网络安全建设并非一蹴而就,需要过程和投入,如果缺乏系统思考必然会导致只重视解决眼前问题,而缺乏长远的规划,这种短期行为的规划最终会造成头痛医头、顾此失彼、重复建设等问题。
对于任何目标的实现来说,有一个重要的步骤就是制定计划来确定实现目标的指导方针和步骤,对网络安全建设同样也是如此。一份完善的网络安全计划应该能够清楚地描述企业想要实现的网络安全目标,并进行相关工作任务和行动路线的分解和规划,同时对后续建设提供相关借鉴,切实指导企业在网络安全建设的优先次序和过程规划。
为了帮助企业更好地应对网络安全攻击,本文整理了可能影响组织网络安全计划实施效果的几个常见错误。
1. 忽视基础安全能力建设
企业最常犯的错误之一是忽视了基础性安全保障措施的建设,比如使用完善的身份验证和及时进行安全更新。实际上,基本的网络安全措施可以很好保护现代企业应对90%以上的攻击。
企业可以采取以下几个措施来保持良好的网络安全,并加强整体安全态势:
- 启用多因素身份验证(MFA);
- 运用最小权限访问原则;
- 及时进行安全补丁更新;
- 部署应用反恶意软件工具;
- 开展数据安全治理。
2. 仅以合规作为安全计划的目标
合规是网络安全建设的重要目标,但是这并不意味着就完全安全了,比如企业的安全规程满足在某个时间段的法规标准,就可以满足合规要求,然而,企业却很可能无法抵御此后出现的各种新威胁。企业不能因为没有看到安全事件或主动攻击的迹象,就认为自己是安全的。要抱着“假定失陷”(assume breach)的观念,避免这种虚假的安全感。当攻击者不断探究闯入环境的新方法时,我们应该以假定失陷的理念,积极防范那些难以避免,同时又可能代价高昂的损害。
组织整体网络安全能力的提升是一个非割裂的连续过程,一个组织机构的网络安全体系的构建及能力提升应按照基础架构安全、纵深防御、主动防御、威胁情报、进攻反制等阶段叠加演进,每一阶段的能力均依赖于其他阶段的建设和支撑。
3. 缺少IT资产的洞察能力
全面识别和管理企业内的安全和数据风险具有挑战性,如果不全面了解组织的信息化应用环境将会更加困难。因为如果无法清楚地了解整个环境,就无法确定网络攻击可能会发生在哪里。因此,企业必须要提前知道网络上存在哪些系统、谁可以访问哪些系统外,甚至要准确清点出连接至网络的每个设备。
通过使用最新的威胁和漏洞管理等安全工具,可以帮助组织安全团队实时发现漏洞和错误配置。此外,安全团队还要能够基于企业内的威胁情况和检测结果来确定漏洞的优先级。这些洞察力有助于安全团队识别潜在的问题,并有助于加快采取行动。
4. 没有安全事件的应急响应预案
即使落实了适当的安全措施,网络攻击也是不可避免的。应对突发性的安全事件预案不是为了防止攻击,而是为了在事件发生后尽量减小损失。要让企业每一个成员都明确知道网络攻击发生后该第一时间联系谁,可以从哪里获得迅速解决或缓解威胁的建议。
当出现业务中断时,应该采用业务连续性和灾难恢复(BCDR)策略确保数据安全,并确保应用程序和工作负载快速恢复运行。通过站点恢复和备份等服务,企业可以在网络攻击时确保业务应用程序和工作负载的正常运行,从而确保业务连续性,同时也保持数据资产的安全性。