)，許多攻擊很容易通過執(zhí)行基本的安全任務(wù)來預(yù)防，這些任務(wù)有時被稱為“網(wǎng)絡(luò)衛(wèi)生”。

“外科醫(yī)生如果不先洗手，就永遠(yuǎn)不會進(jìn)入手術(shù)室。

同樣，企業(yè)有責(zé)任履行網(wǎng)絡(luò)安全保護(hù)的基本要素，例如維護(hù)強(qiáng)大的身份驗(yàn)證實(shí)踐，不將敏感數(shù)據(jù)存儲在可以公開訪問的地方。

然而，一個好的網(wǎng)絡(luò)安全戰(zhàn)略需要超越這些基礎(chǔ)。

老練的黑客可以繞過大多數(shù)防御，而對于大多數(shù)公司來說，攻擊面(攻擊者進(jìn)入系統(tǒng)的方式或“載體”的數(shù)量)正在擴(kuò)大。

例如，信息和物理世界正在融合，犯罪分子和民族國家間諜現(xiàn)在威脅著ICA的網(wǎng)絡(luò)物理系統(tǒng)，比如汽車、發(fā)電廠、醫(yī)療設(shè)備，甚至是你的物聯(lián)網(wǎng)冰箱。

類似地，云計(jì)算的趨勢，將您自己的設(shè)備(BYOD)策略帶到工作場所，以及蓬勃發(fā)展的物聯(lián)網(wǎng)(IoT)帶來了新的挑戰(zhàn)。

捍衛(wèi)這些體系從未像現(xiàn)在這樣重要。

令網(wǎng)絡(luò)安全更加復(fù)雜的是圍繞消費(fèi)者隱私的監(jiān)管環(huán)境。

遵守嚴(yán)格的監(jiān)管框架，如歐盟的《一般數(shù)據(jù)保護(hù)條例》(GDPR)，還需要新的角色來確保組織滿足GDPR和其他條例的隱私和安全要求。

因此，對網(wǎng)絡(luò)安全專業(yè)人士的需求日益增長，使得招聘人員難以用合格的候選人填補(bǔ)職位空缺。

這種斗爭要求組織對風(fēng)險最大的領(lǐng)域給予高度關(guān)注。

網(wǎng)絡(luò)安全的種類　　　　

網(wǎng)絡(luò)安全的范圍是廣泛的。

核心領(lǐng)域如下所述，任何良好的網(wǎng)絡(luò)安全戰(zhàn)略都應(yīng)該考慮到這一切。

1. 關(guān)鍵基礎(chǔ)設(shè)施　　　　

關(guān)鍵的基礎(chǔ)設(shè)施包括社會所依賴的網(wǎng)絡(luò)物理系統(tǒng)，涵蓋電網(wǎng)、水凈化、交通信號燈和醫(yī)院。

例如，將一座發(fā)電廠接入互聯(lián)網(wǎng)，就容易受到網(wǎng)絡(luò)攻擊。

對于負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織，解決方案是執(zhí)行盡職調(diào)查，以保護(hù)了解漏洞并防范它們。

其他人應(yīng)該評估對他們所依賴的關(guān)鍵基礎(chǔ)設(shè)施的攻擊可能會如何影響他們，然后制定應(yīng)急計(jì)劃。

2. 網(wǎng)絡(luò)安全　　　　

網(wǎng)絡(luò)安全防范未經(jīng)授權(quán)的入侵以及懷有惡意的內(nèi)部人士，確保網(wǎng)絡(luò)安全常常需要權(quán)衡利弊。

例如，訪問控制(如額外登錄)可能是必要的，但會降低工作效率。

用于監(jiān)控網(wǎng)絡(luò)安全的工具會生成大量數(shù)據(jù)，以至于經(jīng)常會錯過有效的警報。

為了更好地管理網(wǎng)絡(luò)安全監(jiān)控，安全團(tuán)隊(duì)越來越多地使用機(jī)器學(xué)習(xí)來實(shí)時標(biāo)記異常流量和警告威脅。

3. 云安全　　　　

企業(yè)進(jìn)軍云計(jì)算為安全帶來了新的挑戰(zhàn)。

例如，2017年幾乎每周都有來自配置不良的云實(shí)例的數(shù)據(jù)泄露。

云提供商正在創(chuàng)建新的安全工具，以幫助企業(yè)用戶更好地保護(hù)他們的數(shù)據(jù)，但底線仍然存在:當(dāng)涉及網(wǎng)絡(luò)安全時，向云轉(zhuǎn)移并不是執(zhí)行盡職調(diào)查的萬靈藥。

4. App 保護(hù)　　　　

應(yīng)用程序安全(AppSec)，尤其是web應(yīng)用程序安全，已經(jīng)成為最薄弱的技術(shù)攻擊點(diǎn)，但是很少有組織能夠完全緩解OWASP十大web漏洞。

AppSec從安全編碼實(shí)踐開始，應(yīng)該通過模糊化和滲透測試加以增強(qiáng)。

快速的應(yīng)用程序開發(fā)和云部署已經(jīng)將DevOps看作是一門新的學(xué)科。

DevOps團(tuán)隊(duì)通常優(yōu)先考慮業(yè)務(wù)需求而不是安全性，考慮到威脅的擴(kuò)散，這個重點(diǎn)可能會發(fā)生變化。

5. 物聯(lián)網(wǎng)(IoT)安全　　　　

物聯(lián)網(wǎng)指的是各種各樣的關(guān)鍵和非關(guān)鍵網(wǎng)絡(luò)物理系統(tǒng)，如家用電器、傳感器、打印機(jī)和安全攝像頭。

物聯(lián)網(wǎng)設(shè)備往往處于不安全狀態(tài)，提供的安全補(bǔ)丁很少甚至沒有，這不僅對它們的用戶構(gòu)成威脅，也對互聯(lián)網(wǎng)上的其他人構(gòu)成威脅，因?yàn)檫@些設(shè)備往往發(fā)現(xiàn)自己是僵尸網(wǎng)絡(luò)的一部分。

這給家庭用戶和社會帶來了極大的安全挑戰(zhàn)。

網(wǎng)絡(luò)威脅的種類　　　　

常見的網(wǎng)絡(luò)威脅大致可分為三類：　　　　

保密攻擊：竊取或復(fù)制目標(biāo)的個人信息是網(wǎng)絡(luò)攻擊開始的次數(shù)，包括信用卡欺詐、身份盜竊或盜竊比特幣錢包等普通犯罪攻擊。

民族國家間諜將保密攻擊作為其工作的主要部分，以獲取機(jī)密信息為政治、軍事或經(jīng)濟(jì)利益。

對完整性的攻擊：也被稱為“破壞”或“完整性攻擊”，關(guān)鍵在于破壞、旨在破壞信息或系統(tǒng)以及依賴它們的人。

整性攻擊可以是很微妙的：這里有一個錯誤，那里有一點(diǎn)篡改或者對目標(biāo)進(jìn)行破壞或銷毀活動。

犯罪者的范圍從腳本小子到民族國家的攻擊者。

可用性攻擊：防止目標(biāo)訪問他們的數(shù)據(jù)是目前最常見的勒索軟件和拒絕服務(wù)攻擊的形式。

勒索軟件加密目標(biāo)的數(shù)據(jù)，并要求贖金解密它。

拒絕服務(wù)攻擊(通常以分布式拒絕服務(wù)(DDoS)攻擊的形式出現(xiàn))會向網(wǎng)絡(luò)資源發(fā)送大量請求，使其不可用。

下面描述了這些攻擊的執(zhí)行方法。

1. 社會工程　　　　

如果攻擊者能夠攻擊人類，他們就不會攻擊計(jì)算機(jī)。

社會工程惡意軟件，通常用于發(fā)送勒索軟件，是攻擊的頭號方法(不是緩沖區(qū)溢出，錯誤配置，或先進(jìn)的利用)。

最終用戶被騙運(yùn)行特洛伊木馬程序，通常來自他們信任并經(jīng)常訪問的網(wǎng)站。

持續(xù)的用戶教育是對抗這種攻擊的最佳對策。

2. 釣魚式攻擊　　　　

有時候，盜取某人密碼的最好方法就是欺騙他們，讓他們透露自己的密碼。

即使是受過良好安全訓(xùn)練的聰明用戶，也可能會受到釣魚攻擊。

這就是為什么最好的防御是雙因素身份驗(yàn)證(2FA)——如果存在第二個因素，例如硬件安全令牌或用戶手機(jī)上的軟令牌身份驗(yàn)證應(yīng)用程序，被盜密碼對攻擊者來說毫無價值。

3. 未修補(bǔ)的軟件　　　　

如果攻擊者對您部署了零日攻擊，就很難責(zé)怪您的企業(yè)，但是修補(bǔ)失敗看起來很像沒有執(zhí)行的盡職調(diào)查。

如果在一個漏洞被暴露數(shù)月或數(shù)年之后，您的企業(yè)還沒有應(yīng)用該安全補(bǔ)丁，那么您可能會被指控疏忽大意。

再次強(qiáng)調(diào)補(bǔ)丁的重要性。

4. 社交媒體的威脅　　　　

釣魚不僅僅是為了約會。

可信的馬甲賬戶可以通過你的LinkedIn網(wǎng)絡(luò)慢慢滲透。

如果一個認(rèn)識你100個專業(yè)聯(lián)系人的人開始談?wù)撃愕墓ぷ鳎銜X得奇怪嗎?信口開河會使船沉沒。

期待社交媒體的間諜活動，包括工業(yè)間諜和民族國家間諜。

5. 先進(jìn)的持續(xù)威脅　　　　

說到民族國家的敵人，你的企業(yè)有他們。

如果多個apt在您的公司網(wǎng)絡(luò)上玩捉迷藏，不要感到驚訝。

如果您在任何地方正在做一些對某人來說非常有趣的事情，那么您需要考慮針對復(fù)雜apt的安全姿態(tài)。

這一點(diǎn)在技術(shù)領(lǐng)域體現(xiàn)得最為明顯，因?yàn)檫@個行業(yè)擁有豐富的寶貴知識產(chǎn)權(quán)，許多罪犯和國家都會毫不猶豫地去竊取。

網(wǎng)絡(luò)安全的職業(yè)　　　　

實(shí)施強(qiáng)有力的網(wǎng)絡(luò)安全戰(zhàn)略需要你有合適的人選。

從高層到前線的安全工程師，對專業(yè)網(wǎng)絡(luò)安全人員的需求從未像現(xiàn)在這樣高。

隨著保護(hù)公司數(shù)據(jù)成為企業(yè)至關(guān)重要的任務(wù)，安全部門的領(lǐng)導(dǎo)人已經(jīng)擠進(jìn)了高管層和董事會。

首席安全官(CSO)或首席信息安全官(CISO)現(xiàn)在是任何正規(guī)企業(yè)都必須擁有的核心管理職位。

角色也變得更加專業(yè)化。

多面手安全分析師的時代正在迅速消逝。

今天，滲透測試人員可能會關(guān)注應(yīng)用程序安全、網(wǎng)絡(luò)安全或釣魚用戶來測試安全意識。

事件響應(yīng)可能24/7隨叫隨到。

以下角色是任何安全團(tuán)隊(duì)的基礎(chǔ)配置。

1. CISO /方案　　　　

CISO是一個c級管理人員，負(fù)責(zé)監(jiān)督組織的IT安全部門和相關(guān)人員的操作。

CISO指導(dǎo)和管理策略、操作和預(yù)算，以保護(hù)組織的信息資產(chǎn)。

2. 安全分析師　　　　

也被稱為網(wǎng)絡(luò)安全分析師、數(shù)據(jù)安全分析師、信息系統(tǒng)安全分析師或IT安全分析師，這個角色通常有以下職責(zé)：　　　　

計(jì)劃、實(shí)施和升級安全措施和控制;　　　　

保護(hù)數(shù)字文件和信息系統(tǒng)免受未經(jīng)授權(quán)的訪問、修改或破壞;　　　　

維護(hù)數(shù)據(jù)并監(jiān)控安全訪問;　　　　

進(jìn)行內(nèi)部和外部安全審計(jì);　　　　

管理網(wǎng)絡(luò)、入侵檢測和預(yù)防系統(tǒng);　　　　

分析安全漏洞，確定其根本原因;　　　　

定義、實(shí)現(xiàn)和維護(hù)公司安全策略;　　　　

與外部供應(yīng)商協(xié)調(diào)安全計(jì)劃;　　　　

3. 安全架構(gòu)師　　　　

一個好的信息安全架構(gòu)師橫跨業(yè)務(wù)和技術(shù)領(lǐng)域。

雖然不同行業(yè)的角色在細(xì)節(jié)上可能有所不同，但是高級職員的角色是負(fù)責(zé)計(jì)劃、分析、設(shè)計(jì)、配置、測試、實(shí)現(xiàn)、維護(hù)和支持組織的計(jì)算機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。

這需要全面了解業(yè)務(wù)，了解其技術(shù)和信息需求。

4. 安全工程師　　　　

安全工程師站在保護(hù)公司資產(chǎn)免受威脅的第一線。

這份工作需要很強(qiáng)的技術(shù)、組織和溝通能力。

IT安全工程師是一個相對較新的職位。

它的重點(diǎn)是IT基礎(chǔ)設(shè)施中的質(zhì)量控制。

這包括設(shè)計(jì)、構(gòu)建和保護(hù)可伸縮的、安全的和健壯的系統(tǒng);負(fù)責(zé)運(yùn)營數(shù)據(jù)中心系統(tǒng)和網(wǎng)絡(luò);協(xié)助本組織了解先進(jìn)的網(wǎng)絡(luò)威脅;并幫助制定保護(hù)這些網(wǎng)絡(luò)的策略。