智能制造網(wǎng)APP
智能制造網(wǎng)手機(jī)站
智能制造網(wǎng)小程序
智能制造網(wǎng)官微
智能制造網(wǎng)服務(wù)號(hào)
智能控制
機(jī)器人
儀器儀表
物聯(lián)網(wǎng)
3D打印
工業(yè)軟件
回放
品牌
傾技
很多時(shí)候,企業(yè)網(wǎng)絡(luò)戰(zhàn)略往往會(huì)忘記網(wǎng)絡(luò)安全中的人為因素,從而可能導(dǎo)致更多的網(wǎng)絡(luò)攻擊和災(zāi)難性后果。
當(dāng)我們想到企業(yè)級(jí)信息系統(tǒng)時(shí),我們會(huì)想到一個(gè)由所有數(shù)字系統(tǒng)和工具組成的網(wǎng)絡(luò),這些系統(tǒng)和工具可以自動(dòng)化信息的收集、分析和交流,以推動(dòng)運(yùn)營(yíng)和業(yè)務(wù)決策。這可能包括企業(yè)的服務(wù)器、可能由人工智能驅(qū)動(dòng)的軟件以及數(shù)據(jù)收集和共享設(shè)備的網(wǎng)絡(luò),其中包括計(jì)算機(jī)和智能手機(jī)。
除了這些關(guān)鍵要素之外,還有一個(gè)經(jīng)常被忽視的關(guān)鍵系統(tǒng)組件——相關(guān)人員。就像人們對(duì)信息系統(tǒng)的參與被忽視一樣,企業(yè)也往往會(huì)忽視網(wǎng)絡(luò)安全中的人為因素,可能會(huì)導(dǎo)致嚴(yán)重的后果。
讓我們看一個(gè)假設(shè)的場(chǎng)景:
在度假期間,一家價(jià)值數(shù)十億美元的公司的區(qū)域銷(xiāo)售主管Jane在她的手機(jī)上收到了一封電子郵件。來(lái)自Bill,她辦公室的IT管理員,她碰巧也很了解他。這封郵件首先為短暫中斷她的假期而道歉,但表示有一些緊急的事情需要做。Bill要求Jane快速回復(fù)其專(zhuān)有CRM應(yīng)用程序的登錄憑據(jù),因?yàn)樗坪醮嬖谝恍┬枰M快修復(fù)的問(wèn)題!而Jane,部分是毫無(wú)戒心,部分是想回到假期模式,輸入對(duì)她的要求并點(diǎn)擊“發(fā)送”。然后她繼續(xù)她的假期。一周后,簡(jiǎn)回到工作崗位,震驚地發(fā)現(xiàn)公司包含數(shù)千名客戶個(gè)人信息的CRM數(shù)據(jù)庫(kù)被黑客入侵并泄露了信息。簡(jiǎn)沒(méi)有注意到她收到的電子郵件,只是一次釣魚(yú)網(wǎng)絡(luò)嘗試。
任何系統(tǒng)的安全性取決于其薄弱的環(huán)節(jié)。談到企業(yè)網(wǎng)絡(luò)安全,薄弱的環(huán)節(jié)恰好是參與系統(tǒng)的人。盡管組織安全系統(tǒng)隨著時(shí)間的推移變得越來(lái)越智能,但組織安全系統(tǒng)也是如此。人工智能和機(jī)器學(xué)習(xí)算法在安全方面日益重要的作用確保了組織數(shù)據(jù)在不斷變化的威脅下仍然受到保護(hù)。將現(xiàn)有的算法安全系統(tǒng)與區(qū)塊鏈等技術(shù)相結(jié)合,可以使安全更加安全,至少在理論上是這樣。
然而,需要注意的是,大多數(shù)網(wǎng)絡(luò)攻擊的成功都是由于網(wǎng)絡(luò)安全中的“人為因素”造成的脆弱性。超過(guò)90%的成功網(wǎng)絡(luò)攻擊是由于網(wǎng)絡(luò)釣魚(yú)造成的,網(wǎng)絡(luò)釣魚(yú)利用了人們?cè)趨^(qū)分真實(shí)通信和欺詐通信方面的無(wú)意識(shí)和判斷力。這不僅證實(shí)了投資于最智能的安全系統(tǒng)并不能保證保護(hù)機(jī)密數(shù)據(jù)的事實(shí)。
事實(shí)上,企業(yè)組織正在大力投資網(wǎng)絡(luò)安全,從2017年到2021年,全球網(wǎng)絡(luò)安全支出估計(jì)將超過(guò) 1 萬(wàn)億美元。為了完全保護(hù)數(shù)據(jù)免遭非法訪問(wèn)和丟失,投資于更智能的系統(tǒng)應(yīng)該與讓人們?cè)诎踩矫娓斆鳌,F(xiàn)在,不要誤會(huì)我的意思。我所說(shuō)的更聰明并不是質(zhì)疑人們的智力或他們對(duì)數(shù)字安全的了解。
員工需要提高意識(shí)
在安全方面的智能意味著了解您從誰(shuí)那里接收通信、您單擊哪些鏈接或打開(kāi)哪些附件、不同類(lèi)型的網(wǎng)絡(luò)犯罪和威脅,以及組織通信、隱私和安全政策。
對(duì)智能的需求不僅適用于設(shè)備、軟件和這些設(shè)備的主要用戶,還適用于整個(gè)組織金字塔。這包括較高領(lǐng)導(dǎo)層,他們不一定參與使用數(shù)據(jù)管理系統(tǒng),但需要使用組織渠道進(jìn)行內(nèi)部溝通。加強(qiáng)數(shù)據(jù)安全應(yīng)采取自上而下和自下而上的方法,以確保政策、技術(shù)和人員方面的漏洞最小。
更智能的安全措施
為了擁有一個(gè)強(qiáng)大的安全系統(tǒng)來(lái)保護(hù)企業(yè)范圍的網(wǎng)絡(luò),組織不僅應(yīng)該規(guī)劃和投資于可用的較佳技術(shù),而且還應(yīng)該讓他們的員工更加了解網(wǎng)絡(luò)安全。以下實(shí)踐可以幫助組織形成全面的威脅預(yù)防策略:
培訓(xùn)和意識(shí)計(jì)劃:制定智能安全策略的第一步是確保所有員工了解網(wǎng)絡(luò)安全的重要性,并教會(huì)他們?cè)谂cIT基礎(chǔ)設(shè)施交互和使用IT基礎(chǔ)設(shè)施時(shí)遵守標(biāo)準(zhǔn)協(xié)議。應(yīng)讓員工了解企業(yè)信息系統(tǒng)安全可能受到損害的不同方式,以及它可能對(duì)組織和員工本身產(chǎn)生的嚴(yán)重影響。他們應(yīng)該特別接受培訓(xùn),以識(shí)別利用網(wǎng)絡(luò)安全中的人為因素的網(wǎng)絡(luò)釣魚(yú)企圖和其他網(wǎng)絡(luò)攻擊策略。這種培訓(xùn)應(yīng)該旨在實(shí)現(xiàn)用戶群中的實(shí)際行為改變,并且除了建立意識(shí)之外,還必須結(jié)構(gòu)化這樣做。通過(guò)進(jìn)行后續(xù)測(cè)試(例如內(nèi)部進(jìn)行的網(wǎng)絡(luò)釣魚(yú)活動(dòng))來(lái)評(píng)估此類(lèi)培訓(xùn)的有效性,將有助于改善未來(lái)的結(jié)果。
隔離內(nèi)部和外部通信:在功能上可行的范圍內(nèi)將內(nèi)部通信網(wǎng)絡(luò)與外部通信網(wǎng)絡(luò)隔離將防止惡意軟件和其他傳染性元素傳播到關(guān)鍵系統(tǒng)。除了在基礎(chǔ)設(shè)施上隔離內(nèi)部和外部網(wǎng)絡(luò),即將關(guān)鍵系統(tǒng)與外部網(wǎng)絡(luò)物理隔離之外,組織還應(yīng)該標(biāo)準(zhǔn)化所有用戶必須遵守的內(nèi)部通信協(xié)議。組織還應(yīng)建立標(biāo)準(zhǔn)的溝通渠道,以避免任何混淆和錯(cuò)誤,例如打開(kāi)可能導(dǎo)致安全漏洞的傳染性鏈接。
入侵您自己的網(wǎng)絡(luò):道德黑客是入侵安全網(wǎng)絡(luò)但沒(méi)有任何惡意意圖的程序員。組織可以讓道德黑客入侵他們的網(wǎng)絡(luò)以識(shí)別零日漏洞,即系統(tǒng)所有者以前不知道的漏洞。識(shí)別新的可能威脅將允許系統(tǒng)所有者修復(fù)它們,以免它們被不合格的未知攻擊者利用。應(yīng)盡早修復(fù)由此確定的漏洞或漏洞。
隨著物聯(lián)網(wǎng)(IoT)的引入和傳播,從智能手機(jī)和智能手表到國(guó)家電網(wǎng),物聯(lián)網(wǎng)將所有可以想象的電子設(shè)備連接起來(lái)。隨著每臺(tái)設(shè)備添加到物聯(lián)網(wǎng)網(wǎng)絡(luò),安全故障結(jié)果的風(fēng)險(xiǎn)和嚴(yán)重性都會(huì)增加。因此,現(xiàn)在是企業(yè)和其他組織改善網(wǎng)絡(luò)安全中的技術(shù)和人為因素的較佳時(shí)機(jī)。
(原標(biāo)題:智能網(wǎng)絡(luò)安全需要的不僅僅是智能技術(shù))
浙公網(wǎng)安備 33010602000006號(hào)
智能制造網(wǎng)APP
智能制造網(wǎng)小程序
微信公眾號(hào)
