至關(guān)重要的是,正如英格蘭銀行(BoE)和英國金融行為監(jiān)管局(FCA)所指出的那樣,運(yùn)營彈性現(xiàn)在已經(jīng)從簡單的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)擴(kuò)展到網(wǎng)絡(luò)安全領(lǐng)域。
增強(qiáng)網(wǎng)絡(luò)彈性的三個(gè)支柱和步驟
網(wǎng)絡(luò)攻擊是對(duì)業(yè)務(wù)運(yùn)營造成的最嚴(yán)重破壞之一,而出人意料的網(wǎng)絡(luò)攻擊給那些準(zhǔn)備不足的受害者帶來毀滅性的后果。根據(jù)調(diào)查,僅在2020年,全球金融行業(yè)遭受的網(wǎng)絡(luò)攻擊數(shù)量就飆升了200%,而且此后攻擊數(shù)量一直在增加。
保持對(duì)這些風(fēng)險(xiǎn)的足夠彈性是采用有效網(wǎng)絡(luò)安全戰(zhàn)略的三大支柱,只有將這三者結(jié)合起來,企業(yè)才能保持健全的結(jié)構(gòu)。
(1)人員是資產(chǎn),而不是薄弱環(huán)節(jié)
當(dāng)人們從網(wǎng)絡(luò)安全的角度考慮潛在的薄弱環(huán)節(jié)時(shí),這些薄弱環(huán)節(jié)往往是企業(yè)的內(nèi)部人員,而他們通常缺乏關(guān)于如何避免陷阱或報(bào)告可疑事件的知識(shí)。例如,根據(jù)英國政府的2022年網(wǎng)絡(luò)安全漏洞調(diào)查,在2022年遭到網(wǎng)絡(luò)攻擊的企業(yè)中,有83%的企業(yè)表示網(wǎng)絡(luò)釣魚嘗試是最常見的威脅媒介。
眾所周知,網(wǎng)絡(luò)釣魚攻擊利用了“人為因素”——人們通常會(huì)信任熟悉事物和應(yīng)對(duì)壓力的自然本能。因此,擁有能夠識(shí)別網(wǎng)絡(luò)釣魚企圖的員工是金融服務(wù)組織如今可以擁有的最大資產(chǎn)之一。確保這一點(diǎn)的最佳方法是為他們提供安全培訓(xùn),并在模擬網(wǎng)絡(luò)釣魚攻擊練習(xí)中測試他們掌握的知識(shí),并定期進(jìn)行測試,以便始終保持高度警惕。這樣,如果員工成為網(wǎng)絡(luò)釣魚電子郵件的目標(biāo),他們將知道如何識(shí)別,并采取必要措施消除威脅。
由于網(wǎng)絡(luò)釣魚對(duì)于惡意行為者來說仍然是一種方便且有利可圖的行為,因此企業(yè)別無選擇,只能用知識(shí)和信心武裝員工來應(yīng)對(duì)挑戰(zhàn)。
(2)適當(dāng)?shù)牧鞒炭梢苑乐构?/div>
其次,必須制定流程以確保決策者準(zhǔn)確地知道在面臨威脅時(shí)該做什么。然而,這樣的過程很難單獨(dú)定義。幸運(yùn)的是,英國國家網(wǎng)絡(luò)安全中心(NCSC)提供了包括Cyber ??Essentials和Cyber?? Essentials Plus在內(nèi)的認(rèn)證,重點(diǎn)關(guān)注網(wǎng)絡(luò)彈性的主要領(lǐng)域。這其中包括管理防火墻、安全配置、訪問控制和惡意軟件防護(hù)。如果成功實(shí)施這些流程,英國國家網(wǎng)絡(luò)安全中心(NCSC)估計(jì)可以防止多達(dá)80%的網(wǎng)絡(luò)攻擊。
此外,諸如ISO27001之類的認(rèn)證可以幫助覆蓋Cyber?? Essentials所沒有的范圍。例如,Cyber ??Essentials往往側(cè)重于設(shè)備、網(wǎng)絡(luò)和企業(yè)IT基礎(chǔ)設(shè)施的其他部分上持有的數(shù)據(jù)和程序,ISO27001認(rèn)證關(guān)注的是企業(yè)持有的所有數(shù)據(jù),無論是紙質(zhì)數(shù)據(jù)還是數(shù)字形式。
除了預(yù)防之外,還必須制定流程來處理數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊的后果。在這些情況下,僅依靠認(rèn)證并不能避免運(yùn)營中斷和潛在的GDPR處罰。必須采取適當(dāng)?shù)牟僮鞔胧?,以便合適的人可以決定適當(dāng)?shù)男袆?dòng)方案,其措施從通知英國信息專員辦公室(ICO到提醒客戶和合作伙伴,具體做法因情況而異。
(3)采用正確的技術(shù)和工具
最后,正確的工具將在確保網(wǎng)絡(luò)和運(yùn)營彈性方面發(fā)揮關(guān)鍵作用。研究機(jī)構(gòu)Gartner公司預(yù)測,到2023年,全球信息安全支出將增長11.1%,達(dá)到1870億美元,其中大部分將用于采用正確的技術(shù)。所有這些投資都假設(shè)企業(yè)擁有大量熟練和敬業(yè)的員工來操作此類技術(shù)。然而,情況并非總是如此,尤其是在硬件和可用員工短缺的情況下。
許多企業(yè)根本沒有資源來購買新技術(shù)或?yàn)樗麄兊陌踩\(yùn)營中心(SOC)聘請(qǐng)新員工。事實(shí)上,只有44%的企業(yè)擁有監(jiān)控或記錄違規(guī)事件的工具。因此,四分之一的企業(yè)正在轉(zhuǎn)向?qū)で笸獠烤W(wǎng)絡(luò)安全提供商的幫助來滿足他們的需求。
不是是否而是何時(shí)發(fā)生網(wǎng)絡(luò)攻擊
事實(shí)證明,網(wǎng)絡(luò)攻擊事件并不是能否發(fā)生,而是何時(shí)發(fā)生,因此對(duì)此視而不見并不是一種很好的選擇。與其相反,企業(yè)必須實(shí)施全面的技術(shù)控制、加強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)以及采用適當(dāng)?shù)牟僮鞒绦?。通過讓網(wǎng)絡(luò)彈性的所有三個(gè)支柱協(xié)同工作,企業(yè)能夠確保他們的運(yùn)營彈性。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。