企業(yè)的首席安全官(CSO)和首席信息安全官(CISO)依靠其強(qiáng)大的信息網(wǎng)絡(luò)來保持其組織盡可能的安全���。IDG TECH(Talk)在Twitter和實時視頻發(fā)起了一場討論,與安全專家和科技行業(yè)觀察人士一起對2020年企業(yè)安全狀況以及如何防范網(wǎng)絡(luò)攻擊者進(jìn)行了探討�。
安全意識的缺乏是一個問題
安全意識的缺乏仍然困擾著很多企業(yè)��,因為企業(yè)員工不可避免地犯錯�,使企業(yè)容易受到攻擊。波士頓學(xué)院首席技術(shù)專家Peter Salvitti指出����,這些錯誤其中包括:弱密碼、電子郵件操作不當(dāng)���、政策和工具過時�、沒有監(jiān)控�����,以及對數(shù)據(jù)所在位置的一無所知。
微軟M365卓越中心的安全和法規(guī)遵從架構(gòu)師Wayne Anderson補(bǔ)充說�,企業(yè)管理者往往對威脅一無所知,即使這意味著可能降低企業(yè)的脆弱性���,也不愿意改變傳統(tǒng)做法����。
他說��,“有些企業(yè)管理者總是喜歡說這兩句話:‘我們就是這樣做的����,我們真的不知道怎么做才對',以及‘我們只是沒有那么大的目標(biāo)����。'”
Cloud Technology Partners (CTP)公司副總裁兼首席云計算架構(gòu)師Ed Featherston對于企業(yè)如何成為黑客的目標(biāo)進(jìn)行了闡述。
他說�����,“我們經(jīng)常和客戶建立一個公共共享/存儲點����,通常在幾分鐘之內(nèi)就有人試圖進(jìn)行攻擊�,客戶表示���,‘我沒想到會有這種反應(yīng)’�����!
網(wǎng)絡(luò)安全專家Scott Schober說,缺乏安全意識也體現(xiàn)在員工的個人行為中���,例如在社交媒體上分享過多信息���。
如何提高企業(yè)安全性
企業(yè)可以通過改進(jìn)密碼策略基礎(chǔ)知識��、創(chuàng)建安全系統(tǒng)來驗證密碼是否正在更新��,以及對員工進(jìn)行培訓(xùn)來解決安全問題���。
做好這項工作的一個關(guān)鍵方面是增強(qiáng)工作人員對持續(xù)安全的參與感�,從而創(chuàng)造一種安全文化���。企業(yè)想讓員工感受到自己是安全解決方案的一部分�。
正如Salvitti所說,“企業(yè)不要認(rèn)為員工是薄弱環(huán)節(jié)�,而讓他們參與進(jìn)來,讓他們成為項目的利益相關(guān)者和計劃的一部分�。”
技術(shù)撰稿人Will Kelly對此表示認(rèn)同��,他說:“這需要更多具有安全意識的員工����、開發(fā)人員和運營人員。然后使用行業(yè)標(biāo)準(zhǔn)的框架��、培訓(xùn)和工具來強(qiáng)化這些人員的安全意識����。”
此外�����,Salvitti強(qiáng)調(diào)�����,IT運營和安全需要協(xié)同工作。他說:“IT運營團(tuán)隊?wèi)?yīng)該與企業(yè)的安全團(tuán)隊合作�,不要把他們排除在外,需要讓他們加入�������!
Zeus Kerravala在最近發(fā)表的一篇《2020年首席信息官的大任務(wù):將安全和IT運營結(jié)合在一起》的文章中寫道�,通過彌合這些孤立團(tuán)隊之間的差距,企業(yè)可以提高可視性����,并具有更好的安全性。
Kerravala寫道��,“研究發(fā)現(xiàn)����,在缺乏安全性和IT之間協(xié)作的組織中�����,修補(bǔ)IT漏洞所需的時間要比擁有良好關(guān)系的團(tuán)隊時間要多出兩周的時間�����。這種延遲可能使企業(yè)面臨破壞業(yè)務(wù),損害品牌聲譽(yù)�����,甚至使運營癱瘓的巨大風(fēng)險������!
Salvitti表示,企業(yè)還必須驗證其使用的產(chǎn)品和服務(wù)的安全性����。他說,“企業(yè)需要問自己����,是否參與和訂閱了已知的安全框架?是否知道互聯(lián)網(wǎng)安全中心(CIS)優(yōu)秀20個安全控件?是否是負(fù)責(zé)安全性的行業(yè)機(jī)構(gòu)的成員?使用的產(chǎn)品和服務(wù)符合最新法規(guī)嗎?”
Tapad公司高級信息安全專家Ben Rothke表示,安全層可以為應(yīng)對黑客攻擊提供緩沖�����,為員工提供多條防線��,并減輕了他們始終保持警惕的壓力。
Rothke說����,“企業(yè)需要深度防御措施。需要使用防火墻��、過濾�����、防止數(shù)據(jù)丟失(DLP)����、物聯(lián)網(wǎng)安全、加密��、入侵檢測系統(tǒng)和入侵防御系統(tǒng)(IDS/IPS)��、DNS安全�、容器安全、Web應(yīng)用程序防火墻(WAF)�����、DDoS緩解��、云安全等信息安全工具�,而且還要注意人身安全�!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
