張格

根據(jù)漏洞情報(bào)，漏洞數(shù)據(jù)和風(fēng)險(xiǎn)評(píng)級(jí)的全球領(lǐng)先者Risk Based Security的數(shù)據(jù)顯示，2019年有望成為網(wǎng)絡(luò)犯罪“有史以來很糟糕的一年”。在勒索軟件、病毒、特洛伊木馬和網(wǎng)絡(luò)釣魚事件幾乎持續(xù)不斷的頭條新聞中，我們已經(jīng)看到了這種情況，這對(duì)各種規(guī)模的企業(yè)造成了嚴(yán)重破壞。這些攻擊不僅在頻率上增加了，而且在收入影響和復(fù)雜性上也有所增加。

2019年春天，名為羅賓漢（RobbinHood）的全新勒索軟件開創(chuàng)的針對(duì)Baltimore數(shù)據(jù)網(wǎng)絡(luò)的勒索軟件攻擊，導(dǎo)致網(wǎng)絡(luò)宕機(jī)造成至少1 820萬美元的收入損失。這并沒有引起人們的注意。瞻博網(wǎng)絡(luò)研究發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪已經(jīng)造成了2萬億美元的損失。該公司估計(jì)，到2021年這一數(shù)字將達(dá)到6萬億美元。

所有這些負(fù)面報(bào)道已經(jīng)轉(zhuǎn)化為客戶和IT專業(yè)人士之間的艱難對(duì)話———無論您是自己完成所有工作，還是尋求云服務(wù)提供商（CSP）的幫助。事實(shí)上，如果您是一名IT開發(fā)人員、買方或可能受到網(wǎng)絡(luò)犯罪影響的人員（基本上是我們所有人），對(duì)數(shù)據(jù)安全性有一個(gè)粗略的了解是這項(xiàng)工作必不可少的一部分。否則，就會(huì)把自己或公司置于危險(xiǎn)之中。

為2020年做準(zhǔn)備

解決此問題的第一步就是承認(rèn)它的存在，這就是許多組織在2020年為應(yīng)對(duì)網(wǎng)絡(luò)犯罪正在做的事情。我們防范網(wǎng)絡(luò)犯罪的能力正在提高，因?yàn)楦鹘M織在安全方面投入了更多的資金，并將其戰(zhàn)略重點(diǎn)放在了安全方面。其中一種策略稱為“零信任”，它將技術(shù)、服務(wù)、人員和流程合并到一個(gè)包含多層防御的內(nèi)聚方法中。

由Forrester Research在10年前開發(fā)的零信任安全模型可以總結(jié)為“從不信任，總是驗(yàn)證”。換句話說，不管是否嘗試從組織的網(wǎng)絡(luò)內(nèi)部或外部連接到系統(tǒng)或數(shù)據(jù)，未經(jīng)驗(yàn)證都不允許訪問。零信任是必要的，因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)安全已經(jīng)無法保證數(shù)據(jù)安全不受當(dāng)今先進(jìn)威脅的影響。

實(shí)現(xiàn)零信任的4種方法

舉個(gè)例子：如果你從正門進(jìn)入房子，希望能夠進(jìn)入里面的所有房間，在一個(gè)零信任的世界中，就不一定能夠?qū)崿F(xiàn)，事實(shí)上，沒有進(jìn)一步的許可，你可能都無法通過入口。

為了達(dá)到零信任所需的安全級(jí)別，建議依賴4個(gè)核心：物理安全、邏輯安全、流程和第三方認(rèn)證。

物理安全

物理安全仍然是第一層防御。物理數(shù)據(jù)中心（無論是在本地還是在云中），都是客戶數(shù)據(jù)的中心。因此，它也應(yīng)該是防范網(wǎng)絡(luò)盜竊的主要防御手段。應(yīng)該對(duì)您或您CSP管理的所有數(shù)據(jù)中心給予同等的優(yōu)先級(jí)和關(guān)注，并在所有物理資產(chǎn)上應(yīng)用一致的安全標(biāo)準(zhǔn)。包括主動(dòng)監(jiān)控，通過批準(zhǔn)的訪問列表控制對(duì)所有設(shè)施的訪問，以及安全的環(huán)境因素，如電力、冷卻和滅火。

邏輯安全

邏輯安全是指技術(shù)配置和軟件的許多不同層，它們創(chuàng)建了安全穩(wěn)定的基礎(chǔ)。在層方面，邏輯安全應(yīng)用于網(wǎng)絡(luò)、存儲(chǔ)和程序管理層。您或者您的CSP的位置，應(yīng)該在每一層中提供盡可能多的安全性。一定要提前咨詢您的CSP，以確保邏輯安全性得到了正確的處理。

流程

沒有經(jīng)過培訓(xùn)和有經(jīng)驗(yàn)的人員，任何安全解決方案（無論是物理的還是邏輯的）都是無效的。如果管理系統(tǒng)的人員不了解如何在為保護(hù)各種系統(tǒng)而建立的控制中工作，那么解決方案將失敗。簡(jiǎn)單地說，你不會(huì)在一個(gè)家庭安全系統(tǒng)上花費(fèi)過多資金，然后把房子的鑰匙從門鎖上伸出來。員工背景檢查、安全性和遵從性培訓(xùn)、定期訪問審查、針對(duì)基礎(chǔ)設(shè)施的年度滲透測(cè)試，以及所有系統(tǒng)的定期補(bǔ)丁計(jì)劃，這些都是實(shí)施正確流程的關(guān)鍵。

第三方認(rèn)證

來自第三方驗(yàn)證的信心不能被夸大。即使是最安全的組織也可以從附加的審查中受益。您或您的CSP應(yīng)該考慮遵守以下一些框架和標(biāo)準(zhǔn)：HIPAA，HITRUST，SSAE16，ITIL，GDPR，CSA STAR，CJIS等。

未來

僅在2019年，就有無數(shù)的“內(nèi)鬼”利用有效憑證，對(duì)公司內(nèi)部造成巨大損害的例子。與外部安全威脅（勒索軟件、惡意軟件等）相關(guān)的安全風(fēng)險(xiǎn)似乎每天都在增長(zhǎng)，您會(huì)明白為什么客戶在他們的IT組織中追求零信任策略。

進(jìn)入2020年重要的是要認(rèn)識(shí)到網(wǎng)絡(luò)犯罪會(huì)在數(shù)量、影響和復(fù)雜性上增加。這并不意味著我們無能為力，卻意味著我們需要改變，零信任策略可以幫助解決這個(gè)問題。