资讯

历史

科技

环境与自然

成长

游戏

财经

文学与艺术

美食

健康

家居

文化

情感

汽车

三农

军事

旅行

运动

教育

生活

星座命理

网络安全策略升级指南：应对新兴威胁与合规挑战

创作时间:

作者:

@小白创作中心

网络安全策略升级指南：应对新兴威胁与合规挑战

引用

来源

https://www.isaca.org.cn/knowledgebase/trends-and-insights/isaca-blog-2024%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E7%AD%96%E7%95%A5%E5%8D%87%E7%BA%A7%E6%8C%87%E5%8D%97%EF%BC%9A%E5%BA%94%E5%AF%B9%E6%96%B0%E5%85%B4%E5%A8%81%E8%83%81%E4%B8%8E%E5%90%88%E8%A7%84%E6%8C%91%E6%88%98

尽管网络安全形势不断演变，但制定符合公司目标和监管合规性的全面网络安全战略计划至关重要。值得注意的是，保持网络安全防护的与时俱进需要兼顾细节和全局。虽然监管合规性和地缘政治因素可以为网络安全规划提供宝贵的指导，但最终应应以公司的目标作为驱动力。在这篇博文中，我们将探讨一些增强网络安全策略的建议。

勒索软件2.0的兴起：双重勒索和数据盗窃

勒索软件2.0超越了数据加密的范围，引入了新的复杂性。与仅加密数据的传统勒索软件不同，勒索软件2.0更进一步，在加密之前窃取受害者的数据。即使受害者决定不支付赎金，这种恶意技术也为攻击者提供了筹码。在这种情况下，攻击者可以选择将被盗数据泄露给竞争对手或公开披露敏感的个人信息。

这种双重勒索方法放大了勒索软件攻击造成的损害，因为受害者不仅面临数据丢失的风险，还面临数据泄露造成的潜在声誉损害。勒索软件2.0的一个著名案例是 2021年5月对Colonial Pipeline的攻击。攻击背后的网络犯罪分子不仅加密了该公司的数据，还在发起赎金要求之前窃取了大量数据。该事件导致燃料供应中断，凸显了双重勒索手段的严重性。

此外，工业技术、运输和安全等关键系统可能越来越多地成为勒索软件攻击的目标。

不断扩大的攻击面：智能化设备、放大的漏洞

随着智能手机、智能家居设备和物联网 (IoT) 设备等互联设备的指数级增长，攻击面显著扩大。这些设备如果不安全，很容易成为网络攻击的目标，使攻击者能够破坏其他网络组件。组织必须主动强化其复杂且互连的IT环境。这包括及时修补漏洞、实施强大的身份验证措施以及隔离网络以遏制恶意软件的传播。

2016年发生的Mirai僵尸网络攻击是易受攻击的物联网设备如何被利用的一个典型例子。该攻击破坏了数千个物联网设备，例如摄像头和路由器，并利用它们发起大规模分布式拒绝服务（DDoS）攻击。此案例强调了保护所有连接设备以防止它们成为网络攻击入口点的重要性。

零信任安全：打破信任壁垒

零信任安全是一种主动安全模型，其运行前提是没有实体（包括网络内的实体）本质上是值得信赖的。在这种模式下，每个用户和设备在获得资源访问权限之前都必须经过身份验证和授权过程。随着组织过渡到云并采用混合工作模式，零信任变得越来越重要。这是由于防火墙等传统安全模型在这种动态环境中的有效性不断下降。

谷歌实施的零信任安全架构就是一个众所周知的例子。谷歌采用了一种模型，每个用户和设备，无论是在网络内部还是外部，都必须在访问资源之前进行身份验证和授权。此方法可确保不会自动授予信任，并通过验证身份和实施访问控制来增强安全性。

拥抱无密码的未来：降低安全风险

认识到密码固有的漏洞正在推动无密码身份验证的广泛采用。生物识别身份验证是一种使用个人独特的生物特征（例如指纹、面部识别、虹膜扫描和语音识别）来验证其身份的身份验证。生物识别身份验证被认为比传统密码更安全，因为它更难以伪造和复制。此外，生物识别身份验证提供了更大的便利，因为用户不需要记住密码或随身携带物理令牌。

一次性密码 (OTP) 是由设备或系统生成的临时代码，通常发送到用户的手机或电子邮件，必须输入该代码才能完成登录过程。与传统密码不同，OTP只能使用一次，并且是随机生成的，这使得它们更难以预测或窃取。OTP是一种流行的双因素身份验证 (2FA) 形式，通常与传统密码一起使用以提高安全性。

人工智能在网络安全中的双重作用：增强防御和进攻

人工智能 (AI) 的使用正在彻底改变网络安全格局，它具有开发先进防御机制的潜力，包括能够分析大量数据集以识别潜在攻击的威胁检测系统。然而，人工智能也被用来开发更复杂的网络攻击。网络犯罪分子正在利用人工智能来自动执行各种任务，包括检测软件漏洞、发起网络钓鱼攻击和规避传统安全措施。

为了更大的“网络”利益：加强产学研合作

这种协作方法不仅将提高网络安全成熟度的基线，还将带来新的视角和创新的解决方案。此外，它将有助于解决与熟练网络专业人员短缺相关的担忧。地方政府可以承担为其他级别的政府代理和管理集中式网络服务/解决方案的角色。这种方法将减轻那些“网络服务不足”的人的负担，并实现原本无法实现的规模效应。随着协作的增加和切实利益的实现，所涉及的各个实体之间的信任将继续增强。

这里的另一个细微差别是，利用人工智能进行全球劳动力发展可以为可持续的网络安全计划提供一条途径，使其成为未来的一项宝贵投资。安全编排、自动化和响应 (SOAR) 等传统自动化工具可以在一定程度上提供帮助，但人工智能工具提供了额外的力量倍增功能，可以主动管理SOAR。随着这些工具在特定环境中学习和改进，它们可以承担更多的日常任务，从而将有限的人力资源释放到需要独立思考的事情上。这对于漏洞管理、事件响应和网络防御等蓝队任务尤其重要。通过提高人工智能工具的功能，不仅网络安全专业人员可以受益，IT运营专业人员还可以承担更多网络职能，特别是在无力承担专职网络安全人员费用的组织中。

地缘政治冲突：网络安全影响的催化剂

正如地缘政治力量塑造全球经济一样，它们也可以对网络安全产生影响。例如，以色列和哈马斯之间持续的冲突可能会扰乱网络安全供应链。与此同时，乌克兰与俄罗斯的冲突对全球网络安全的影响也很大。其后续演变一旦尘埃落定，可能促使源自该地区的国家级威胁行为体重新活跃。由于资源丰富，这些攻击者会采用更复杂的攻击技术。虽然无法预测这些冲突的结果，但它们的展开和解决将对全球网络安全产生深远的影响。

合规格局

ISO 27001是全球公认的标准，深入研究信息安全管理，重点关注风险。通过ISO 27001认证的组织发现自己采用了持续的风险评估思维方式，这是当今动态威胁环境中的一个重要方面。通过细致入微的方法，整合ISO 31000风险管理原则，使实践与更广泛的组织风险战略保持一致。

除了业务连续性之外，ISO 22301:2019还提供了一个用于建立、实施和持续改进业务连续性管理体系的强大框架。它值得注意的是它适用于任何规模、行业或部门的组织。此外，它与ISO 9001和 ISO/IEC 27001等其他管理体系标准无缝对接，可以轻松集成到现有管理系统中。

考虑到地区差异，德国制定的BSI IT-Grundschutz虽然主要用于德语地区，但提供了适用于全球范围的原则。其定期更新可确保与不断变化的网络威胁保持一致，使其成为一种多功能选择。当与行业特定标准相结合时，IT-Grundschutz 成为创建定制安全框架的基石，可有效解决独特的组织风险。

网络安全战略优先级

企业必须优先考虑符合公司目标和监管合规性的全面网络安全战略计划。这篇博文重点介绍了主要趋势和挑战，包括双重勒索和数据盗窃的勒索软件2.0的兴起、连接设备导致的攻击面不断扩大、采用零信任安全措施的重要性、向无密码身份验证的转变、人工智能增强防御和进攻的能力，公共、私人和教育实体之间加强合作的必要性，以及地缘政治冲突对网络安全的影响。通过了解和解决这些问题，企业可以更好地防范网络威胁并保护其宝贵的资产。