企業如何應對網絡安全

漕文華

網絡軟件開發商Kaseya公司首席信息安全官Jason Manar對網絡犯罪最近的一些發展趨勢，以及企業可以采取的網絡安全措施進行了分析。隨著網絡罪犯變得越來越老練，IT專業人員必須實施更強大的安全保護措施來保護他們的企業。他們需要雇傭合適的人員來滿足企業的安全需求，實施安全為先的企業文化，致力于應對網絡攻擊。

網絡安全服務商Mandiant公司表示，從最初的網絡入侵到檢測的時間（也稱為停留時間）從24天減少到21天。這在IT社區是一個積極的發展，并表明網絡安全準備工作如何減輕網絡攻擊者造成的潛在損害。即便如此，未經授權的一方任何時間訪問IT系統都可能是有害的。在過去的一年，網絡犯罪組織發起的網絡攻擊激增，他們通常利用了軟件保護中的錯誤配置和漏洞。

為了應對這些網絡威脅，IT專業人員必須為各種網絡攻擊類型做好準備。事件響應計劃、安全教育和桌面練習是企業管理者和員工參與創建安全優先的文化的一些方式，將數據保護放在優先位置。

以下是網絡攻擊最近的一些發展趨勢，以及企業可以采取的加強網絡安全的步驟。

理解和減輕常見的安全威脅

從統計數據來看，網絡釣魚和社交工程攻擊正在上升。2022年包含惡意軟件的網絡釣魚攻擊比以往任何時候都多。據統計，填充憑證只占網絡攻擊的2 % ～3 %，但這種方法正在增加。

國家支持的威脅

得到國家支持的網絡攻擊將會繼續，最常見的是端口掃描、魚叉式網絡釣魚、憑證獲取和密碼噴霧技術，以獲得訪問企業的網絡和云計算環境的權限。美國網絡安全和基礎設施安全局在今年早些時候發布了一份網絡安全警告，聲稱在俄烏沖突之后，獲得國家支持的針對敵對國家的惡意活動有所增加。同樣，美國網絡安全和基礎設施安全局、美國中央情報局和美國國家安全局表示，國家支持的竊取敏感數據、知識產權和個人身份信息的復雜活動也有所增加。

為了應對這些威脅，美國網絡安全和基礎設施安全局敦促政府部門和民間組織迅速更新和修補系統，實施多因素身份驗證，并要求采用強大的、唯一的密碼。還敦促他們在網絡邊緣阻止過時或未使用的協議，升級或更換舊設備，向零信任安全模型邁進，并啟用日志記錄和日志監視。通過遵循這一指導，IT專業人員可以確保數據受到保護，免受威脅行為者的威脅。

復雜的網絡釣魚攻擊

網絡釣魚仍然是網絡攻擊組織的主要方法，一些成功的網絡攻擊者假冒企業高管，要求采取緊急行動或通信，似乎來自合法的金融機構。人們也在密切關注由人工智能驅動的網絡攻擊，這種網絡攻擊可以幫助威脅行為者根據竊取的數據或深度偽造的生物特征（如面部識別）預測密碼。反網絡釣魚解決方案與參與員工安全培訓相結合，是促進理解和建立強大的第一道防線的關鍵。

勒索軟件攻擊

根據IT安全管理軟件提供商Ivanti公司的最新研究，勒索軟件繼續對所有行業構成威脅，自2019年以來增長了446 %。勒索軟件活動在2021年顯著增加，根據美國聯邦調查局的數據，2021年的勒索軟件投訴多達2 048起。

除了在索取贖金的階段，勒索軟件攻擊者還可以在其他步驟中造成破壞。Mandiant公司在調查報告中聲稱，在進入受害者的IT系統之后，勒索軟件攻擊者首先進入其內部系統。然后在進行內部偵察工作和探索被入侵的環境之前，他們將保持訪問權限，同時升級特權，在不同的系統和應用程序之間橫向移動。當提取了某些數據或業務操作中斷時，就完成了任務。通常情況下，勒索軟件攻擊者會通過威脅公開發布機密信息來敲詐企業，向企業高管發送相關信息以迫使其迅速采取行動。

在最壞的情況下，企業可能會失去一切并倒閉。因此，IT專業人員必須經常打補丁或更新系統，以防止網絡基礎設施出現漏洞。企業可以采取的積極措施包括制定安全教育計劃，實施定期的補丁政策，限制管理帳戶和特權訪問，并審計帳戶訪問。從密碼的角度來看，定期運行安全和滲透測試也很重要，同時執行強大的密碼安全策略和實現多因素身份驗證。

雇傭合適的網絡安全人員

現在比以往任何時候都更重要的是，確保企業為其安全團隊雇傭具有正確技能的安全專業人員。許多企業正通過與大學和工程學院合作培養安全人才，確保下一代IT專業人員得到適當的培訓，并準備好應對不斷演變的網絡安全問題。中小企業也可以通過提供強有力的內部培訓計劃來激勵新員工在職業生涯中成長。例如，Kaseya公司的“自己成長”項目還旨在通過教育項目、導師培訓和領導力發展來支持新員工。

建立安全優先的思維

綜上所述，建立安全優先思維的關鍵是在企業內部的所有級別和團隊中進行教育。安全主管必須讓企業領導層了解這些程序作為集成安全堆棧的一部分來實施的價值。員工必須接受安全培訓，因為他們是防范網絡攻擊者的第一道防線。從企業的最高領導層開始建立安全文化，并滲透到所有其他級別，這對于實現持久的安全優先思維至關重要。

安全培訓是什么樣的？新員工入職時應接受安全教育。所有員工都應該定期跟蹤網絡釣魚活動，以確認其安全培訓是有效的，并查找可能存在的任何漏洞。隨著越來越多的員工從事混合工作和遠程工作，他們必須理解電子郵件安全的必要性。積分、徽章、排行榜和記分牌等形式也可以激勵員工積極參與，并更好地保持學習。

創建強大的信息安全策略

強有力的信息安全政策可以從成本和聲譽兩方面限制風險和泄露。強有力的政策是指那些經過持續審查和審計以確保預期效果的政策。成功的策略在整個業務中建立了實際的、可執行的和可驗證的流程。在創建安全策略時，需要了解這一策略的目的、目標受眾是誰、以及希望實現什么目標。一定要考慮到權限、訪問控制和網絡安全策略、數據分類和保護、數據備份以及如何移動和保護數據。該策略還應包括安全意識培訓及其執行頻率、加密實踐和數據備份程序，并明確定義指定人員的角色和職責。