目录:
视频: 2009.1.17å³å¿å¯§ï¼ ä¸é¶¯ï¼å ¨å¿å ¨ææä½ (十一月 2024)
我在华盛顿特区与前国家网络安全沙皇理查德·克拉克(Richard Clarke)一起吃晚餐,他现在是Good Harbor Security Risk Management的主席兼首席执行官,当时他解释说良好的边界安全不足以保护您的网络。 克拉克解释说:“坏人已经在您的网络中了。”
分层安全性是您之前可能已经听说过的,但是对于许多IT人士来说,这仍然是个谜。 您如何创建安全层? 您如何确定需要多少层? 层应保护什么? 可以有太多层吗?
答案将取决于您的网络,业务性质和风险程度。 但是请务必记住,您的风险水平可能会受到业务合作伙伴的影响。 因此,例如,如果您是供应商或承包商,则您的风险等级将与他们的风险等级相同,因为这些坏蛋会尝试将您用作通往业务伙伴的途径。
层基于您需要保护的数据。 这意味着您需要确保数据已保存,并且还需要确保无法从您的数据中获取数据。 而且,当然,您需要确保网络受到保护免受损害,以免影响您的业务。
保存您的数据
数据保存是第一关键层。 这要求您确保将重要数据的副本保存在安全的存储中,以防止黑客或其他人(包括心怀不满的员工)无法访问这些数据。 对于大多数公司而言,此类备份应存在于数据中心中,您可以在需要时轻松地获得它们,也可以存在于云中,因为篡改更加困难。 有许多可处理备份的公共云服务,包括Amazon Web Services(AWS),Google Cloud和IBM Cloud,以及专用备份服务,例如Carbonite,该公司最近收购了竞争对手Mozy。
然后可以将这些备份备份到地理位置不同的位置,这有助于确保它们不会在一次灾难中受到损害。 通常,整个备份过程可以自动化,因此,一旦全部设置完毕,您唯一需要做的就是根据需要确认备份的完整性。
然后是数据保护,这意味着如果有人找到它,它必须不可访问且无法使用。 为了使数据不可访问,您需要对网络进行分段,以便获得对网络某一部分的访问权限并不意味着您可以访问所有内容。 例如,当Target在2013年通过其HVAC系统遭到破坏时对其网络进行了分段,那么黑客就无法访问其他数据。
网络分段要求路由器默认情况下拒绝访问,并且仅允许来自特定网络节点的网络连接,这些路由器通过使用其媒体访问控制(MAC)或IP地址进行过滤。 内部防火墙也可以执行此功能,并且在复杂的应用程序中可能更灵活。
忽略加密是一个大错误
除了分段外,还必须对数据进行加密,无论是在网络上传输还是存储数据。 加密很容易实现,因为默认情况下,加密是在无线和云访问软件中执行的,并且所有现代操作系统(OS)都将加密作为标准服务提供。 但是,对关键数据进行加密失败可能是导致近期数据泄露中数据丢失的唯一最大原因。
尽管在许多情况下有法律要求,但未加密此类数据的原因可以归纳为四个词:懒惰,无能,无知和愚蠢。 无法加密数据根本没有任何借口。
最后,还有网络保护。 除了保护数据外,还需要确保您的网络没有被用作发起攻击的平台,并且还需要确保网络设备没有受到攻击。 对于包含仓库或工厂中的机器控制器的网络而言,这尤其是一个问题,而与物联网(IoT)设备有关的则是一个问题。
- 不要破坏自己的安全性,培训用户不要破坏自己的安全性,培训用户
- 开始从消费者级别的物联网威胁保护您的网络开始从消费者级别的物联网威胁保护您的网络
- 查找和修复网络外围的安全性查找和修复网络外围的安全性
这是一个主要问题,因为如此多的网络设备自身几乎没有安全性。 因此,将它们用作发起拒绝服务攻击(DoS攻击)或虹吸其数据的平台,以对公司的运营进行监视的方式相当容易。 它们还可以用作针对您的网络的操作基础。 由于您无法消除这些设备,因此您能做的最好的事情就是将它们放在自己的网络上,尽可能多地保护它们,然后不要让它们直接连接到您的内部网络。
在这里,我们讨论了几层,在某些情况下,您的网络可能需要更多。 但是重要的是要记住,每一层都需要管理,并且每一层所需的保护必须与其他安全层一起存在于网络中。 这意味着让您的人员来管理每一层至关重要,并且每一层的安全性都不会对另一层的安全性产生不利影响。
避免今天的解决方案也很重要,这意味着一次性安全性可以应对特定威胁。 很容易被一种安全的恶魔所吸引,并最终导致难以控制的混乱。 取而代之的是,选择一种基础广泛的方法,在这种方法中,当今的威胁将不再需要另一层。
