組織敏感數據安全嗎？

毫不夸張：任何公司都可能成為網絡犯罪的受害者。鋪天蓋地的網絡攻擊報告告訴我們網絡攻擊廣泛分布在政府組織、教育和衛健、銀行、非營利組織和許多其他實體。對組織來說，黑客、內部威脅、勒索軟件和其他危險可謂無處不在。

攻擊者不斷尋找獲取敏感數據的新方法，因此威脅檢測變得更具挑戰性。更重要的是，隨著最近遠程工作的趨勢以及向眾多員工授予特權訪問權限，特權用戶和遠程用戶現在是最重要的內部參與者之一。

不同的網絡安全公司，經常會給出不同的最佳實踐，下面我們看看國外安全網站Ekran給出的15條網絡安全實踐，與其他安全機構異同點：

提高網絡安全意識

第一條建議實際上是關于與所有員工建立有效溝通的能力，以及對他們進行可能的網絡安全威脅和緩解方法的教育。 

1. 采用以人為本的安全方法

人可能是最大的安全風險，也可能是最強大的安全防御。 

如今，以技術為中心的網絡安全方法不足以確保全方位保護，因為黑客經常以人為切入點。這就是為什么最好使用以人為本的方法來減輕與人相關的風險。 

在以人為本的 安全中，一個重要的邊界是工人自己。組織通過以下方式賦予員工采取安全措施、處理信息和使用設備的自主權： 

• 信任他們
• 讓他們對所使用的公司數據的安全性負責

盡管如此，仍需要確保所有員工都遵循安全策略推薦的網絡安全實踐。

了解員工對網絡安全的重要性以及他們可能帶來的危險至關重要。為了完成對網絡環境的防御，教育和監控員工是要考慮的兩個主要事項。

2. 降低員工疏忽程度

幫助員工了解為什么遵守網絡安全規則至關重要。

根據《2022年Ponemon內部威脅全球成本報告》，去年有62%的內部數據泄露事件是由員工錯誤或疏忽造成的。

處理員工疏忽和安全錯誤的可靠方法是教育員工為什么遵守網絡安全規則很重要：

• 提高對貴公司面臨的網絡威脅以及它們如何影響利潤的認識。
• 向員工解釋每項計算機安全措施的重要性（僅安裝受信任的應用程序，保護端點免受惡意軟件的侵害）。
• 展示現實生活中的安全漏洞、其后果以及恢復過程的難度的示例。
• 詢問員工有關當前公司安全系統的反饋（如何將強大的安全性與高效的工作流程相結合）。

可以參照所在國家和地區有關網絡安全的要求和建議，請注意，不同國家和地區的要求和建議可能有所不同。在我國則以網絡安全等級保護中的有關要求作為最佳參考。

將員工視為防御的一部分，會減少疏忽和錯誤的情況發生。在適當的培訓中向員工傳授網絡安全最佳實踐要比處理由意外行為引起的數據泄露要好得多。

3. 培訓員工常見的網絡釣魚技術

培訓員工如何避免黑客的誘餌，防止網絡安全釣魚。

網絡攻擊者經常使用網絡釣魚技術來獲取員工的憑證并用惡意軟件感染組織的系統，或者獲取員工的財務信息。

根據Identity Theft Resource Center 的一份報告，網絡釣魚及其變體，如 smishing 和企業電子郵件泄露 (BEC) 是 2021 年最常見的網絡攻擊類型。 

Smishing或 SMS 釣魚是指通過短信或 SMS 將惡意鏈接發送到移動設備。通過這種方式，攻擊者試圖收集有價值的機密信息，例如信用卡或社會安全號碼（歐美的唯一身份證明的一種形式）。 

BEC是一種復雜的電子郵件騙局，黑客試圖讓電子郵件收件人披露有關其公司、技術和數據的秘密信息，甚至誘騙受害者向他們匯款。主要目標是處理電匯的員工和國際合作伙伴。

對網絡釣魚的基本防御非常簡單，包括兩個關鍵步驟：

• 獲取正確配置的垃圾郵件過濾器，并確保始終阻止最明顯的垃圾郵件。
• 教育員工了解流行的網絡釣魚技術以及發現它們的最佳方法。

在國外，可以在US-CERT 網站上找到有關網絡釣魚的更多信息。國內我們有國家反詐騙app，是一個不錯的選擇。

隨著攻擊者發明新方法來欺騙受害者并獲得他們想要的東西，網絡釣魚越來越受歡迎。不要猶豫，使用垃圾郵件過濾器防止網絡釣魚、網絡釣魚和 BEC 攻擊，并向員工展示現代檢測技術。實施的一些技術解決方案可以幫助員工參與保護數據。

確保員工培訓課程涵蓋企業網絡安全風險的所有方面，包括網絡釣魚、惡意軟件和遠程工作。以人為本的方法不僅必須包括提高員工的意識，還必須包括以最小權限原則進行有效的訪問管理。

保護對關鍵資產的訪問

仔細考慮：組織中有多少人可以訪問最關鍵的數據，他們何時可以訪問，以及以何種方式訪問？如果不知道這些問題的確切答案，那么是時候審查組織訪問管理實踐了，尤其是在應對最近的全球變化時。

4. 保護遠程設備的訪問

確保對任何類型的用戶進行訪問管理。

確保從任何位置和設備訪問您的敏感數據至關重要。如今，遠程工作人員以及使用自己設備的員工在組織的安全中發揮著比以往任何時候都更加重要的作用。 

根據Bitglass的2021年BYOD安全報告，在2021年4月接受調查的271個組織中，有 82% 已積極采用自帶設備 (BYOD) 方法。同時，安全問題是采用 BYOD 的最大障礙之一。

要保護遠程設備的訪問，請采取以下措施： 

• 對員工的安全培訓可以降低與新的“隨時隨地工作”方法相關的風險。教導員工不要讓任何人訪問他們的計算機和任何公司信息。此外，員工應了解確保工作場所安全和終止對公司網絡的訪問的重要性。
• 擁有一個全面的技術解決方案至關重要，該解決方案將監控用戶活動并為所有需要它的用戶提供對關鍵資產的安全訪問，無論他們身在何處。為您的遠程員工啟用 VPN服務也是一個不錯的決定。但要小心，因為某些 VPN 服務可能不安全。

無論員工是在本地工作、在家工作還是自帶設備，都需要讓他們的所有會話完全可見，以防止惡意或疏忽。盡管現代技術使可見性成為可能，但不要忘記員工的安全知識。

5. 安全處理密碼

為什么深思熟慮的密碼和安全的密碼處理很重要？

特權賬戶對于試圖訪問敏感數據和有價值的商業信息的網絡犯罪分子來說是寶藏。密碼管理是企業安全的關鍵部分，尤其是在特權訪問管理 (PAM) 方面。

2021 年發生了有史以來最大的在線電子郵件和密碼泄露事件：在線黑客論壇 Compilation of Many Breaches 發布了 32.7 億對憑證。這個開放的數據庫包括許多過去泄露的 LinkedIn、Netflix、比特幣、Exploit.in、雅虎、Gmail、Hotmail 和其他服務的密碼。許多漏洞匯編表明了密碼管理和定期更改密碼的重要性。

確保適當安全性的最佳方法是使用專用工具，例如密碼庫和PAM 解決方案。這樣，可以防止未經授權的用戶訪問特權賬戶，同時簡化員工的密碼管理。

以下是為員工創建密碼要求時應考慮的主要提示：

• 一個賬戶使用一個密碼。
• 使用令人難忘的短語而不是隨機字符的短字符串。
• 使用助記符或其他策略來記住長密碼。

請勿彼此共享憑據。

定期更換密碼。

國家網絡安全和通信集成中心為選擇和保護強密碼創建了一套網絡安全建議。

在企業安全方面，特權訪問管理是一種保護訪問和監視特權用戶會話的綜合方法，同時啟用自動密碼輪換，從而簡化使用憑據的工作。訪問管理

6. 使用最小權限原則 

請注意有太多用戶訪問數據。

默認情況下，授予新員工所有權限允許他們訪問敏感數據，即使他們不需要。這種方法增加了內部威脅的風險，并允許黑客在單個員工賬戶遭到破壞后立即訪問敏感數據。

根據Verizon的2021 年數據泄露調查報告，特權濫用是數據泄露的主要原因。

一個更好的解決方案是使用最小特權 (POLP) 原則。

換句話說，為每個新賬戶分配盡可能少的權限，并在必要時升級權限。當不再需要訪問敏感數據時，應立即撤銷所有相應的權限。 

持續的權限管理可能既困難又耗時，尤其是對于大公司而言。但是有很多訪問管理解決方案可以使它變得更容易。

特別是，需要處理不受控制的特權時，專門的PAM 解決方案可以證明是救命稻草。例如，可以使用即時特權訪問管理 (JIT PAM)方法為員工提供對敏感數據的特權訪問，僅當他們確實需要時，并且僅在特定時間和特定資產內使用。JIT PAM 允許管理提升的權限并僅授予對敏感數據的臨時訪問權限。

最小特權原則類似于零信任安全模型，它也旨在通過顯著減少無根據的信任來降低內部威脅的風險。零信任表示僅授予那些已經在系統中進行身份驗證和驗證的用戶和設備的訪問權限。

總而言之，可以同時使用這三種方法或交替使用這三種方法，以確保始終只向組織的正確用戶授予特權訪問權限：

保護對最重要系統的訪問意味著您知道誰打算在什么時間以及出于什么原因訪問它們。了解為賬戶創建密碼的原則對普通員工有好處。應用最小特權原則，需要密切關注特權用戶和第三方供應商。

保護數據

可以通過定期備份和密切監控與關鍵資源相關的所有活動以及及時通知和詳細報告來處理公司數據的安全性。因此，您可以降低數據被盜、被泄露或消失的風險。

7. 關注特權用戶

通過四個簡單的步驟最大限度地減少特權濫用。

特權用戶擁有所有必要的手段來竊取敏感數據并被忽視。即使信任用戶并且他們不打算進行惡意行為，他們的行為也可能無意中導致泄密，或者黑客可以侵入他們的賬戶。

根據Cybersecurity Insiders的 2021 年內部威脅報告，許多組織比其他賬戶（在接受調查的組織中占 61%）、應用程序、設備和文檔更密切地監控特權賬戶，這并不奇怪。

如何將與特權賬戶相關的風險降至最低？一方面控制訪問敏感數據的用戶和賬戶，另一方面通過威脅預防監控其活動。數據？

8. 監控第三方對數據的訪問

確切地知道誰連接到您的網絡以及為什么。

第三方參與者（供應商、合作伙伴和承包商）是可以訪問組織資源的用戶，他們很容易成為供應鏈攻擊的受害者。根據ITRC 報告，自 2017 年以來，在供應鏈攻擊中受第三方影響的組織數量增長了近五倍。

保護敏感數據免受合作伙伴訪問的破壞的一個好方法是監控第三方行為。應使用用戶活動監控 和記錄來提供所有用戶操作的完整記錄，以便可以檢測惡意活動并在必要時進行審計和調查。

第三方訪問不僅會帶來更高的內部攻擊風險，還會為惡意軟件和黑客進入您的系統開辟道路。有必要通過以下方式限制他們的訪問：

第三方訪問限制和第三方活動監控都可以顯著降低網絡環境中供應鏈攻擊、黑客和惡意軟件的風險。

9. 備份敏感數據

通過定期備份數據來確保數據的安全性。

隨著勒索軟件的出現，對所有數據進行完整和當前的備份可以成為救命稻草。備份數據是近年來越來越重要的信息安全最佳實踐之一。 

勒索軟件在2021年網絡攻擊的主要形式中位居網絡釣魚之后的第二位，以目前的增長速度，勒索軟件在 2022 年很容易超過網絡釣魚；在過去兩年中，勒索軟件攻擊數量每年都翻了一番。在勒索軟件攻擊中，數據被加密，因此用戶在獲得特殊密鑰以換取支付贖金之前無法訪問它。

除了勒索軟件，如果數據僅存儲在一個地方，則可能發生任何類型的數據丟失。數據丟失可能是由于設備故障、云存儲損壞、誤刪除和其他因素造成的。 

如何處理備份？

確保備份得到徹底保護、加密并經常更新。將備份職責分配給幾個人以減輕內部威脅也很重要。

強大的后備策略還意味著能夠應對事故。不要只依賴在線備份，也不要為生產環境和備份使用相同的密碼。相反，將備份存儲在離線端點上并管理對它們的特權訪問。

TechTarget 提供了有關創建數據備份策略的綜合指南。美國FBI發布了關于勒索軟件數字防御的出色新聞稿，以及CISA對節假日和周末勒索軟件意識的重大警報。

開始進行安全和定期備份。如果這樣做，攻擊者將無法訪問備份系統并阻止業務在災難后恢復。

首先，定期備份數據。其次，請始終牢記，數據每天被數十或數百名員工和合作伙伴使用，而且他們都只是人類。可以采用第三方安全監控和特權用戶監控解決方案簡化控制其行為的過程，以免惡意軟件進入或數據流出。

監控技術應該涵蓋在線和離線員工以及特權用戶，并且應該定期進行審計。在下一節中了解有關進行審計和其他重要提示以加強組織的網絡安全的更多信息。

建立健全的網絡安全策略和受保護的網絡

創建或改進網絡策略和網絡環境是非常重要的，無論使用多少設備、應用程序和服務器，都沒有理由讓繁重而復雜的基礎設施減慢流程。 

10. 形成分級網絡安全政策

為什么書面網絡安全策略如此重要？

首先，書面策略可作為貴公司使用的所有網絡安全措施的正式指南。允許安全專家和員工在同一頁面上，并提供一種方法來執行保護數據的規則。然而，每個部門的工作流程都是獨一無二的，很容易被不必要的網絡安全方法和措施打亂。

其次，雖然集中的安全策略可以作為整個公司的基本指導方針，但它不應該涵蓋每個部門的每個流程。相反，允許每個部門應根據中心策略創建自己的安全策略。

以這種分層方式安全策略有很多好處。通過這樣做可以考慮每個部門的需求，并確保其工作流程和底線不會以安全的名義受到損害。

如果想了解如何預防、檢測和補救內部攻擊，還應該考慮構建內部威脅程序。踐

11. 管理物聯網安全并保護企業網絡

物聯網年復一年地越來越受歡迎。

物聯網設備最具挑戰性的事情是限制它們對敏感信息的訪問。要正確管理這些設備，請考慮實施 IoT 網絡安全最佳實踐。

Markets and Markets 預測，物聯網 (IoT)市場將從 2021 年的約 3840 億美元增長到 2027 年的約 5670 億美元。但無論我們多么想實施新技術，安全始終是第一位的。

安全攝像頭、門鈴、智能門鎖、供暖系統、辦公設備——所有這些業務網絡的小部分都是潛在的攻擊媒介。例如，受感染的打印機可以允許惡意行為者查看所有正在打印或掃描的文檔。 

以下是一些確保數據安全的企業安全最佳實踐：

• 進行滲透測試以了解設備被入侵的真正風險，并相應地規劃安全策略。
• 為靜態和傳輸中的數據提供加密（端到端加密）。
• 確保正確的身份驗證僅允許受信任到端點的連接。
• 不要使用默認和硬編碼的憑據
• 購買安全且最新的路由器并啟用防火墻。
• 開發可擴展的安全框架以支持所有物聯網部署。
• 考慮實施端點安全解決方案。
• 實施這些規則以保護公司和物聯網網絡，可以有效的提升防護能力。

12. 定期進行網絡安全審計 

始終掌握網絡安全的脈搏。

及時分析員工、特權用戶或第三方供應商的奇怪行為或動作是及時處理突發事件的關鍵。這是需要審計跟蹤的原因：

審計的質量取決于以不同方式收集或在各種來源中找到的數據的完整性：審計日志、會話記錄、元數據。

根據Cybersecurity Insiders的內部威脅報告中報告的2021年調查，組織從服務器日志中獲取了高達 40% 的用戶行為數據，通過用戶和實體行為分析 (UEBA) 獲得另外 30% 的數據。

詳細的安全日志提供有關最終用戶和特權用戶活動的信息：活動元數據、屏幕截圖和其他詳細信息。此信息可幫助我們對安全事件進行根本原因分析并確定網絡安全中的薄弱環節。

關于某些類型的操作、事件、用戶等的自動報告有助于顯著加快和簡化審計。

13. 簡化基礎設施技術

太多的網絡安全工具會使檢測威脅變得困難。

如果組織的網絡安全基礎設施旨在降低數據泄露的風險，那么它不應該包含太多的部分，并且應該在不同的解決方案之間進行劃分。

部署大量專用安全工具有幾個缺點：

• 在復雜的基礎架構中部署和處理大量解決方案可能會很昂貴。
• 復雜的技術解決方案會使適當的安全管理復雜化。
• 資源要求高的軟件會減慢其他進程的工作。

市場上的一些 IT 系統可能看起來很簡單，但實際上很復雜。考慮一個包含所有必要功能的綜合解決方案。這樣，將精簡和簡化安全基礎架構。

網絡安全技術解決方案最好是：如果還想降低成本和響應時間，請確保解決方案與需要的所有工具集成：活動監控、威脅檢測和預防、分析和訪問管理。 

一個很好的選擇是實施與集中式安全信息和事件管理(SIEM)功能集成的軟件。SIEM 功能可幫助我們在一處收集所有安全數據并查看完整的網絡安全情況。這點與我們在等級保護中要求的安全管理中心非常相似。

從正確的網絡安全管理開始，并繼續確保所有網絡安全。實時事件響應和審計對于發現欺詐活動也很重要。不要忘記我們之前的提示，因為如果沒有備份策略和風險管理，分層網絡安全策略將是不完整的。順便說一句，UEBA 可以協助用戶行為審計和生物識別安全。

通過有效的身份管理保護訪問

保護用戶的登錄名和憑據不僅應包括確保密碼安全，還應包括實施多因素身份驗證和生物識別安全。確保只有具有適當權限的用戶才能訪問關鍵資產。

14. 采用生物識別安全

生物識別技術確保快速身份驗證、安全訪問管理和精確的員工監控。

語音識別、指紋掃描、手掌和行為生物識別、面部識別和步態分析是識別用戶是否是他們聲稱的身份的完美選擇。在提供對有價值資產的訪問之前驗證用戶的身份對業務至關重要。

生物識別技術提供比密碼和 SMS 驗證更可靠的身份驗證。這就是為什么生物識別已經成為多因素身份驗證的重要組成部分。

然而，身份驗證并不是生物識別技術的唯一用途。安全官員受益于廣泛的生物識別驅動工具，使他們能夠實時檢測受損的特權賬戶。

行為生物識別分析用戶與輸入設備交互的方式。如果檢測到異常行為，工具會向安全人員發送警告，以便他們立即做出反應。

以下是 UEBA 系統可以使用的幾種行為生物特征：

• 擊鍵動態——考慮打字速度和在某些單詞中犯典型錯誤的傾向，以創建用戶行為檔案
• 鼠標動態——跟蹤點擊之間的時間以及光標移動的速度、節奏和風格
• 眼球運動生物識別技術——使用眼球和注視跟蹤設備記錄眼球運動視頻并檢測獨特的模式

根據Techsci Research 2021 報告，2020 年全球生物識別市場價值超過 330 億美元。到 2026 年，預計將增長到超過 840 億美元。根據Research Dive Global Forecast, 2021-2028，預計到 2028 年將超過 1050 億美元。

因此，密切關注生物識別安全技術，并選擇最適合的技術。

15.使用多因素身份驗證

多因素身份驗證 (MFA) 是高級安全策略的必要條件。

MFA 通過添加額外的安全層來幫助我們保護敏感數據，使惡意行為者幾乎沒有機會登錄。即使惡意行為者知道了密碼，仍然需要第二個甚至第三個身份驗證“因素”，例如安全令牌、手機、指紋或您的聲音。

盡管它是一個基本的實現，但 MFA 仍然屬于網絡安全的最佳實踐之一。它非常有效，以至于谷歌和 Twitter 等科技巨頭推動他們的用戶采用它。此外，一位微軟安全經理表示，使用多因素身份驗證意味著用戶賬戶受到 99.9% 以上的保護，免受黑客攻擊。對于我們來說，我國實行的網絡安全等級保護，則要求實現雙因素認證，而雙因素認證的安全性是國際通用做法。

在當今的黑客攻擊水平下，僅使用一個級別的用戶身份驗證并不是一個好的決定，尤其是對于大公司而言，建議通過一切手段確保安全身份驗證。

結論

許多信息安全建議是相互關聯的。雖然網絡安全策略和員工指南的內容取決于組織決策，配置所有必要的監控和審計、密碼管理、事件警報和需要的響應工具。意味著需要尋找系統的現代網絡安全最佳實踐。