网络安全|首席安全官在网络安全领域生存的七种策略

网络安全|首席安全官在网络安全领域生存的七种策略

文章图片



首席安全官(以及首席信息官和首席信息安全官)如今从未如此艰难 。 他们不仅要承担传统安全责任 , 例如保护企业有形资产的日常运营和危机管理 , 而且现在必须在比以往任何时候都危险的网络安全威胁环境下完成 。



以勒索软件为例 , 它首次出现在1989年 。 当时传播的AIDS木马是由生物学家Joseph L.Popp创建的 , 他向世界卫生组织艾滋病会议的与会者分发了20000张受感染的软盘 。 收件人重新启动90次后 , 该病毒会加密C盘驱动器 , 并要求受害者通过邮政信函将189美元寄送给PC Cyborg公司 。 但他使用的这种简单加密方法意味着很多受害者无需支付赎金即可轻松恢复内容 。
快进到今天 , 勒索软件已经成为企业必须应对的最大网络安全威胁之一 , 因为它变得更加复杂 。 它通过互联网和专用网络高速分发 , 并使用军用级加密措施 。 更糟糕的是 , 如今的威胁行为者要求受害方支付数百万美元的赎金 , 预计勒索软件今年将给企业造成约200亿美元的损失 , 到2031年将超过2650亿美元 。 具有讽刺意味的是 , 在今年 , 迄今为止最大的勒索软件支出来自保险机构CAN Financial公司 , 该公司以销售网络保险而闻名 , 并在2021年3月为一次勒索软件攻击支付了4000万美元 。
勒索软件只是企业必须应对的众多威胁之一 。 还有分布式拒绝服务(DDoS)攻击和中间人(MitM)攻击、社交工程、内部威胁、恶意软件或勒索软件、间谍软件、密码攻击、高级持续威胁(APT) , 这些只是最常见的网络安全威胁 。
那么 , 首席安全官可以做什么?企业在不久的未来将面临大量网络安全威胁 , 以下是使企业及其工作更安全的七种策略:
1. 营造“安全优先”文化首席安全官面临的问题是 , 虽然大多数员工对网络安全最佳实践有一些基本的了解 , 但如果没有持续的安全培训、知识测试和意识 , 员工行为是企业面临的最大安全风险之一 。
调研机构埃森哲公司的一项研究表明 , 在整个职业生涯中 , 只有不到一半的新员工接受网络安全培训和定期更新;只有五分之二的受访者表示内部威胁计划是重中之重;尽管近四分之三的受访者认为 , 网络安全人员和活动需要分散在整个组织中 , 但网络安全应该是企业的集中职能 。
企业需要通过彻底重新设计员工行为来创建强大的分布式数字免疫系统 。 商业领袖需要对安全负责 。 安全团队需要与业务负责人合作 , 创建和实施切实可行的安全策略 , 并且需要定期重新评估和测试这些策略 。
2. 制定持续的安全教育计划 , 让员工了解最新情况“安全优先”文化要求企业的所有成员都理解网络安全威胁的概念 , 但要使这种理解真正产生影响 , 必须定期培训员工以确保他们的知识是最新的 。
3. 实施组织范围的零信任模型训练有素的员工和受监控的环境对于任何企业的成功保护都至关重要 , 但如果没有基本的零信任环境 , 防御本质上将是薄弱的 。
零信任模型是一种防止网络安全威胁的策略 , 所有政府和企业都应该使用它来保护其网络 。 它由四个部分组成: