確保企業(yè)安全并非易事。這是因為企業(yè)在安全方面需要教育和培訓(xùn)員工,管理和保護數(shù)百甚至數(shù)千臺設(shè)備,以及時刻應(yīng)對不斷發(fā)展的安全威脅。
企業(yè)的首席安全官(CSO)和首席信息安全官(CISO)依靠其強大的信息網(wǎng)絡(luò)來保持其組織盡可能的安全。IDG TECH(Talk)在Twitter和實時視頻發(fā)起了一場討論,與安全專家和科技行業(yè)觀察人士一起對2020年企業(yè)安全狀況以及如何防范網(wǎng)絡(luò)攻擊者進行了探討。
安全意識的缺乏是一個問題
安全意識的缺乏仍然困擾著很多企業(yè),因為企業(yè)員工不可避免地犯錯,使企業(yè)容易受到攻擊。波士頓學(xué)院首席技術(shù)專家Peter Salvitti指出,這些錯誤其中包括:弱密碼、電子郵件操作不當、政策和工具過時、沒有監(jiān)控,以及對數(shù)據(jù)所在位置的一無所知。
微軟M365卓越中心的安全和法規(guī)遵從架構(gòu)師Wayne Anderson補充說,企業(yè)管理者往往對威脅一無所知,即使這意味著可能降低企業(yè)的脆弱性,也不愿意改變傳統(tǒng)做法。
他說,“有些企業(yè)管理者總是喜歡說這兩句話:‘我們就是這樣做的,我們真的不知道怎么做才對',以及‘我們只是沒有那么大的目標。'”
Cloud Technology Partners (CTP)公司副總裁兼首席云計算架構(gòu)師Ed Featherston對于企業(yè)如何成為黑客的目標進行了闡述。
他說,“我們經(jīng)常和客戶建立一個公共共享/存儲點,通常在幾分鐘之內(nèi)就有人試圖進行攻擊,客戶表示,‘我沒想到會有這種反應(yīng)’。”
網(wǎng)絡(luò)安全專家Scott Schober說,缺乏安全意識也體現(xiàn)在員工的個人行為中,例如在社交媒體上分享過多信息。
如何提高企業(yè)安全性
企業(yè)可以通過改進密碼策略基礎(chǔ)知識、創(chuàng)建安全系統(tǒng)來驗證密碼是否正在更新,以及對員工進行培訓(xùn)來解決安全問題。
做好這項工作的一個關(guān)鍵方面是增強工作人員對持續(xù)安全的參與感,從而創(chuàng)造一種安全文化。企業(yè)想讓員工感受到自己是安全解決方案的一部分。
正如Salvitti所說,“企業(yè)不要認為員工是薄弱環(huán)節(jié),而讓他們參與進來,讓他們成為項目的利益相關(guān)者和計劃的一部分。”
技術(shù)撰稿人Will Kelly對此表示認同,他說:“這需要更多具有安全意識的員工、開發(fā)人員和運營人員。然后使用行業(yè)標準的框架、培訓(xùn)和工具來強化這些人員的安全意識。”
此外,Salvitti強調(diào),IT運營和安全需要協(xié)同工作。他說:“IT運營團隊應(yīng)該與企業(yè)的安全團隊合作,不要把他們排除在外,需要讓他們加入。”
Zeus Kerravala在最近發(fā)表的一篇《2020年首席信息官的大任務(wù):將安全和IT運營結(jié)合在一起》的文章中寫道,通過彌合這些孤立團隊之間的差距,企業(yè)可以提高可視性,并具有更好的安全性。
Kerravala寫道,“研究發(fā)現(xiàn),在缺乏安全性和IT之間協(xié)作的組織中,修補IT漏洞所需的時間要比擁有良好關(guān)系的團隊時間要多出兩周的時間。這種延遲可能使企業(yè)面臨破壞業(yè)務(wù),損害品牌聲譽,甚至使運營癱瘓的巨大風險。”
Salvitti表示,企業(yè)還必須驗證其使用的產(chǎn)品和服務(wù)的安全性。他說,“企業(yè)需要問自己,是否參與和訂閱了已知的安全框架?是否知道互聯(lián)網(wǎng)安全中心(CIS)頂級20個安全控件?是否是負責安全性的行業(yè)機構(gòu)的成員?使用的產(chǎn)品和服務(wù)符合最新法規(guī)嗎?”
Tapad公司高級信息安全專家Ben Rothke表示,安全層可以為應(yīng)對黑客攻擊提供緩沖,為員工提供多條防線,并減輕了他們始終保持警惕的壓力。
Rothke說,“企業(yè)需要深度防御措施。需要使用防火墻、過濾、防止數(shù)據(jù)丟失(DLP)、物聯(lián)網(wǎng)安全、加密、入侵檢測系統(tǒng)和入侵防御系統(tǒng)(IDS/IPS)、DNS安全、容器安全、Web應(yīng)用程序防火墻(WAF)、DDoS緩解、云安全等信息安全工具,而且還要注意人身安全。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號