在上篇文章,我们对2022做了个简单总结,也对2023年做了个基本预测,众所周知,网络安全建设对成熟企业而言,不再是成本构成,更是一种企业互联网化发展、智能化转型发展、数字化转型发展的基础,而在此,企业管理层面对网络安全风险最害怕两件事也就水落石出:数据泄露和勒索病毒,我们也就从一个从业十数年的安全人员的角度梳理一下在2023年企业安全负责人需要且必须做的事情,也期望和各负责人、各团队去发现趋势、顺应趋势,拥抱趋势:
1、企业员工安全意识建设:所有的数字、案例都表明,网络犯罪分子在攻防对抗日渐焦灼的形势下,会优先选择对人下手。我们说有人的地方就有江湖,而在网络安全行业,有人的地方就没有一个信息化系统、一套应用系统、一条数据是安全的,而根据相关研究可以发现,勒索病毒、钓鱼攻击、定向渗透等针对就是安全意识淡薄的人群。攻击者越来越聪明伶俐,传统的安全架构效果日渐甚微,只有在员工安全意识、技能和主观能动性的提升上下功夫,才能取得效果。
但从另一个角度来说,安全意识建设是一个需要长期投入但无法量化收益的行为,在很多场景之下,你无法解释安全意识的效果是源于经验的积累还是能力的提升。
2、完善基础设施建设,以提前应对勒索攻击:
相信在2023年会有更多企业或组织面临勒索,除了上面提到的人的因素,IAM是企业基础安全能力建设另一个薄弱环节,失效的身份验证机制、无效的访问控制模型、泄漏的身份验证因子、混乱的权限管理模型等都会导致企业在勒索病毒攻击下束手无策,而基础的建设变动影响更大、成本更高,所以对企业而言,提前部署完善的基础防护是最合理和高价值的选择。
3、终端安全防护的建设:1和2都提到,人、勒索病毒的问题,而勒索病毒和人的渗透,初始入侵途径大多是终端,而有效的风险检测和响应,可以更好的防患于未然,可以通过EDR、XDR、反垃圾邮件等来实现(在这里不对EDR、XDR两者做深度分析)。
4、零信任架构的实践:在上一篇文章里我们提到零信任的实践,零信任架构通过持续验证为根基进行建设,可以有效应对企业所面临的未知风险和新型网络攻击威胁,但零信任架构的建设势必会和企业现有技术架构冲突,需要谨慎规划、建设,并进行精细化对接、切换。
5、供应链安全管控能力:全球企业的智能化和数字化转型已成为趋势,而在这个趋势之下,各类型产品的智能化、自动化、数字化和多功能也将导致供应链节点成为最大的暴露因子。
随着企业应用体量、业务体量的上升,各种系统、应用的依赖关系也呈现爆发式的增长,也就给我们带来了更多的防护点,无论是应用的依赖、还是三方软件。具体包括源码、系统、容器、代码依赖环境、研发环境、分发及管理平台等。
供应链对企业来讲就像一个黑盒,特别是开源和三方的嵌入,一次供应链投毒就会导致所有企业安全防护能力失效,而仅靠devsecops或者SDLC无法有效管理供应链未知风险,建立企业开源、三方的供应链安全管理能力势在必行。
摘自【蚂蚁供应链安全建设实践】
6、新型合规趋势:app安全、数据安全、业务安全、个人信息及隐私保护肯定是必做的,在此基础上,物联网合规需要得到重视,物联网带来的风险会持续存在,比重也将持续攀升。我们不得不承认,物联网对风险的处置较为缓慢,而且处置成本会更高,虽然我国还没有专门针对性的法案,但随着例如《加利福尼亚州的物联网网络安全法案》、《《欧盟网络弹性法案》等的颁布,我们终究需要面临针对物联网产品的销售和应用提出强制性的网络安全要求。
7、安全运营的推动:企业一直迷茫一个问题,谁为网络安全工作负责,安全部门、业务部门、研发部门、产品部门?安全部门是解决问题的部门还是发现问题的部门?这是安全团队运营能力需要解决的第一个问题:安全团队所制定的安全战略、发现的风险、建设的能力,如果没有管理层和各部门的支持,无法有效地落地实施。因此安全团队应有效去协调、推动各个部门去参与并配合实施安全建议和防护控制措施。导致企业风险增高的一个因素就是安全团队和各部门的脱节,自娱自乐,价值无法体现,因而通过报表、数字进行有效沟通,并且和各部门进行更好的协作,是安全团队走向成熟的必经之路。
第二个问题,安全运营团队怎么实现价值,简单来说:是建立一套在安全团队之上的流程,协助安全团队进行预测、防御、检测、评估(PDCA)并对风险事件和威胁进行响应和处置的能力建设/ 。
8、安全品牌建设:“善战者无赫赫之功,善医者无煌煌之名”的说法,不适用于网络安全行业,现在消费者、用户对个人信息保护、隐私保护的意识越来越高,同时对企业的网络安全要求、合规设计要求甚至操作流程都有了较高的期望。在此背景之下,企业像过往通过公关手段去淡化或隐藏的方式不再可取,正面的企业安全品牌建设、透明的信息安全能力的展示和风险事件的应急响应等会更容易获得用户、消费者和合作伙伴的青睐,也更信任开放、透明、坦诚、积极的企业,所以也就要求企业在安全投入上更多维,人员能力储备上也更全面。
除上述内容,移动设备在现代化办公环境中的普及、容器化的主流趋势等也会导致的网络攻击途径和强度发生变化,从而引发新的安全风险,最理想的状态就是在项目、应用的初始阶段对风险进行有效的识别,通过整合评审、测试等实现安全能力的深度嵌入,将风险扼杀于未然,真正实现“上医治未病”。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...