网站建设厂家,wordpress 积分,手机网站好还是h5好,车工订单网站内容
过去的情况网络安全是理论性的#xff0c;结果才是实际性的。这可能吗#xff1f;我们现在的努力方向结论
本文讲述了为什么企业必须重新思考其网络安全方法#xff1a;旧方法是否足够有效#xff0c;是否可以完全适用#xff1f;公司应采取哪些行动来实现内部信息…内容
过去的情况网络安全是理论性的结果才是实际性的。这可能吗我们现在的努力方向结论
本文讲述了为什么企业必须重新思考其网络安全方法旧方法是否足够有效是否可以完全适用公司应采取哪些行动来实现内部信息安全的成熟度我们将解释市场如何寻求建立网络安全流程以产生明确、可衡量的结果。
过去的情况
几年前“信息安全专家”这个词会让人联想到什么人们首先想到的是遵守监管机构的文件、通过审计和其他检查、购买和安装信息保护系统但对这些措施的实际需求却没有深刻理解。网络安全更多的是一种形式上的任务企业并没有努力确保信息资源的真正安全。责任分配也不尽相同网络安全并非企业首席执行官的工作重点。
2021 年Positive Technologies 的一项调查发现大多数企业的网络武器库中只有基本的防御工具而这些工具并不是为了检测复杂的威胁而设计的。与此同时每十位受访者中就有一位缺乏防病毒系统。并非所有企业都在采用先进的解决方案例如27% 的受访者表示他们已建立流量分析系统只有五分之一的受访者计划实施此类保护措施。 在 2021 年的调查中只有十分之一的受访者表示他们的企业拥有专业的整体解决方案。
通常情况下企业会在攻击发生后部署资源来改善系统安全并修复漏洞。重要的是要问一个问题是否可以提前采取行动防止产生负面影响
网络安全是理论性的结果才是实际性的。这可能吗
首先确保企业的安全意味着保护业务的安全性和连续性、维护企业声誉和需求。实施信息安全系统的主要任务是确保业务流程对外部因素的适应能力。
每年网络攻击成功的数量在我们的研究中大规模攻击例如攻击者向许多地址发送网络钓鱼邮件被视为单个攻击而不是一系列攻击。现在确保安全的问题比以往任何时候都更加急迫。网络安全正成为一个日益蓬勃发展的领域因为企业基础设施的不断变化以及攻击者攻击方法的演变都需要快速适应。例如2020 年的疫情企业运营和员工互动方式的快速变化以及网络安全的实施如何落后于时代的挑战。 图1网络安全事件数量动态变化2018-2022年
人们越来越意识到网络安全实践的重要性各企业也认识到有必要提高防御能力以抵御恶意行为者在现实世界中的攻击。
企业开展多个渗透测试项目的要求也在发生变化因为将五项测试结果与现实世界的业务影响关联起来变得越来越困难。根据我们的数据显示在 2021 年有一项要求是对企业不可容忍事件进行验证在每三个项目中客户都指定了目标系统有必要验证攻击者的某些能力。这些系统包括自动流程控制系统、ATM 管理系统、SWIFT 银行间转账系统、1C 和网站管理界面。2022 年47% 的企业在开展工作时指定了要实现的具体目标27% 的企业让专家验证不可容忍事件。 不可容忍事件是指因恶意行为而发生的事件它使一个企业无法实现运营和战略目标或导致其核心业务长期中断。
通常情况下企业活动的特性不允许其在实际基础设施上测试风险的可行性因为这可能会对其技术和业务流程产生负面影响。网络试验场正在兴起这是模拟企业实际基础设施的一部分旨在培训专家和磨练防御技能的系统。网络试验场可以在不中断实际流程的情况下验证不可容忍事件的清单及其实现的后果并评估可能造成的损害。
我们现在的努力方向
如今要防范绝对的网络威胁是不可能的越来越多的企业机构意识到有必要建立以业务为导向的网络安全。其主要目标是保护企业最重要的资产防止发生不可容忍事件。有效网络安全正在兴起这是一种完全不同的方法是拥有成熟信息安全的企业所特有的。
有效网络安全是一个企业的安全状态它能确保企业抵御网络攻击并能在实践中随时确认攻击者无法实施该企业无法接受的事件。
基于结果的安全意味着一种可定性和定量衡量的信息保护系统它能保护企业的资产防止发生不可容忍事件。这种方法意味着最高管理层直接参与企业信息安全的发展需要参与制定不可容忍事件的清单。企业真正的关注点和需求成为制定企业具体信息安全目标的基础。
这种方法逐步得到验证普华永道的研究结果显示在 2022 年超过 70% 的受访者注意到由于与高级管理层的联合投资和合作网络安全得到了很大改善。例如71% 的受访者表示企业能够在对合作伙伴或客户造成负面影响之前预测并应对与数字计划相关的新网络风险。
超过一半 (51%) 的高管表示他们需要网络风险管理计划来实施各种重大业务或运营变革。此外半数以上 (52%) 的高管表示他们打算带头采取一些重要举措如优化供应链和淘汰会削弱企业网络地位的产品。
俄罗斯目前正在积极推广有效网络安全的概念。2023 年上半年我们针对几个专门讨论信息安全的论坛的受众进行了调查。
经过调查Positive Technologies 公司得出了以下结果
71% 的受众熟悉具有影响力的网络安全的一般概念。
59% 的人知道在有效安全的背景下不可容忍事件意味着什么。
“不可容忍事件”似乎不再是一个新名词一些企业已经在根据新方法改进其内部流程。 图2企业实施有效安全要素的情况受访者百分比
五分之一 (22%) 的受访者表示他们的公司已经能够建立支持网络稳定性的流程如监测和应对网络威胁。一些受访者还表示他们的公司已经能够开展网络培训或启动漏洞赏金计划有偿查找漏洞。
漏洞赏金计划是一项聘请各种自由职业网络安全研究人员查找软件、网络应用程序和 IT 基础设施中的漏洞的计划。
参与漏洞赏金计划可以进一步提高公司的信息安全成熟度加强安全开发。当公司内部员工手动查找漏洞的人力成本过高时外部专家的参与有助于更有效地发现弱点。同时公司只需为发现的漏洞付费而不是为搜索漏洞所花费的时间付费从而可以更好地利用预算。
以前人们认为只有科技公司才能推出此类计划。例如早在 2019 年在最受欢迎的平台之一 HackerOne 上这类公司占所有攻击计划的 60%。最受欢迎的行业类别是在线服务 (28%) 和软件开发 (21%)。2022 年的情况有所不同。在漏洞赏金市场研究中我们分析了 24 个最大的活跃平台发现对付费漏洞搜索服务需求最大的行业是IT 公司 (16%)、在线服务 (14%)、服务业 (13%)、商业 (11%)、金融机构 (9%) 和区块链项目 (9%)。我们预计政府组织、保险和运输等细分市场将逆转这一趋势。 图3漏洞赏金平台参与者的行业分布
现在科技公司与其他行业组织的区别主要体现在以下方面前者清楚地知道他们希望从漏洞赏金平台获利并将其作为提高服务安全性的工具。在选择平台时科技公司关注的是活跃研究人员的数量和计划推广机会等指标。其他行业的公司才刚开始进入漏洞赏金平台。这些企业通常已经建立了基本的信息安全流程现在希望通过吸引大量第三方专家为自己确定新的发展方向。
在不久的将来我们预计会开发出新的计划在这些计划中白帽黑客不仅可以因发现漏洞而获得报酬还可为展示企业不可容忍事件的实施获得报酬。例如Positive Technologies 公司在 2022 年底推出了一项计划主要目标是从其账户中实现资金转移。目前我们看到各公司都了解这一方法的必要性并已在等待其他市场参与者实施这一方法的第一个成功案例。 图4建立有效网络安全的各个阶段
结论
如今任何企业的经营活动不仅会因经济因素而中断也会因网络攻击而中断。网络犯罪攻击是导致业务放缓和无法实现战略目标的潜在原因之一。
网络安全的方向是建立和维护系统和流程使攻击者没有机会对企业造成不可容忍事件。监管机构层面的变化也很明显第 250 号法令迫使许多俄罗斯企业重新考虑其网络安全方法并首次表明网络安全的责任现在落在了管理层和高层管理人员的肩上。我们还能感受到对公民个人信息保护的日益重视例如第 152-FZ 号联邦法的新要求规定企业有义务在 24 小时内向联邦安全局和俄罗斯国家通讯社通报个人数据泄露情况。2023 年 2 月初俄罗斯联邦数字发展、通信和大众传媒部启动了一个大型项目搜索 Gosuslugi 门户网站的漏洞吸引了来自全国各地的 8000 多名猎手。我们还注意到俄罗斯联邦数字发展、通信和大众传媒部的实验俄罗斯政府第 860 号法令将其描述为旨在评估有效安全的一种方法。安全评估和行业监管的主题已经焕发出新的生机我们期待监管机构在未来继续发展这些趋势。
网络安全在企业和政府稳定性中的作用变得越来越重要而对有效安全的需求被证明是实现高水平安全的关键理念之一。目前市场对可衡量的网络安全的需求日益增长其目的是实现一个有保障的结果——无法实现具有不可容忍后果的网络攻击。
在我们的研究中大规模攻击例如攻击者向多个地址发送网络钓鱼邮件被视为单个攻击而不是一系列攻击。
研究包括对信息安全专业人员和机构领导者的调查结果。调查于 2023 年在俄罗斯主要论坛上进行Infoforum俄罗斯数字稳定性和信息安全CISO-FORUM。
加固是通过减少攻击面和消除潜在攻击载体包括消除漏洞、不安全配置和弱密码来提高安全性的过程
