行业专家指出,企业高管和董事会成员在面临安全威胁时需要将更多的精力放在网络安全上。首席信息安全官(CISO)需要通过SolarWinds安全事件这样的危机将安全性转化为业务策略。
Abacus公司首席信息安全官Bill Brown指出,像SolarWinds这样引人注目的网络安全漏洞事件应该引起企业高管和董事会成员的关注。他曾担任三家公司的信息安全负责人,他表示任何公司的企业高管通常在听说出现最新的安全漏洞后,都会打电话给他以寻求安全保证。他们会说,“这种事件会发生在我们公司吗?我们应该如何应对?”
他说,但是现在许多董事会成员对此无动于衷。
SANS研究所新兴安全趋势负责人John Pescatore表示,虽然SolarWinds安全漏洞事件成为了头条新闻,但需要考虑对企业业务带来的其他影响,例如冠状病毒疫情。他说,“对企业董事会来说,网络安全是他们承担责任所涉及的众多风险之一,而对于大多数公司而言,这并不是最大的风险。”
在Trend Micro公司和Enterprise Strategy集团最近进行的一项调查中,约有85%的安全负责人表示,与两年前相比,企业董事会在安全决策和战略方面的参与度更高。但是,由于重大泄露事件、新的合规性要求或业务信息安全官(BISO)的安全计划,这些高管才会关注。
该报告建议,企业需要增加业务信息安全官(BISO)的职位以改善业务安全一致性,其职责是建立自上而下的可衡量项目,并更改报告结构,以便首席信息安全官(CISO)直接向企业首席执行官报告。归根结底,首席信息安全官(CISO)有责任与企业高管和董事会建立密切关系,并与他们进行定期对话。
为了保持发展势头,首席信息安全官(CISO)必须以业务术语提供稳定的信息流,并以风险和网络安全战略的形式(不仅是技术解决方案)让企业董事会保持关注。安全主管和分析师提供了一些技巧、工具和框架,以帮助将安全性转化为策略并确保网络安全。
1. 与商业模式相匹配
SANS公司安全意识总监Lance Spitzner说,“首席信息安全官(CISO)必须具有周全的策略,并且有战略业务工具才能做到这一点。”SANS公司为安全领导者提供了为期五天的类似“MBA”课程,以了解企业高管和董事会用来衡量风险和制定策略的业务模型和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡计分卡,或如何将能力成熟度模型集成(CMMI)模型与NIST网络安全框架相结合,以向企业董事会成员传达其不同战略安全计划的成熟度。
Spitzner指出,首席信息安全官(CISO)不必了解所有这些模型,只需了解对企业董事会至关重要的模型即可。他们需要与企业董事会成员交谈,并询问他们在董事会会议中使用哪种类型的模型。
一些行业特定的安全框架也促进了企业董事会的讨论。 Abacus公司最近完成了HITRUST认证,这是医疗保健领域的一个通用安全框架,处理受保护的健康信息的组织经常需要此框架。Brown表示,这些认证使企业的安全活动更加结构化,其中包括与董事会成员沟通方面的要求。其中一些控制措施包括与执行团队进行定期对话,讨论他们在保护资产方面的角色以及业务合作伙伴的角色,其责任与首席信息安全官(CISO)相同。
数据可视化工具还可以帮助首席信息安全官(CISO)更好地将网络数据转化为业务影响。Brown为Abacus公司创建了一个季度热图图表,该图表使用颜色表示表中的数据值,从绿色的低概率、低影响问题到红色的高概率、高影响问题。数据值显示了已确定的潜在风险,在Abacus公司发生的每种可能性以及发生的影响,其中包括对客户、对业务的看法以及与供应商和合作伙伴的关系的影响。他的团队定期监视和更新此数据。
Brown说:“企业董事会期待看到自从上个季度以来热图的变化。如果某个事件具有高潜力、高影响力,可以讨论安全团队正在做些什么,以使它们的可能性或影响力降低。”
2. 以竞争对手为基准进行衡量
Pescatore说,企业董事们和高管们希望首席信息安全官以竞争对手为基准衡量自己的工作,这类似于首席财务官和首席运营官向企业董事会展示的内容。他说:“企业董事会成员希望听到,在安全计划或保护供应链方面,是比竞争对手更差还是更好?但通常很难做到这一点。”他指出,但是有很多资源可以提供帮助。美国信息共享和分析中心委员会是一个针对特定行业的组织,主要负责收集和共享有关对关键基础设施的网络威胁的信息。
美国信息共享和分析中心(ISAC)还促进了公共部门和私营部门团体之间的数据共享。该中心列出了24个行业作为参与成员,其中包括医疗保健、零售、酒店、金融服务、媒体以及石油和天然气。Pescatore说:“人们有能力团结起来应对这种情况,只是没有被充分放大。”
3. 利用立法的推动
SolarWinds对美国政府机构的攻击使新的行政管理着眼于强化美国的网络安全防御。美国联邦隐私立法的要求也在不断提高,近年来提出的一些法案可能最终会受到关注。这是一个热门话题,美国国会需要对新的联邦法律可以取代已经生效的州立法达成共识。
例如,《加利福尼亚州隐私权和执行法》(CPRA)于去年11月通过,将于2023年1月1日全面生效。该法律要求该州总收入超过2500万美元的企业必须提供合理的网络安全保护措施,提交年度网络安全审核,向新成立的加利福尼亚隐私保护局提交风险评估的监管文件,并要求合同条款和其他保护措施来解决供应链安全和隐私风险。美国其他八个州也有类似版本的隐私法规。
分析师表示,首席信息安全官(CISO)应将其关注点放在新法规上,以分享积极的网络安全措施和投资如何使企业达到合规性。
4. 建立良好的人际关系
分析师指出,首席信息安全官(CISO)不仅需要随时征求信息请求或召开季度会议,还需要与高管和董事会建立和培养关系。《全球CISO的战略与策略和领导力》一书的作者Michael Oberlaender表示:“应该始终保持开放的沟通,而不仅仅是在重大危机期间,这是核心问题,否则安全就会被忽视。”
Brown说,“建设良好的人际关系可以获得盟友的帮助。一旦发生不幸的事情,那么已经拥有了这种关系,所有人可以一起解决问题而不是相互指责。”
怎么样上网才安全?
1、上网前与父母或其他成年人一起建立一个上网规则,先确定一天当中花多少时间上网是合适的,决定什么能做什么不能做,在熟悉因特网之后,可以和长辈商量,修改上网规则,然后把规则放到电脑上容易看到的地方。 2、不要跟其他任何人共享密码。 3、在其他人了解你的信息资料前,应得到父母的允许。 4、按回车键前,再次检查网站的链接地址,确保拼写的正确,保证去想去的站点。 5、进一个聊天室之前,要与你的父母或你信任的成年人检查这个聊天室,不同的聊天室有不同的规则和不同类型的人在里面,在进入聊天室之前你和你的父母应该确保这个聊天室是一个适合你的地方。 6、如果在网上看到的某个东西使你觉得不舒服,离开这个网址,并告诉父母或老师。 7、不要随意通过电子邮件把照片发给其他人。 8、如果收到不想要的,故意冒犯,恶意中伤,带有威胁性、骚扰性的电子邮件,不要回复,马上告诉家人。 9、互联网上的东西不一定是真实存在的。 10、不要随意在网上泄露个人年龄。 11、没经过父母或监护人允许,不要在网上泄露自己的全名。 12、不要在网上泄露家庭地址。 13、在网上签名购物之前,先征求你父母或监护人的意见。 14、未经父母允许,别泄露你的信用卡号码。 15、上网时,你要做什么取决于自己,不要做你不想做的事。 16、不要打开来自陌生人的电子邮件或文件,你不知道里面可能有什么,文件可能包含计算机病毒或冒犯性的材料。 17、把电脑放在普通的场所,比如家里的客厅,书房或卧室。 18、不经父母的允许,不要去见网友,特别是单独会见网友,如果你确实想去,要跟父母或监护人一起去。 19、记住,在网上共享的任何关于个人的信息都能够被在线的任何一个人看到。 20、不要泄露电话或手机号码。 21、告诉父母、监护人或老师关于你在网上去过的地方,看过的东西和你做过的事情。 22、起一个名字,不同于你的真实姓名,在网上使用。 23去一个公共场所,比如聊天室,论坛之前,与你家人商量留下个人Email地址是否合适。 24、如果某个人问你太多的个人问题,当心,不要跟他们说。 25、不要泄露你学校的名字。 26、要记住网上的人不是象他们说的那样,有可能是假装的。 27、不要在网上做在现实生活中不想做的事。 28、当某个人提供给你免费的东西,比如礼物或钱时,千万要小心,因为你不知道他的动机是什么,拒绝他并告诉你的父母。 29、对待别人要象对待自己一样,不要在网上使用不文明语言或带有恶意的信息。 30、如果你不想呆在网上了,就按“离开”按钮。
杀毒软件和防火墙软件一样吗?
1.防火墙是位于计算机和它所连接的网络之间的软件,安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。 使用防火墙是保障网络安全的第一步,选择一款合适的防火墙,是保护信息安全不可或缺的一道屏障。 2.因为杀毒软件和防火墙软件本身定位不同,所以在安装反病毒软件之后,还不能阻止黑客攻击,用户需要再安装防火墙类软件来保护系统安全。 3.杀毒软件主要用来防病毒,防火墙软件用来防黑客攻击。 4.病毒为可执行代码,黑客攻击为数据包形式。 5.病毒通常自动执行,黑客攻击是被动的。 6.病毒主要利用系统功能,黑客更注重系统漏洞。 7.当遇到黑客攻击时反病毒软件无法对系统进行保护。 8.对于初级用户,可以选择使用防火墙软件配置好的安全级别。 9.防火墙软件需要对具体应用进行规格配置。 10.防火墙不处理病毒不管是funlove病毒也好,还是CIH也好,在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。 看到这里,或许您原本心目中的防火墙已经被我拉下了神台。 是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。 “真正的安全是一种意识,而非技术!”请牢记这句话。 不管怎么样,防火墙仍然有其积极的一面。 在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。 最后,要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。 ”安全问题,是从设备到人,从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题;任何一个环节工作,只是迈向安全的步骤。 附录:防火墙能够作到些什么?1.包过滤具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。 早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。 虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。 通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个 ip的流量和连接数。 2.包的透明转发事实上,由于防火墙一般架设在提供某些服务的服务器前。 如果用示意图来表示就是 Server—FireWall—Guest 。 用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。 3.阻挡外部攻击如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。 4.记录攻击如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS(入侵检测系统)来完成了。 以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
如何抵御DDOS攻击服务器?
分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。 它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击,在带宽相对的情况下,被攻击的主机很容易失去反应能力。 作为一种分布、协作的大规模攻击方式,分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点,像商业公司,搜索引擎和政府部门的站点。 由于它通过利用一批受控制的机器向一台机器发起攻击,来势迅猛,而且往往令人难以防备,具有极大的破坏性。 对于此类隐蔽性极好的DDoS攻击的防范,更重要的是用户要加强安全防范意识,提高网络系统的安全性。 专家建议可以采取的安全防御措施有以下几种。 1.及早发现系统存在的攻击漏洞,及时安装系统补丁程序。 对一些重要的信息(例如系统配置信息)建立和完善备份机制。 对一些特权账号(例如管理员账号)的密码设置要谨慎。 通过这样一系列的举措可以把攻击者的可乘之机降低到最小。 2.在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。 建立边界安全界限,确保输出的包受到正确限制。 经常检测系统配置信息,并注意查看每天的安全日志。 3.利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。 4.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。 5.当用户发现自己正在遭受DDoS攻击时,应当启动自己的应付策略,尽可能快地追踪攻击包,并且及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。 6.如果用户是潜在的DDoS攻击受害者,并且用户发现自己的计算机被攻击者用作主控端和代理端时,用户不能因为自己的系统暂时没有受到损害而掉以轻心。 攻击者一旦发现用户系统的漏洞,这对用户的系统是一个很大的威胁。 所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。
发表评论