安全攻防:縮小攻擊與防御差距的4個(gè)步驟
責(zé)編:admin |2014-08-19 15:24:46從近期出現(xiàn)的數(shù)據(jù)泄密新聞中,我們看到由于企業(yè)未能抵御安全攻擊,使得黑客攻擊成功,并竊取了這些企業(yè)的重要數(shù)據(jù)。Target公司失去了客戶的信用卡和借記卡數(shù)據(jù),Adobe公司損失了其客戶的信用卡信息以及ID和密碼,易趣公司也泄漏了其客戶的個(gè)人信息包括電子郵件地址和物理地址。
這些數(shù)據(jù)泄漏事故已經(jīng)在個(gè)人消費(fèi)者心中造成了不安,并且讓泄密的公司因?yàn)槊u(yù)和品牌的損害造成數(shù)百萬(wàn)美元的損失,更不用說緩解和恢復(fù)的成本。而我們所知道的安全泄漏事故僅僅只是一小部分,這也是企業(yè)不得不披露客戶數(shù)據(jù)被泄露的消息,但一些其內(nèi)部信息的盜竊我們卻無(wú)從知道了。
只要是有價(jià)值個(gè)人信息,攻擊者都會(huì)試圖訪問,其目標(biāo)可能是立即使用竊取來的財(cái)務(wù)數(shù)據(jù),或者只是給公司及其客戶造成損害。
不幸的是,在攻擊者和防御企業(yè)之間的技術(shù)差距正越來越大。在信息安全隊(duì)伍趕超攻擊者之前,我們都將繼續(xù)看到攻擊者橫行跋扈。然而,企業(yè)是可以采取幾個(gè)措施來減緩甚至逆轉(zhuǎn)這一趨勢(shì)的,下面是可以幫助企業(yè)的4個(gè)步驟。
1、一切都開始和結(jié)束于教育
我們應(yīng)該在大學(xué)水平提高教育和研究,從而提高未來信息安全專業(yè)人員的技能,以及培養(yǎng)更多合格的人才進(jìn)入該工作領(lǐng)域。在這些安全專業(yè)人士(對(duì)抗惡意攻擊的前線)被雇用后,雇主需要投資于其繼續(xù)教育和培訓(xùn),以領(lǐng)先于不斷變化的安全威脅。只有這些受過教育的個(gè)人能夠預(yù)測(cè)下一個(gè)漏洞和攻擊浪潮,以及在攻擊演變成一場(chǎng)危機(jī)之前對(duì)付它們。
2、聰明地消費(fèi)
關(guān)鍵是要充分利用我們有限的安全預(yù)算。隨著越來越多的關(guān)鍵數(shù)據(jù)連接到互聯(lián)網(wǎng),資金雄厚的網(wǎng)絡(luò)罪犯也有了越來越多的選擇目標(biāo)。高知名度的公司總是會(huì)被攻擊,而中小企業(yè)現(xiàn)在也正成為目標(biāo),因?yàn)樗麄兏菀妆还簟km然回報(bào)可能變小,但攻擊者有著很高的成功概率和很低的被抓的機(jī)率。
作為一個(gè)行業(yè),我們需要對(duì)最有可能的威脅提供所有可用的安全預(yù)算。雖然說,所有公司都應(yīng)該注意APT和DDoS這樣的常見攻擊,我們面對(duì)的最大威脅之一是未受教育的員工。無(wú)論是淪為社會(huì)工程學(xué)受害者的高管還是選擇不使用最佳網(wǎng)絡(luò)配置技術(shù)的IT人員,我們經(jīng)常讓自己容易受到可預(yù)防的攻擊。
3、讓應(yīng)用程序開發(fā)人員參與進(jìn)來
我們都知道,增強(qiáng)的安全性會(huì)阻礙應(yīng)用程序的可用性,并且由于開發(fā)人員的時(shí)間和預(yù)算限制,安全需求被擠出軟件開發(fā)過程。在構(gòu)建計(jì)算機(jī)應(yīng)用程序和構(gòu)建安全的計(jì)算機(jī)應(yīng)用程序之間有著巨大的差別。在前期構(gòu)建安全到應(yīng)用程序中的成本并不會(huì)超過在應(yīng)用程序構(gòu)建后再做出調(diào)整的成本,或者在漏洞被利用后清理局面。
4、獲得管理層的支持
即使安全專家都意識(shí)到了需要做的事情,他們可能難以說服管理層來分配資源來實(shí)現(xiàn)其目標(biāo)。我們需要提高我們的能力,為更好的工具和更好的培訓(xùn)做業(yè)務(wù)案例。如果你不能說服首席財(cái)務(wù)官或預(yù)算分析師,你可能無(wú)法完成你的工作。提高教育的部分在于提高安全專業(yè)人士對(duì)安全的理論重要性的認(rèn)識(shí),還有對(duì)安全的投資回報(bào)率的認(rèn)識(shí)。當(dāng)你能夠明確向管理層展示安全如何可以為企業(yè)節(jié)省資金,或者甚至保住其工作時(shí),你就能獲得預(yù)算。
在過去一年中發(fā)生的數(shù)據(jù)泄漏事故給企業(yè)和個(gè)人造成了很大的傷害,但也許他們可以因禍得福。如果這些網(wǎng)絡(luò)攻擊能夠作為安全行業(yè)和企業(yè)的警鐘,并推動(dòng)行業(yè)改善教育、預(yù)算、工具和方法,那么我們也許能夠避免未來更昂貴和更危險(xiǎn)的漏洞。如果網(wǎng)絡(luò)攻擊成為國(guó)家攻擊選擇的武器,或者最終損害國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施,丟失的密碼和信用卡數(shù)據(jù)將不值得一提。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!