新型网络安全:从过程到明确结果

内容

  • 过去的情况
  • 网络安全是理论性的,结果才是实际性的。这可能吗?
  • 我们现在的努力方向
  • 结论

本文讲述了为什么企业必须重新思考其网络安全方法:旧方法是否足够有效,是否可以完全适用?公司应采取哪些行动来实现内部信息安全的成熟度?我们将解释市场如何寻求建立网络安全流程,以产生明确、可衡量的结果。

过去的情况

几年前,“信息安全专家”这个词会让人联想到什么?人们首先想到的是遵守监管机构的文件、通过审计和其他检查、购买和安装信息保护系统,但对这些措施的实际需求却没有深刻理解。网络安全更多的是一种形式上的任务,企业并没有努力确保信息资源的真正安全。责任分配也不尽相同:网络安全并非企业首席执行官的工作重点。

2021 年,Positive Technologies 的一项调查发现,大多数企业的网络武器库中只有基本的防御工具,而这些工具并不是为了检测复杂的威胁而设计的。与此同时,每十位受访者中就有一位缺乏防病毒系统。并非所有企业都在采用先进的解决方案:例如,27% 的受访者表示他们已建立流量分析系统,只有五分之一的受访者计划实施此类保护措施。

在 2021 年的调查中,只有十分之一的受访者表示他们的企业拥有专业的整体解决方案。

通常情况下,企业会在攻击发生后,部署资源来改善系统安全并修复漏洞。重要的是要问一个问题:是否可以提前采取行动,防止产生负面影响?

网络安全是理论性的,结果才是实际性的。这可能吗?

首先,确保企业的安全意味着保护业务的安全性和连续性、维护企业声誉和需求。实施信息安全系统的主要任务是确保业务流程对外部因素的适应能力。

每年网络攻击成功的数量在我们的研究中,大规模攻击(例如,攻击者向许多地址发送网络钓鱼邮件)被视为单个攻击,而不是一系列攻击。现在,确保安全的问题比以往任何时候都更加急迫。网络安全正成为一个日益蓬勃发展的领域,因为企业基础设施的不断变化以及攻击者攻击方法的演变都需要快速适应。例如,2020 年的疫情,企业运营和员工互动方式的快速变化,以及网络安全的实施如何落后于时代的挑战。

 

1网络安全事件数量动态变化(2018-2022年)

人们越来越意识到网络安全实践的重要性,各企业也认识到有必要提高防御能力,以抵御恶意行为者在现实世界中的攻击。

企业开展多个渗透测试项目的要求也在发生变化,因为将五项测试结果与现实世界的业务影响关联起来变得越来越困难。根据我们的数据显示,在 2021 年,有一项要求是对企业不可容忍事件进行验证:在每三个项目中客户都指定了目标系统,有必要验证攻击者的某些能力。这些系统包括自动流程控制系统、ATM 管理系统、SWIFT 银行间转账系统、1C 和网站管理界面。2022 年,47% 的企业在开展工作时指定了要实现的具体目标,27% 的企业让专家验证不可容忍事件。

不可容忍事件是指因恶意行为而发生的事件,它使一个企业无法实现运营和战略目标,或导致其核心业务长期中断。

通常情况下,企业活动的特性不允许其在实际基础设施上测试风险的可行性,因为这可能会对其技术和业务流程产生负面影响。网络试验场正在兴起,这是模拟企业实际基础设施的一部分,旨在培训专家和磨练防御技能的系统。网络试验场可以在不中断实际流程的情况下,验证不可容忍事件的清单及其实现的后果,并评估可能造成的损害。

我们现在的努力方向

如今,要防范绝对的网络威胁是不可能的,越来越多的企业机构意识到有必要建立以业务为导向的网络安全。其主要目标是保护企业最重要的资产,防止发生不可容忍事件。有效网络安全正在兴起,这是一种完全不同的方法,是拥有成熟信息安全的企业所特有的。

有效网络安全是一个企业的安全状态,它能确保企业抵御网络攻击,并能在实践中随时确认攻击者无法实施该企业无法接受的事件。

基于结果的安全意味着一种可定性和定量衡量的信息保护系统,它能保护企业的资产,防止发生不可容忍事件。这种方法意味着最高管理层直接参与企业信息安全的发展,需要参与制定不可容忍事件的清单。企业真正的关注点和需求成为制定企业具体信息安全目标的基础。

这种方法逐步得到验证:普华永道的研究结果显示,在 2022 年,超过 70% 的受访者注意到,由于与高级管理层的联合投资和合作,网络安全得到了很大改善。例如,71% 的受访者表示,企业能够在对合作伙伴或客户造成负面影响之前,预测并应对与数字计划相关的新网络风险。

超过一半 (51%) 的高管表示,他们需要网络风险管理计划来实施各种重大业务或运营变革。此外,半数以上 (52%) 的高管表示,他们打算带头采取一些重要举措,如优化供应链和淘汰会削弱企业网络地位的产品。

俄罗斯目前正在积极推广有效网络安全的概念。2023 年上半年,我们针对几个专门讨论信息安全的论坛的受众进行了调查。

经过调查,Positive Technologies 公司得出了以下结果:

71% 的受众熟悉具有影响力的网络安全的一般概念。

59% 的人知道在有效安全的背景下,不可容忍事件意味着什么。

不可容忍事件似乎不再是一个新名词,一些企业已经在根据新方法改进其内部流程。

 

2企业实施有效安全要素的情况(受访者百分比)

五分之一 (22%) 的受访者表示,他们的公司已经能够建立支持网络稳定性的流程,如监测和应对网络威胁。一些受访者还表示,他们的公司已经能够开展网络培训,或启动漏洞赏金计划,有偿查找漏洞。

漏洞赏金计划是一项聘请各种自由职业网络安全研究人员查找软件、网络应用程序和 IT 基础设施中的漏洞的计划。

参与漏洞赏金计划可以进一步提高公司的信息安全成熟度,加强安全开发。当公司内部员工手动查找漏洞的人力成本过高时,外部专家的参与有助于更有效地发现弱点。同时,公司只需为发现的漏洞付费,而不是为搜索漏洞所花费的时间付费,从而可以更好地利用预算。

以前,人们认为只有科技公司才能推出此类计划。例如,早在 2019 年,在最受欢迎的平台之一 HackerOne 上,这类公司占所有攻击计划的 60%。最受欢迎的行业类别是在线服务 (28%) 和软件开发 (21%)。2022 年的情况有所不同。在漏洞赏金市场研究中,我们分析了 24 个最大的活跃平台,发现对付费漏洞搜索服务需求最大的行业是:IT 公司 (16%)、在线服务 (14%)、服务业 (13%)、商业 (11%)、金融机构 (9%) 和区块链项目 (9%)。我们预计,政府组织、保险和运输等细分市场将逆转这一趋势。

 

3漏洞赏金平台参与者的行业分布

现在,科技公司与其他行业组织的区别主要体现在以下方面:前者清楚地知道他们希望从漏洞赏金平台获利,并将其作为提高服务安全性的工具。在选择平台时,科技公司关注的是活跃研究人员的数量和计划推广机会等指标。其他行业的公司才刚开始进入漏洞赏金平台。这些企业通常已经建立了基本的信息安全流程,现在希望通过吸引大量第三方专家为自己确定新的发展方向。

在不久的将来,我们预计会开发出新的计划,在这些计划中,白帽黑客不仅可以因发现漏洞而获得报酬,还可为展示企业不可容忍事件的实施获得报酬。例如,Positive Technologies 公司在 2022 年底推出了一项计划,主要目标是从其账户中实现资金转移。目前,我们看到各公司都了解这一方法的必要性,并已在等待其他市场参与者实施这一方法的第一个成功案例。

 

4建立有效网络安全的各个阶段

结论

如今,任何企业的经营活动不仅会因经济因素而中断,也会因网络攻击而中断。网络犯罪攻击是导致业务放缓和无法实现战略目标的潜在原因之一。

网络安全的方向是建立和维护系统和流程,使攻击者没有机会对企业造成不可容忍事件。监管机构层面的变化也很明显:第 250 号法令迫使许多俄罗斯企业重新考虑其网络安全方法,并首次表明网络安全的责任现在落在了管理层和高层管理人员的肩上。我们还能感受到对公民个人信息保护的日益重视:例如,第 152-FZ 号联邦法的新要求规定,企业有义务在 24 小时内向联邦安全局和俄罗斯国家通讯社通报个人数据泄露情况。2023 年 2 月初,俄罗斯联邦数字发展、通信和大众传媒部启动了一个大型项目,搜索 Gosuslugi 门户网站的漏洞,吸引了来自全国各地的 8000 多名猎手。我们还注意到俄罗斯联邦数字发展、通信和大众传媒部的实验,俄罗斯政府第 860 号法令将其描述为旨在评估有效安全的一种方法。安全评估和行业监管的主题已经焕发出新的生机,我们期待监管机构在未来继续发展这些趋势。

网络安全在企业和政府稳定性中的作用变得越来越重要,而对有效安全的需求被证明是实现高水平安全的关键理念之一。目前,市场对可衡量的网络安全的需求日益增长,其目的是实现一个有保障的结果——无法实现具有不可容忍后果的网络攻击。

在我们的研究中,大规模攻击(例如,攻击者向多个地址发送网络钓鱼邮件)被视为单个攻击,而不是一系列攻击。

研究包括对信息安全专业人员和机构领导者的调查结果。调查于 2023 年在俄罗斯主要论坛上进行:Infoforum俄罗斯数字稳定性和信息安全CISO-FORUM

加固是通过减少攻击面和消除潜在攻击载体(包括消除漏洞、不安全配置和弱密码)来提高安全性的过程

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/29077.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【LeetCode】【数据结构】单链表OJ常见题型(二)

👀樊梓慕:个人主页 🎥个人专栏:《C语言》《数据结构》《蓝桥杯试题》《LeetCode刷题笔记》 🌝每一个不曾起舞的日子,都是对生命的辜负 目录 前言: 【LeetCode】面试题02.04. 分割链表 【Lee…

微信小程序申请步骤

微信公众平台链接:https://mp.weixin.qq.com/ 1、进到微信公众平台,点一下“点击注册”,挑选账号申请种类“小程序”,填好微信小程序用户信息,包含电子邮箱、登陆密码等。 2、微信公众平台会发送一封电子邮件&#xf…

Web3 solidity编写交易所合约 编写ETH和自定义代币存入逻辑 并带着大家手动测试

上文 Web3 叙述交易所授权置换概念 编写transferFrom与approve函数我们写完一个简单授权交易所的逻辑 但是并没有测试 其实也不是我不想 主要是 交易所也没实例化 现在也测试不了 我们先运行 ganache 启动一个虚拟的区块链环境 先发布 在终端执行 truffle migrate如果你跟着我…

# ⛳ Docker 安装、配置和详细使用教程-Win10专业版

目录 ⛳ Docker 安装、配置和详细使用教程-Win10专业版🚜 一、win10 系统配置🎨 二、Docker下载和安装🏭 三、Docker配置🎉 四、Docker入门使用 ⛳ Docker 安装、配置和详细使用教程-Win10专业版 🚜 一、win10 系统配…

ArcGIS Pro基础:【划分】工具实现等比例、等面积、等宽度划分图形操作

本次介绍【划分】工具的使用,如下所示,为该工具所处位置。使用该工具可以实现对某个图斑的等比例面积划分、相等面积划分和相等宽度划分。 【等比例面积】:其操作如下所示,其中: 1表示先选中待处理的图斑,2…

【Linux进程篇】进程概念(2)

【Linux进程篇】进程概念(2) 目录 【Linux进程篇】进程概念(2)进程状态Linux对进程的说法linux中的信号 进程状态查看Z(zombie)——僵尸进程僵尸进程的危害 孤儿进程 进程优先级基本概念查看系统进程PRI (优先级priori…

在java中操作redis_Data

1.引入依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency> 2.配置Redis数据源 redis:host: ${sky.redis.host}port: ${sky.redis.port}password: ${sk…

快速引流推广,快速引流推广策略分享,教你精准引流

科思创业汇 大家好&#xff0c;这里是科思创业汇&#xff0c;一个轻资产创业孵化平台。赚钱的方式有很多种&#xff0c;我希望在科思创业汇能够给你带来最快乐的那一种&#xff01; 在当今互联网的快速发展中&#xff0c;短视频脱颖而出&#xff0c;成为互联网的新秀&#xf…

用python做一个小游戏代码,用python制作一个小游戏

大家好&#xff0c;小编来为大家解答以下问题&#xff0c;如何用python编写一个简单的小游戏&#xff0c;用python做一个小游戏代码&#xff0c;今天让我们一起来看看吧&#xff01; 今天呢&#xff0c;给大家展示一下Python有趣的小地方&#xff0c;展示给大家看看&#xff0c…

Ansible Playbook快速部署一主多从MySQL集群

部署目标&#xff1a; 1、快速部署一套一主两从的mysql集群 2、部署过程中支持交互式定义安装目录及监听端口号 部署清单目录结构&#xff1a; rootmaster:/opt/mysql# tree . . ├── group_vars │ └── all.yml ├── hosts ├── mysql.yml └── roles└── mys…

php实现登录的例子

界面&#xff1a; 登录界面login.html代码&#xff1a; <!DOCUMENT html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns"http://www.w3.org/1999/xhtml"…

ARM微架构

一、流水线 二、指令流水线 指令流水线 指令流水线 指令流水线 ARM指令流水线 ARM7采用3级流水线 ARM9采用5级流水线 Cortex-A9采用8级流水线 注1&#xff1a;虽然流水线级数越来越多&#xff0c;但都是在三级流水线的基础上进行了细分 PC的作用&#xff08;取指&#xff09; …

flutter开发实战-video_player视频播放功能及视频缓存

flutter开发实战-video_player视频播放功能及视频缓存 最近开发过程中video_player播放视频&#xff0c; 一、引入video_player 在pubspec.yaml引入video_player video_player: ^2.7.0在iOS上&#xff0c;video_player使用的是AVPlayer进行播放。 在Android上&#xff0c;…

python-docx常用方法总结

由于最近有任务需要自动生成word报告&#xff0c;因此学习了一些python-docx的使用方法&#xff0c;在此总结。 目前网上相关的资料不算太多&#xff0c;且大多数都很简单。有一些稍微复杂的需求往往找不到答案&#xff0c;很多想要的方法这个库似乎并没有直接提供。在git上看…

Dockerfile定制Tomcat镜像

Dockerfile中的打包命令 FROM &#xff1a; 以某个基础镜像作为此镜像的基础 RUN &#xff1a; RUN后面跟着linux常用命令&#xff0c;如RUN echo xxx >> xxx,注意&#xff0c;RUN 不能用于执行命令&#xff0c;因为每个RUN都是独立运行的&#xff0c;RUN 的cd对镜像中的…

PHP8的循环控制语句-PHP8知识详解

我们在上一节讲的是条件控制语句&#xff0c;本节课程我们讲解循环控制语句。循环控制语句中&#xff0c;主要有for循环、while循环、do...while循环和foreach循环。 在编写代码时&#xff0c;经常需要反复运行同一代码块。我们可以使用循环来执行这样的任务&#xff0c;而不是…

利用MMPose进行姿态估计(训练、测试全流程)

前言 MMPose是一款基于PyTorch的姿态分析开源工具箱&#xff0c;是OpenMMLab项目成员之一&#xff0c;主要特性&#xff1a; 支持多种人体姿态分析相关任务&#xff1a;2D多人姿态估计、2D手部姿态估计、动物关键点检测等等更高的精度和更快的速度&#xff1a;包括“自顶向下”…

力扣初级算法(二分查找)

力扣初级算法(二分法)&#xff1a; 每日一算法&#xff1a;二分法查找 学习内容&#xff1a; 给定一个排序数组和一个目标值&#xff0c;在数组中找到目标值&#xff0c;并返回其索引。如果目标值不存在于数组中&#xff0c;返回它将会被按顺序插入的位置。 2.二分查找流程&…

Mageia 9 RC1 正式发布,Mandriva Linux 发行版的社区分支

导读Mageia 9 首个 RC 已发布。公告写道&#xff0c;自 2023 年 5 月发布 beta 2 以来&#xff0c;Mageia 团队一直致力于解决许多顽固问题并提供安全修复和新特性。 新版本的控制中心添加了用于删除旧内核的新功能&#xff0c;该功能在 Mageia 9 中默认自动启用&#xff0c;用…

探秘手机隐藏的望远镜功能:开启后,观察任何你想看的地方

当今的智能手机不仅仅是通信工具&#xff0c;它们蕴藏着各种隐藏的功能&#xff0c;其中之一就是让你拥有望远镜般的观察能力。是的&#xff0c;你没有听错&#xff01;今天我们将探秘手机中隐藏的望远镜功能&#xff0c;这项神奇的功能可以让你打开后&#xff0c;轻松观察任何…