新型网络安全:从过程到明确结果

这篇具有很好参考价值的文章主要介绍了新型网络安全:从过程到明确结果。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

内容

  • 过去的情况
  • 网络安全是理论性的,结果才是实际性的。这可能吗?
  • 我们现在的努力方向
  • 结论

本文讲述了为什么企业必须重新思考其网络安全方法:旧方法是否足够有效,是否可以完全适用?公司应采取哪些行动来实现内部信息安全的成熟度?我们将解释市场如何寻求建立网络安全流程,以产生明确、可衡量的结果。

过去的情况

几年前,“信息安全专家”这个词会让人联想到什么?人们首先想到的是遵守监管机构的文件、通过审计和其他检查、购买和安装信息保护系统,但对这些措施的实际需求却没有深刻理解。网络安全更多的是一种形式上的任务,企业并没有努力确保信息资源的真正安全。责任分配也不尽相同:网络安全并非企业首席执行官的工作重点。

2021 年,Positive Technologies 的一项调查发现,大多数企业的网络武器库中只有基本的防御工具,而这些工具并不是为了检测复杂的威胁而设计的。与此同时,每十位受访者中就有一位缺乏防病毒系统。并非所有企业都在采用先进的解决方案:例如,27% 的受访者表示他们已建立流量分析系统,只有五分之一的受访者计划实施此类保护措施。

在 2021 年的调查中,只有十分之一的受访者表示他们的企业拥有专业的整体解决方案。

通常情况下,企业会在攻击发生后,部署资源来改善系统安全并修复漏洞。重要的是要问一个问题:是否可以提前采取行动,防止产生负面影响?

网络安全是理论性的,结果才是实际性的。这可能吗?

首先,确保企业的安全意味着保护业务的安全性和连续性、维护企业声誉和需求。实施信息安全系统的主要任务是确保业务流程对外部因素的适应能力。

每年网络攻击成功的数量在我们的研究中,大规模攻击(例如,攻击者向许多地址发送网络钓鱼邮件)被视为单个攻击,而不是一系列攻击。现在,确保安全的问题比以往任何时候都更加急迫。网络安全正成为一个日益蓬勃发展的领域,因为企业基础设施的不断变化以及攻击者攻击方法的演变都需要快速适应。例如,2020 年的疫情,企业运营和员工互动方式的快速变化,以及网络安全的实施如何落后于时代的挑战。

新型网络安全:从过程到明确结果,Positive Technologies,网络安全 ,CISO,web安全,安全,网络 

1网络安全事件数量动态变化(2018-2022年)

人们越来越意识到网络安全实践的重要性,各企业也认识到有必要提高防御能力,以抵御恶意行为者在现实世界中的攻击。

企业开展多个渗透测试项目的要求也在发生变化,因为将五项测试结果与现实世界的业务影响关联起来变得越来越困难。根据我们的数据显示,在 2021 年,有一项要求是对企业不可容忍事件进行验证:在每三个项目中客户都指定了目标系统,有必要验证攻击者的某些能力。这些系统包括自动流程控制系统、ATM 管理系统、SWIFT 银行间转账系统、1C 和网站管理界面。2022 年,47% 的企业在开展工作时指定了要实现的具体目标,27% 的企业让专家验证不可容忍事件。

不可容忍事件是指因恶意行为而发生的事件,它使一个企业无法实现运营和战略目标,或导致其核心业务长期中断。

通常情况下,企业活动的特性不允许其在实际基础设施上测试风险的可行性,因为这可能会对其技术和业务流程产生负面影响。网络试验场正在兴起,这是模拟企业实际基础设施的一部分,旨在培训专家和磨练防御技能的系统。网络试验场可以在不中断实际流程的情况下,验证不可容忍事件的清单及其实现的后果,并评估可能造成的损害。

我们现在的努力方向

如今,要防范绝对的网络威胁是不可能的,越来越多的企业机构意识到有必要建立以业务为导向的网络安全。其主要目标是保护企业最重要的资产,防止发生不可容忍事件。有效网络安全正在兴起,这是一种完全不同的方法,是拥有成熟信息安全的企业所特有的。

有效网络安全是一个企业的安全状态,它能确保企业抵御网络攻击,并能在实践中随时确认攻击者无法实施该企业无法接受的事件。

基于结果的安全意味着一种可定性和定量衡量的信息保护系统,它能保护企业的资产,防止发生不可容忍事件。这种方法意味着最高管理层直接参与企业信息安全的发展,需要参与制定不可容忍事件的清单。企业真正的关注点和需求成为制定企业具体信息安全目标的基础。

这种方法逐步得到验证:普华永道的研究结果显示,在 2022 年,超过 70% 的受访者注意到,由于与高级管理层的联合投资和合作,网络安全得到了很大改善。例如,71% 的受访者表示,企业能够在对合作伙伴或客户造成负面影响之前,预测并应对与数字计划相关的新网络风险。

超过一半 (51%) 的高管表示,他们需要网络风险管理计划来实施各种重大业务或运营变革。此外,半数以上 (52%) 的高管表示,他们打算带头采取一些重要举措,如优化供应链和淘汰会削弱企业网络地位的产品。

俄罗斯目前正在积极推广有效网络安全的概念。2023 年上半年,我们针对几个专门讨论信息安全的论坛的受众进行了调查。

经过调查,Positive Technologies 公司得出了以下结果:

71% 的受众熟悉具有影响力的网络安全的一般概念。

59% 的人知道在有效安全的背景下,不可容忍事件意味着什么。

不可容忍事件似乎不再是一个新名词,一些企业已经在根据新方法改进其内部流程。

新型网络安全:从过程到明确结果,Positive Technologies,网络安全 ,CISO,web安全,安全,网络 

2企业实施有效安全要素的情况(受访者百分比)

五分之一 (22%) 的受访者表示,他们的公司已经能够建立支持网络稳定性的流程,如监测和应对网络威胁。一些受访者还表示,他们的公司已经能够开展网络培训,或启动漏洞赏金计划,有偿查找漏洞。

漏洞赏金计划是一项聘请各种自由职业网络安全研究人员查找软件、网络应用程序和 IT 基础设施中的漏洞的计划。

参与漏洞赏金计划可以进一步提高公司的信息安全成熟度,加强安全开发。当公司内部员工手动查找漏洞的人力成本过高时,外部专家的参与有助于更有效地发现弱点。同时,公司只需为发现的漏洞付费,而不是为搜索漏洞所花费的时间付费,从而可以更好地利用预算。

以前,人们认为只有科技公司才能推出此类计划。例如,早在 2019 年,在最受欢迎的平台之一 HackerOne 上,这类公司占所有攻击计划的 60%。最受欢迎的行业类别是在线服务 (28%) 和软件开发 (21%)。2022 年的情况有所不同。在漏洞赏金市场研究中,我们分析了 24 个最大的活跃平台,发现对付费漏洞搜索服务需求最大的行业是:IT 公司 (16%)、在线服务 (14%)、服务业 (13%)、商业 (11%)、金融机构 (9%) 和区块链项目 (9%)。我们预计,政府组织、保险和运输等细分市场将逆转这一趋势。

新型网络安全:从过程到明确结果,Positive Technologies,网络安全 ,CISO,web安全,安全,网络 

3漏洞赏金平台参与者的行业分布

现在,科技公司与其他行业组织的区别主要体现在以下方面:前者清楚地知道他们希望从漏洞赏金平台获利,并将其作为提高服务安全性的工具。在选择平台时,科技公司关注的是活跃研究人员的数量和计划推广机会等指标。其他行业的公司才刚开始进入漏洞赏金平台。这些企业通常已经建立了基本的信息安全流程,现在希望通过吸引大量第三方专家为自己确定新的发展方向。

在不久的将来,我们预计会开发出新的计划,在这些计划中,白帽黑客不仅可以因发现漏洞而获得报酬,还可为展示企业不可容忍事件的实施获得报酬。例如,Positive Technologies 公司在 2022 年底推出了一项计划,主要目标是从其账户中实现资金转移。目前,我们看到各公司都了解这一方法的必要性,并已在等待其他市场参与者实施这一方法的第一个成功案例。

新型网络安全:从过程到明确结果,Positive Technologies,网络安全 ,CISO,web安全,安全,网络 

4建立有效网络安全的各个阶段

结论

如今,任何企业的经营活动不仅会因经济因素而中断,也会因网络攻击而中断。网络犯罪攻击是导致业务放缓和无法实现战略目标的潜在原因之一。

网络安全的方向是建立和维护系统和流程,使攻击者没有机会对企业造成不可容忍事件。监管机构层面的变化也很明显:第 250 号法令迫使许多俄罗斯企业重新考虑其网络安全方法,并首次表明网络安全的责任现在落在了管理层和高层管理人员的肩上。我们还能感受到对公民个人信息保护的日益重视:例如,第 152-FZ 号联邦法的新要求规定,企业有义务在 24 小时内向联邦安全局和俄罗斯国家通讯社通报个人数据泄露情况。2023 年 2 月初,俄罗斯联邦数字发展、通信和大众传媒部启动了一个大型项目,搜索 Gosuslugi 门户网站的漏洞,吸引了来自全国各地的 8000 多名猎手。我们还注意到俄罗斯联邦数字发展、通信和大众传媒部的实验,俄罗斯政府第 860 号法令将其描述为旨在评估有效安全的一种方法。安全评估和行业监管的主题已经焕发出新的生机,我们期待监管机构在未来继续发展这些趋势。

网络安全在企业和政府稳定性中的作用变得越来越重要,而对有效安全的需求被证明是实现高水平安全的关键理念之一。目前,市场对可衡量的网络安全的需求日益增长,其目的是实现一个有保障的结果——无法实现具有不可容忍后果的网络攻击。

在我们的研究中,大规模攻击(例如,攻击者向多个地址发送网络钓鱼邮件)被视为单个攻击,而不是一系列攻击。

研究包括对信息安全专业人员和机构领导者的调查结果。调查于 2023 年在俄罗斯主要论坛上进行:Infoforum俄罗斯数字稳定性和信息安全CISO-FORUM

加固是通过减少攻击面和消除潜在攻击载体(包括消除漏洞、不安全配置和弱密码)来提高安全性的过程

 文章来源地址https://www.toymoban.com/news/detail-643513.html

到了这里,关于新型网络安全:从过程到明确结果的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 智安网络|新型恶意软件攻击:持续威胁网络安全

    当今数字化时代,恶意软件已经成为网络安全领域中的一项巨大威胁。随着技术的不断进步,恶意软件的攻击方式也在不断演变和发展。 以下是一些目前比较常见的新型恶意软件攻击: **1.勒索软件:**勒索软件是一种恶意软件,它会加密受害者的文件,然后勒索赎金以恢复

    2024年02月13日
    浏览(41)
  • 【小黑送书—第四期】>>用“价值”的视角来看安全:《构建新型网络形态下的网络空间安全体系》

    经过30多年的发展,安全已经深入到信息化的方方面面,形成了一个庞大的产业和复杂的理论、技术和产品体系。 因此,需要站在网络空间的高度看待安全与网络的关系,站在安全产业的高度看待安全厂商与客户的关系,站在企业的高度看待安全体系设计与安全体系建设之间

    2024年02月22日
    浏览(63)
  • 【送书福利-第十七期】用“价值”的视角来看安全:《构建新型网络形态下的网络空间安全体系》

    😎 作者介绍:我是程序员洲洲,一个热爱写作的非著名程序员。CSDN全栈优质领域创作者、华为云博客社区云享专家、阿里云博客社区专家博主、前后端开发、人工智能研究生。公粽号:程序员洲洲。 🎈 本文专栏:本文收录于洲洲的《送书福利》系列专栏,该专栏福利多多

    2024年02月10日
    浏览(47)
  • 以结果为导向的网络安全需要全面的方法

      Positive Technologies  信息安全分析师  Fedor Chunizhekov  谈论了该地区不断变化的网络安全形势,并重点介绍了其  \\\" 中东网络安全威胁形势  \\\" 报告中影响中东地区的要点。他还强调,为了解决核心安全问题,我们需要采用一种全面的方法来实现以结果为导向的网络安全 。 中

    2024年02月13日
    浏览(31)
  • 网络安全——一张图看懂HTTPS建立过程

    · 准备工作(对应图中prepare1234) · 发起链接 · 最后 关于网络安全加密的介绍可以看之前文章: (数据的加密与签名) HTTPS建立过程相当复杂,下图为示意图,可以有整体认识,一般我们编程知道这些已足够。 如果你想仿照HTTPS实现类似加密,可以阅读下具体过程,作为参

    2024年04月12日
    浏览(49)
  • 学网络安全的过程 ,差点要了我的命

    我真的好像感慨一下,这个世界真的给计算机应届生留活路了吗? 看着周围的同学,打算搞前端、JAVA、C、C++的,一个两个去跑去应聘。你以为是00后整治职场? 真相是主打一个卑微:现阶段以学习为主( 工资能活命就行 );学习能力强( 让我干什么都行 );能抗压( 加

    2024年02月05日
    浏览(47)
  • 实战SRC漏洞挖掘全过程,流程详细【网络安全】

    记录一次完整的某SRC漏洞挖掘实战,为期一个多星期。文章有点长,请耐心看完,记录了完整的SRC漏洞挖掘实战 因为选择的幸运儿没有对测试范围进行规划,所以此次范围就是没有范围。 先上主域名看一眼,看看能收集到什么有效信息: 发现存在搜索框: 测试点+1 对页面

    2024年02月10日
    浏览(79)
  • 网络安全管理员_三级_操作技能考核解题过程(1)

    1. 工作任务 对路由器 RT 与交换机 SW 进行安全加固,逻辑拓扑图如下图如示: 具体要求如下: 在 GNS3 中打开项目 1.1.1; 开启 Switch 上的 SSH 服务以加密登录通信,创建用户 Inspc 密码为 P@ssw0rd,用户登录后,可以完全管理交换机; 配置 Switch acl 策略 , 实 现 仅 允许 Linux-B 192

    2024年02月03日
    浏览(52)
  • 网络安全管理员_三级_操作技能考核解题过程(8)

    1. 场地设备要求 计算机一台 虚拟化软件平台 已安装好 eNSP 的 Windows 虚拟机 Windows 系统用户 Administator, 密码 Inspc@2021 2. 工作任务 对 AC 进行配置,具体拓扑如下图所示 (AC 设备型号为 AC6605,AP 设备型 号为 AP6050DN): 具体要求如下: 根据拓扑配置 AC 设备的名称为 AC ,并将

    2024年02月05日
    浏览(64)
  • 网络安全管理员_三级_操作技能考核解题过程(9)

    1. 场地设备要求 (1)计算机一台 (2)Windows Server 2016 虚拟机 2. 工作任务 你是某企业的一名网络安全防护人员,现需要对公司服务器的安全做设置, 使其满足以下具体要求:(1) 此服务器可以通过可移动磁盘获取外部资料,但禁止通过可移动磁盘向外 转移资料; (2) 记

    2024年02月04日
    浏览(60)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包