你的敏感資料是否安全?

這并不夸張:任何公司都可能成為網絡犯罪的受害者。有關網絡攻擊的報告來自政府機構、教育和醫療機構、銀行、律師事務所、非營利組織和許多其他組織。

[[277476]]

黑客、內部威脅、勒索軟件和其他危險都存在。

聰明的企業正在加大對網絡安全的投資，以消除風險，確保敏感數據的安全，這已經帶來了首批成果。請看下面的信息圖表，了解網絡安全的新趨勢。

接下來的問題是:作為一名企業主，在2019年我能做些什么來保護我的數據?

上圖顯示，在政府機構和企業都開始加大對網絡安全的投資的同時，數據泄露的數量顯著下降。

不知道從哪里開始加強你的網絡安全政策?我們準備告訴你網絡安全的趨勢和新的技術。

以下是我們2019年的IT安全優秀實踐清單:

1. 考慮生物安全

生物識別技術確保了快速認證、安全訪問管理和精確的員工監控。

在提供對有價值資產的訪問之前，驗證用戶的身份對企業來說至關重要。語音識別、指紋掃描、手掌生物識別、面部識別、行為生物識別和步態分析是識別用戶是否是他們自稱的人的完美選擇。

使用生物識別技術提供了比密碼和短信驗證更安全的身份驗證。這就是為什么生物識別技術已經成為多因素認證的重要組成部分。

然而，身份驗證并不是生物識別的唯一用途。安全人員受益于各種生物識別驅動的工具，這些工具允許他們實時檢測受損的特權帳戶。

行為生物學分析用戶與輸入設備交互的方式。如果檢測到異常行為，工具會向安全人員發送警告，以便他們能夠立即做出反應。

以下是用戶和實體行為分析(UEBA)系統可以使用的幾種行為生物識別技術:

• 擊鍵動態——考慮打字速度和在某些單詞中出現典型錯誤的傾向，以創建用戶行為概要文件
• 鼠標動態—跟蹤鼠標點擊和鼠標移動速度、節奏和樣式之間的時間間隔
• 眼動生物測定-使用眼睛和注視跟蹤設備來記錄眼睛運動的視頻和檢測獨特的模式

market sandmarkets對2018年的預測顯示，到2023年，生物識別市場將從2018年的168億美元增長到418億美元。因此，請密切關注生物特征安全技術，并為您的用例選擇優秀技術。

2. 形成分級的網絡安全政策

為什么書面的網絡安全政策如此重要?

首先，書面政策作為貴公司所有網絡安全措施的正式指南。

它允許您的安全專家和員工處于同一頁面，并為您提供了一種強制執行保護數據的規則的方法。然而，每個部門的工作流程可能是獨特的，而且很容易被不必要的網絡安全措施打亂。

雖然集中式安全策略作為整個公司的基本方針是有益的，但它不應該覆蓋每個部門的每個流程。相反，允許您的部門基于中央策略創建自己的安全策略。

以這種分層的方式確定安全策略有很多好處。通過這樣做，您可以考慮每個部門的需求，并確保他們的工作流和您的底線不會在安全的名義下受到損害。

伊利諾伊州政府網站提供了一個很好的網絡安全政策模板，可以作為你分級管理的起點。

如果您想學習如何預防、檢測和糾正內部攻擊，您應該考慮構建一個內部威脅程序。

3.采用基于風險的安全方法

法規遵從性不能保護您的數據。

每個行業都有其特定的和隱藏的風險，因此關注法規遵從性和滿足所有標準法規不足以保護您的敏感數據。

注意你的公司所面臨的風險，以及它們如何影響你的底線。這里比較好的工具是全面的風險評估。

以下是風險評估允許你做的一些最重要的事情:

識別所有有價值的資產，公司當前的網絡安全狀況，明智地管理你的安全策略

適當的風險評估可以讓你避免許多不愉快的事情，比如因不遵守規定而被罰款，為潛在的泄漏和違規行為而付出的補救成本，以及由于流程缺失或效率低下而造成的損失。

找出網絡安全的薄弱環節，并做出相應的調整。此外，請密切關注使用數據庫和框架的新黑客技術，例如MITRE ATT&CK for enterprise。

全面的風險評估將幫助您優先考慮您的安全措施，并使您的策略以優質的方式服務于公司的底線。

您可以在Compliance Forge網站上找到一個風險評估工作表和評估報告的實際示例。如果你需要更多關于如何在你的公司進行風險評估的信息，請查看它。

4. 備份數據

定期備份數據，確保數據的安全性。

備份數據是近年來越來越重要的信息安全優秀實踐之一。隨著勒索軟件的出現，對所有數據進行完整的、當前的備份可能是一種救星。

如何處理備份?您需要確保它們被徹底保護、加密并經常更新。同樣重要的是，將備份任務分配給幾個人，以減輕內部威脅。

美國計算機應急準備小組(US-CERT)提供了一份文件，詳細說明了不同的數據備份選項。如果你想了解更多關于這個話題的信息，你應該讀一讀聯邦調查局關于勒索軟件的一篇優秀文章。

5. 物聯網安全管理

今年延續了2018年以來的趨勢——物聯網設備越來越受歡迎。

貝恩公司預測，物聯網市場將在2021年增長到約5200億美元。然而，無論我們多么渴望看到新技術，安全總是第一位的。

物聯網設備很具挑戰性的地方是它們對敏感信息的訪問。

安全攝像頭、門鈴、智能門鎖、供暖系統、辦公設備——所有這些你的商業網絡的小部件都是潛在的接入點。

例如，一臺受損的打印機可以允許惡意行為者查看正在打印或掃描的所有文檔。

以下是一些企業網絡安全的優秀實踐:

• 進行滲透測試，了解真正的風險，并據此制定安全策略。
• 為靜態和傳輸中的數據提供加密(端到端加密)。
• 確保正確的身份驗證只允許到端點的可信連接。
• 不要使用默認的硬編碼憑證:通常使用的密碼在互聯網上很容易找到。
• 購買安全和較新的路由器，并啟用防火墻。
• 開發一個可伸縮的安全框架來支持所有物聯網部署。
• 考慮實現端點安全解決方案。

6. 使用多因素身份驗證

多因素身份驗證(MFA)是高級安全策略的必備解決方案。

雖然這是一個基本的實現，但MFA仍然屬于網絡安全優秀實踐。它是如此有效，以至于國家網絡安全聯盟甚至將MFA加入到其安全意識和教育運動中。

MFA通過添加額外的安全層幫助您保護敏感數據，使惡意行為者幾乎沒有機會像您一樣登錄。

即使惡意行為者擁有您的密碼，他們仍然需要您的第二個或第三個身份驗證“因素”，例如安全令牌、您的移動電話、您的指紋或您的語音。

作為一個額外的好處，MFA還允許您明確區分共享帳戶的用戶，從而改進訪問控制。

還請閱讀:雙因素身份驗證:類別、方法和任務

7. 處理密碼安全

提到密碼和安全密碼處理的重要性總是值得的。

密碼管理是企業安全的一個關鍵部分，尤其是涉及特權訪問管理(PAM)時。特權帳戶是網絡罪犯的寶石誰試圖獲得訪問您的敏感數據和最有價值的商業信息。

確保適當安全性的優秀方法是使用專用工具，如密碼保險庫和PAM解決方案。這樣，您可以防止未經授權的用戶訪問特權帳戶，同時簡化員工的密碼管理。

網絡威脅行為者仍然使用密碼噴霧攻擊來竊取敏感信息，擾亂運營，損害組織的財務和聲譽。

當你為你的員工設定密碼要求時，以下是你應該考慮的主要技巧:

• 為一個帳戶使用一個密碼。
• 使用容易記住的短語，而不是由隨機字符組成的短字符串。
• 使用助記符或其他個人策略來記住長密碼。
• 無論多么方便，都不能互相共享憑據。
• 要求員工在一段時間后更改密碼。

美國國家網絡安全和通信集成中心(National Cybersecurity and Communications Integration Center)提出了一套選擇和保護強密碼的建議。如果你想了解更多細節，可以查看它們。

8. 使用最少特權原則

注意:有太多特權用戶訪問您的數據是非常危險的。

默認情況下，授予新員工所有特權允許他們訪問敏感數據，即使他們不一定需要這樣做。這種方法增加了內部威脅的風險，并允許黑客在您的任何員工賬戶受到攻擊時訪問敏感數據。

一個更好的解決方案是使用最小特權原則。

換句話說，為每個新帳戶分配盡可能少的特權，并在必要時升級特權。當不再需要訪問敏感數據時，應立即撤銷所有相應的特權。

持續的特權管理可能是困難和耗時的，特別是對于大公司，但是市場上有很多訪問管理解決方案可以使其變得更容易。

特別是，當您需要處理不受控制的特權時，專門化的PAM解決方案可以證明是一種救命稻草。

最小特權原則似乎類似于零信任安全模型，該模型還通過顯著減少無保證的信任來降低內部威脅的風險。

零信任實踐表示，只向那些已經在系統中進行了身份驗證和驗證的用戶和設備授予訪問權限。

9. 關注特權用戶

擁有特權帳戶的用戶是公司較大的資產之一，還是對數據安全的較大威脅之一?

有特權的用戶擁有所有必要的手段來竊取您的敏感數據，并且不被注意。無論你多么信任擁有特權賬戶的員工，任何事情都有可能發生。

你怎樣才能把風險降到很低?以下是一些簡單而有效的步驟:

• 通過實現最小特權原則來限制特權用戶的數量。
• 確保在用戶終止使用特權帳戶時，立即刪除特權帳戶。
• 使用用戶活動監視解決方案來記錄在網絡中采取的任何操作。

您可以查看Ponemon研究所的這份出色的報告，了解更多關于特權用戶在內部威脅場景中的角色。

10. 監控對數據的第三方訪問

控制第三方訪問是您的安全策略的一個重要部分。

遠程員工、分包商、業務合作伙伴、供應商和供應商——這只是可能遠程訪問您數據的人員和公司的一小部分。

第三方訪問不僅會帶來更高的內部攻擊風險，還會為惡意軟件和黑客進入您的系統打開大門。

通過第三方訪問來保護您的敏感數據不受攻擊的一個好方法是監視第三方操作。您可以限制第三方用戶的訪問范圍，并知道誰確切地連接到您的網絡以及為什么。

用戶活動監視還應該與一次性密碼結合使用，以便提供所有用戶操作的完整日志記錄，以便您可以檢測惡意活動并在必要時進行調查。

11. 小心網絡釣魚

你們所有的員工都知道網絡釣魚嗎?

值得注意的是，內部威脅不會以惡意員工告終。更常見的情況是，善意的員工無意中幫助了犯罪者，為他們提供了進入你的系統的方法。

網絡攻擊者使用垃圾郵件和電話等網絡釣魚技術來獲取員工信息、獲取他們的證書，或者用惡意軟件感染系統。

你的基本防御可以很簡單，只包括兩個步驟:

獲得一個正確配置的垃圾郵件過濾器，并確保最明顯的垃圾郵件總是被阻塞。

教育你的員工流行的網絡釣魚技術和很好的處理方法。

幸運的是，教育和意識確實起了作用，人們現在對網絡威脅的意識要高得多。Verizon 2018年的數據泄露調查報告強調，73%的人在2017年沒有點擊任何惡意郵件。他們2019年的報告顯示，2018年網絡釣魚攻擊的點擊率只有3%。

您可以在US-CERT網站上找到更多關于網絡釣魚的信息，包括報告形式。

12. 提高員工的意識

這可能很難相信，但你的員工是保護你數據的關鍵。

處理員工疏忽和安全錯誤的一個可靠方法是教育他們為什么安全很重要:

• 提高對公司面臨的網絡威脅及其如何影響底線的認識。
• 向你的員工解釋每項電腦安全措施的重要性。
• 展示現實生活中安全漏洞的例子，它們的后果，以及恢復過程的困難。
• 詢問員工對當前公司安全體系的反饋。
• 詢問員工關于如何將健壯的安全性與高效的工作流結合起來的新想法。

雇傭你的員工作為你辯護的一部分，你會發現疏忽和錯誤的情況將會減少。讓你的員工接受適當的培訓比處理意外行為造成的數據泄露要好得多。

上述網絡安全優秀實踐將幫助您保護您的數據和您的企業的聲譽。然而，實現它們是另一個挑戰。