网络安全十四条经验教训

这篇具有很好参考价值的文章主要介绍了网络安全十四条经验教训。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

2022年,是网络安全市场高速发展的一年,同时也是企业评估安全项目投资有效性,校准和优化安全防御战略和预算的关键时间节点。

面对快速迭代的网络威胁,每位CISO都有自己的方法和视角来总结和反思即将过去的2022年,此类经验总结可为未来的战略规划提供宝贵的知识,正如Veracode首席信息安全官Sohail Iqbal所言:“如果企业不打算吸取这些教训并完善其安全实践,那么将面对更加严格的安全审计和第三方风险评估,这可能会对其业务产生财务、声誉、运营甚至合规性产生严重影响。”

以下,是知名企业和机构CISO们总结的2022年网络安全十四条经验教训:

1 为地缘政治冲突提前做好安全防御准备

俄乌战争导致全球大量民族主义黑客组织纷纷选边站队,攻击对方阵营的关键基础设施和组织机构,这迫使许多国家政府纷纷发布了加强安全态势的指导方针,包括美国网络安全和基础设施安全局(CISA)的Shields Up和英国国家网络安全中心(NCSC)的技术保障。

谷歌云首席信息安全官办公室主任Taylor Lehmann认为:“地缘冲突相关的网络威胁应该在几年前就有讨论和预案,而不是等冲突发生后再评估和加强安全态势。”

“企业和机构通常需要数年时间来评估安全差距并实施强化控制措施,因此尽早提出问题可能是有益的。我们需要承认,保护组织免受高级安全威胁需要长时间(有时是几十年)的努力。”Lehmann补充道。

2 威胁行为者数量激增,黑客即服务模式使攻击成本不断降低

根据ENISA的说法,2022年勒索软件组织不断“退休”和重塑品牌,威胁组织“在供应链攻击和针对托管服务提供商的攻击方面的能力不断提高”。此外,黑客即服务的商业模式继续保持增长动力。

“现在每个人都可能成为网络罪犯分子,不需要技能,”Critical Insight的首席信息安全官Mike Hamilton说道:“网络犯罪组织采用的联盟和黑客即服务商业模式大大降低了犯罪门槛。”

例如,对C2aaS平台Dark Utilities的高级访问仅为9.99欧元。该平台提供了多种服务,包括远程系统访问、DDoS功能和加密货币挖掘。

3 未经培训的员工会给企业带来巨额损失

勒索软件攻击在2022年有所增加,公司和政府实体是最显著的目标。英伟达、丰田、SpiceJet、Optus、Medibank、意大利巴勒莫市以及哥斯达黎加、阿根廷和多米尼加共和国的政府机构都是2022年的受害者,出于经济和政治动机的勒索软件组织之间的界限进一步模糊。

员工安全意识培训应该是任何组织安全防御策略的关键部分,因为“员工仍然是网络钓鱼和其他社会工程手段的主要目标。”GuidePoint Security的首席信息安全官Gary Brickhouse说道。

4 政府更积极地为网络安全立法

美国、英国、欧盟都加强了立法,以更好地保护组织免受网络事件的侵害。“(各国政府)正在确定关键安全风险,立法干预的趋势将持续发展。”NCC集团首席信息安全官Lawrence Munro指出。

在美国,联邦和州一级发生了变化。现在要求政府机构实施安全培训并遵循安全策略、标准和实践。他们还需要报告安全事件并制定响应计划。

Munro补充说,企业应该调整心态,积极主动地为即将到来的法规做好准备。此外,还需要注意数据隐私和安全规则不断发展演变的事实。Lehmann指出:“了解企业之间的差异,并满足数据驻留、数据主权和数据本地化要求,是企业现在面临的一项关键业务,并且复杂性将继续增加。”

5 应该更好地跟踪开源软件

2021年底爆发的Log4j安全危机在2022年持续了几乎一整年,影响了全球数以万计的组织。根据CISA最近的一份报告,这种涉及远程代码执行的漏洞将在未来继续构成“重大风险”,因为它“将在未来许多年,也许十年或更长时间内保留在系统中”。

Thrive首席信息安全官Chip Gibbons认为:“Log4j漏洞给业内很多人敲响了警钟,许多组织甚至不知道存在漏洞的软件在自己的某些系统中被使用。”

虽然这个安全问题造成了混乱,但它也提供了学习机会。“Log4j是一种诅咒和祝福,”Sumo Logic的CSO兼IT高级副总裁George Gerchow说:“在事件响应和资产跟踪方面,它让我们变得更好。”

越来越多的企业开始投入更多精力来跟踪开源软件,因为他们看到“对开源软件的隐含信任已经导致了严重损失。”

6 应加大力度识别漏洞

组织还应该采取更多措施来应对开源和闭源软件中的漏洞威胁。但是,这并非易事,因为每年会出现数千个漏洞。漏洞管理工具可以帮助识别操作系统应用程序中发现的漏洞并确定其优先级。“我们需要了解第一方代码中的漏洞,并制定漏洞清单和适当的措施来管理第三方代码中的风险。”Veracode首席信息安全官Iqbal说道。

根据Iqbal的说法,应用安全应该从软件开发生命周期左侧做起:从一开始就编写安全代码并预先管理漏洞,这对应用安全非常重要,归根结底,一切都是代码。您的软件、应用程序、防火墙、网络和策略都是代码,由于代码经常更改,因此应用安全必须“内生”和“左移”。

7 公司需要采取更多措施来防范供应链攻击

供应链攻击是2022年网络安全领域的头号威胁之一,已经有多起事件成为头条新闻,例如针对Okra、GitHub OAuth代币和AccessPress的黑客攻击。到2023年,防范此类威胁仍将是一个复杂的过程。“我认为供应链风险的快速增长让许多组织感到困惑,”Munro说,“我们看到,从资金投入到解决问题的技术上,企业普遍缺乏对现有生态系统和威胁的理解。”

根据Munro的说法,软件物料清单(SBOM)带来了新的框架和技术。Munro说:“有管理信息聚合的工具,软件工件的供应链级别(SLSA)等补充框架和技术标准,如漏洞利用交换或VEX。”这一切都增加了复杂性,也增加了防御者的挑战。

Lehmann补充说:“我们还应该考虑,如果我们的硬件供应链受到攻击,会如何影响我们。”

8 零信任应该是核心安全理念

零信任计划不仅仅是部署技术来管理身份或网络。“这是一种在数字交易时消除隐含信任并用显性信任取而代之的纪律和文化,”Iqbal说道:“这是一个同步的过程,需要跨身份、端点设备、网络、应用程序工作负载和数据进行。”

Iqbal补充说,“每个产品或服务都应该支持单点登录(SSO)/多因素身份验证(MFA),企业和非生产网络应该与生产环境隔离。”“同样重要的是,通过关联多个信号来认证端点以获得最新的安全状况,并使用行为分析进行身份验证、访问和授权。”他补充道。

9 网络安全保险需求可能会继续增加

近年来,网络安全保险已成为必需品,但保费却有所增加。此外,组织还面临着保险公司的更多审查,以确定风险领域。“这个过程比过去严格得多,增加了获得网络安全保险的时间和工作量,”Brickhouse指出:“组织应该将这一过程视为一种安全审计,提前准备,将其安全计划和控制措施记录在案,为审计做好准备。”

10 软件测试的“左移”方法已经过时

ReversingLabs首席信息安全官Matt Rose认为,仅仅在“左边”寻找风险是不够的,开发人员只是全面的应用程序安全计划的一部分。DevOps流程的所有阶段都存在风险,因此工具和调查必须转移到流程内的任何地方,而不仅仅是左侧。“如果组织只在左边寻找问题,他们只会在左边发现安全风险。”

根据Rose的说法,更好的方法是在整个DevOps生态系统中提高安全性,包括开发系统和可部署工件本身。“供应链风险和安全变得越来越重要,如果你只看左边,会漏掉更多风险。”他补充道。

11 对错误的资产使用错误的工具

锤子并不适用于所有钉子,例如螺丝钉。Halborn的联合创始人兼首席信息安全官Steven Walbroehl指出:首席信息安全官需要识别问题的细微差别,并为他们想要解决的问题找到合适的工具。他说:“2022年安全厂商和企业用户需要共同吸取的一个教训是,不能将安全性一概而论,没有解决方案能够适用于所有资产或资源。我们都应该尽最大努力找到适应或适用于特定资产的网络安全解决方案或服务。”

12 企业需要了解完整的应用程序架构

技术堆栈的复杂性每年都在增加,企业必须了解其整个应用程序生态系统,以避免重大安全漏洞。“随着开源包、API、内部开发代码、第三方开发代码和微服务的爆炸式使用,应用程序变得越来越复杂,所有这些都与非常流畅的云原生开发实践相关联,”Rose说:“如果你不知道要寻找什么类型的风险,你将如何找到它?”

根据Rose的说法,现代开发实践的责任块越来越小,没有一个人可以完全处理应用程序各个方面的安全风险。

13 安全应该是一场马拉松

太多非技术型企业认为网络安全是静态的,一次性的活动,执行(投入)一次,然后就安全了。然而,技术是动态的,因此安全防御“是一种需要持续努力的风险管理方法,”Walbroehl说道:“公司不应该试图将网络安全视为一次性的测试。”

Walbroehl建议企业确定关键流程和资产,然后确定他们愿意接受的安全暴露级别。他补充说,一个好主意是优先考虑将风险降低到该水平所需的解决方案或流程。

14 2023年,主动安全为王

2023年首席信息安全官可能会筋疲力尽,他们将再次面临各方面的挑战:俄乌战争将继续,一些国家可能会经历严重的经济衰退,网络威胁态势也将快速演变。

Trustwave的Daniels指出:“我们今年学到的最重要的教训之一是,刻板的被动安全策略使企业的竞争力、财务状况和市场增长面临风险,而主动安全甚至预测性的网络安全运营正在成为安全领导者的关注焦点,在复杂性和不确定性驱动的未来,主动安全能更有效地将安全性融合到业务中。”文章来源地址https://www.toymoban.com/news/detail-551036.html

到了这里,关于网络安全十四条经验教训的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CENTOS上的网络安全工具(二十四)Windows下的Hadoop+Spark编程环境构建

            前面我们搭建了hadoop集群,spark集群,也利用容器构建了spark的编程环境。但是一般来说,就并行计算程序的开发,一刚开始一般是在单机上的,比如hadoop的single node。但是老师弄个容器或虚拟机用vscode远程访问式开发,终究还是有些不爽。还好,hadoop和spark都是支持

    2024年02月09日
    浏览(66)
  • 网络安全 Day26-PHP 简单学习

    php存量多 开源软件多 很多安全流程 渗透方法 sql注入基于PHP语言 入门简单 格式: ?php 内容?或?内容? 结尾分号 例子 可变变量: $变量名 = 赋值内容 外部变量: 一些已经定义好的表示特定内容的变量 单引号: 单纯文本输出不会解析文本中的变量但是效率高 双引号: 输出文本内容但

    2024年02月14日
    浏览(40)
  • 【网络安全篇】php伪协议-漏洞及其原理

    🏆今日学习目标: 🍀学习php伪协议 ✅创作者:贤鱼 ⏰预计时间:35分钟 🎉个人主页:贤鱼的个人主页 🔥专栏系列:网络安全 🍁贤鱼的个人社区,欢迎你的加入 贤鱼摆烂团 🍁如果有需要可以查看下面文章 25分钟了解php?php基础 举个例子 include(文件名) ; 作用是如果文件

    2024年02月03日
    浏览(47)
  • 网络安全入门学习第十七课——PHP数组

    索引数组是指 键名为整数 的数组。 默认 情况下,索引数组的 键名是从0开始 ,并依次递增。它主要适用于利用位置(0、1、2……)来标识数组元素的情况。另外,索引数组的键名也可以自己指定。 关联数组是指 键名为字符串 的数组。通常情况下,关联数组元素的“键”和

    2024年02月09日
    浏览(51)
  • 基于PHP网络安全知识宣传网站:构建安全、可靠的在线交流平台

    摘要:随着互联网技术的快速发展,网络安全问题日益凸显。PHP作为一种广泛使用的服务器端脚本语言,其安全性对于整个网站的安全至关重要。本文旨在探讨如何构建一个专注于PHP网络安全知识宣传的网站,通过知识分享论坛的形式,提高开发者的安全意识,分享最佳实践

    2024年02月22日
    浏览(53)
  • 金融网络安全建设更难了?看一线从业者的“实战”经验分享丨2023 INSEC WORLD

    科技云报道原创。 随着十四五时代的大幕缓缓拉开,国内金融安全建设之路进入下半场。 一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。 另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数

    2024年02月06日
    浏览(48)
  • 网络安全入门学习第十七课——PHP表单交互

    表单的主要功能:就是在网页上用于输入信息的区域,收集用户输入的信息,并将其提交给后端的服务器进行处理,实现用户与服务器的交互。 例如:购物结算、信息搜索等都是通过表单实现的。 一个完整的表单是由表单域和表单控件组成的。其中,表单域由form标记定义,

    2024年02月12日
    浏览(46)
  • [CTF/网络安全] 攻防世界 PHP2 解题详析

    翻译: 你能给这个网站进行身份验证吗? index.php是一个常见的文件名,通常用于Web服务器中的网站根目录下。它是默认的主页文件名,在访问一个网站时,如果没有特别指定页面文件名,则服务器会自动加载index.php文件。 在Web应用程序中,index.php文件通常是网站的入口文件

    2024年02月13日
    浏览(45)
  • 网络安全实验——web安全

    目录 实验目的 实验原理 实验内容 实验1 1. 地址栏中执行脚本 2. 对DOM技术的利用 实验2  1.jump1 2.jump2 3.get 4.xss 5.注册bss 6.盗取cookie 7.分析cookie  实验3 一.搭建IIS服务器 二.身份验证和权限设置 三.IP地址和域名限制 四.安全通信 五. 单点登录  实验总结 1. 了解什么是XSS 2. 掌握盗

    2024年02月13日
    浏览(44)
  • 软考高级系统架构设计师系列论文九十四:论计算机网络的安全性设计

    软考高级系统架构设计师:计算机网络

    2024年02月11日
    浏览(66)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包