企業(yè)不想看到他們出現(xiàn)在網(wǎng)絡(luò)安全漏洞的頭條新聞中,也不希望直言不諱的批評(píng)者損害他們的聲譽(yù),他們希望避免遭遇網(wǎng)絡(luò)攻擊、業(yè)務(wù)中斷和花費(fèi)大量費(fèi)用進(jìn)行恢復(fù)。
將網(wǎng)絡(luò)安全視為事后的想法或認(rèn)為在數(shù)字化轉(zhuǎn)型項(xiàng)目中安全是其他人應(yīng)該解決的問(wèn)題總是錯(cuò)誤的,它會(huì)遺漏一些可以避免的網(wǎng)絡(luò)安全漏洞,網(wǎng)絡(luò)攻擊者則會(huì)利用這些漏洞。
值得慶幸的是,企業(yè)可以采取一些措施來(lái)防范在實(shí)施數(shù)字化轉(zhuǎn)型中經(jīng)常出現(xiàn)的漏洞。以下是企業(yè)在實(shí)施數(shù)字化轉(zhuǎn)型的過(guò)程中可以采取的10大措施。
1.進(jìn)行IT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
為每個(gè)數(shù)字化轉(zhuǎn)型項(xiàng)目進(jìn)行IT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。項(xiàng)目的特點(diǎn)會(huì)影響到最高風(fēng)險(xiǎn)是什么。以下是經(jīng)常存在的風(fēng)險(xiǎn):
(1)內(nèi)部網(wǎng)絡(luò)安全防御的漏洞。
(2)應(yīng)用軟件或軟件即服務(wù)(SaaS)供應(yīng)商的網(wǎng)絡(luò)安全成熟度不夠。
(3)不同供應(yīng)鏈供應(yīng)商網(wǎng)絡(luò)安全成熟度。
(4)員工和承包商網(wǎng)絡(luò)安全意識(shí)水平參差不齊。
降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的典型應(yīng)對(duì)措施包括:
(1)多因素身份驗(yàn)證(MFA)。
(2)先進(jìn)的威脅檢測(cè)解決方案。
(3)更廣泛地使用加密技術(shù)。
(4)雇員和承包商網(wǎng)絡(luò)意識(shí)教育計(jì)劃。
2.了解合規(guī)義務(wù)
一些數(shù)字化轉(zhuǎn)型項(xiàng)目涉及受各種法規(guī)約束的流程和數(shù)據(jù),企業(yè)必須證明符合這些法規(guī)。關(guān)于用戶(hù)的隱私數(shù)據(jù)尤其敏感。網(wǎng)絡(luò)安全組成部分的主要法規(guī)示例如下:
(1)美國(guó)聯(lián)邦信息安全管理法案。
(2)歐洲通用數(shù)據(jù)保護(hù)條例(GDPR)。
(3)健康保險(xiǎn)攜帶與責(zé)任法案(HIPAA)。
(4)北美電力可靠性公司可靠性標(biāo)準(zhǔn)(NERC-CIP)。
(5)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST網(wǎng)絡(luò)安全框架)。
(6)ISO27001信息安全管理。
(7)ISO27002信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)。
(8)支付卡行業(yè)安全委員會(huì)的數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)。
(9)服務(wù)組織控制(SOC 2)類(lèi)型。
每一項(xiàng)規(guī)定都規(guī)定了企業(yè)必須遵守的要求。相關(guān)軟件供應(yīng)商通常會(huì)描述有助于數(shù)字化轉(zhuǎn)型項(xiàng)目規(guī)劃的實(shí)施和運(yùn)營(yíng)策略。
在數(shù)字化轉(zhuǎn)型項(xiàng)目的范圍內(nèi)包括實(shí)施適用法規(guī)的網(wǎng)絡(luò)安全要求的任務(wù)。
3.避免過(guò)度授權(quán)賬戶(hù)
大多數(shù)數(shù)字化轉(zhuǎn)型項(xiàng)目需要建立和管理最終用戶(hù)賬戶(hù)和角色,當(dāng)最終用戶(hù)被授予的權(quán)限和角色超過(guò)了他們執(zhí)行指定職責(zé)所需的數(shù)據(jù)和數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限時(shí),網(wǎng)絡(luò)攻擊者可以更容易地滲透到企業(yè)的IT系統(tǒng),從而造成嚴(yán)重破壞。
為了最大限度地降低設(shè)計(jì)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),數(shù)字化轉(zhuǎn)型團(tuán)隊(duì)?wèi)?yīng)該:
(1)設(shè)計(jì)具有多個(gè)角色的軟件,以限制任何一個(gè)角色的訪(fǎng)問(wèn)。
(2)為SaaS軟件的增強(qiáng)支付費(fèi)用,以增加角色的數(shù)量。
大多數(shù)數(shù)據(jù)庫(kù)管理軟件(DBMS)包都包含限制對(duì)表和列的訪(fǎng)問(wèn)的功能。對(duì)于數(shù)據(jù)庫(kù)管理員(DBA)人員來(lái)說(shuō),使用這一功能管理角色非常繁瑣且容易出錯(cuò),最終它會(huì)面臨失敗。
為了運(yùn)營(yíng)數(shù)字化轉(zhuǎn)型項(xiàng)目將交付的系統(tǒng),這一有限訪(fǎng)問(wèn)概念由以下方式實(shí)現(xiàn):
(1)集中管理所有權(quán)限。
(2)持續(xù)檢查權(quán)限,以識(shí)別錯(cuò)誤配置的權(quán)限、過(guò)度授權(quán)的帳戶(hù)和角色。
(3)考慮實(shí)施專(zhuān)門(mén)的軟件,提出建議,以迅速有效地糾正問(wèn)題權(quán)限。
這些措施共同降低了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
4.將網(wǎng)絡(luò)安全納入應(yīng)用軟件設(shè)計(jì)
數(shù)字化轉(zhuǎn)型項(xiàng)目通常設(shè)計(jì)、構(gòu)建和測(cè)試一些應(yīng)用軟件,而僅使用數(shù)據(jù)集成和應(yīng)用軟件包很難完成數(shù)字化轉(zhuǎn)型項(xiàng)目。
通過(guò)以下最佳實(shí)踐,將網(wǎng)絡(luò)安全功能納入自定義應(yīng)用軟件設(shè)計(jì),其中包括:
(1)維護(hù)軟件開(kāi)發(fā)環(huán)境的安全性。
(2)執(zhí)行廣泛的數(shù)據(jù)輸入驗(yàn)證。
(3)加密應(yīng)用程序正在創(chuàng)建的數(shù)據(jù)并實(shí)現(xiàn)HTTPS。
(4)包括認(rèn)證、角色管理和訪(fǎng)問(wèn)控制。
(5)包括審計(jì)和日志記錄。
(6)遵循配置虛擬服務(wù)器的最佳實(shí)踐。
(7)不要簡(jiǎn)化質(zhì)量保證和測(cè)試。
(8)隨著安全威脅的發(fā)展,升級(jí)應(yīng)用軟件。
(9)刪除不活躍的虛擬服務(wù)器和數(shù)據(jù)庫(kù)。
當(dāng)企業(yè)的數(shù)字化轉(zhuǎn)型應(yīng)用程序用于常規(guī)生產(chǎn)中時(shí),遵循這些最佳實(shí)踐將顯著地降低遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
5.限制對(duì)云管理控制臺(tái)的訪(fǎng)問(wèn)
具有云計(jì)算組件的數(shù)字化轉(zhuǎn)型項(xiàng)目將操作一個(gè)相關(guān)的管理控制臺(tái)。控制臺(tái)是網(wǎng)絡(luò)攻擊的熱門(mén)目標(biāo),因?yàn)檫@些控制臺(tái)控制著企業(yè)的云計(jì)算資源的所有方面。未經(jīng)授權(quán)使用這些強(qiáng)大的云計(jì)算控制臺(tái)可能會(huì)立即造成嚴(yán)重破壞或數(shù)據(jù)泄露。
對(duì)管理控制臺(tái)風(fēng)險(xiǎn)的最佳響應(yīng)是將對(duì)云計(jì)算管理控制臺(tái)的訪(fǎng)問(wèn)視為特權(quán)訪(fǎng)問(wèn)。這一最佳實(shí)踐由以下人員實(shí)施:
(1)要求最終用戶(hù)證明每次登錄的合理性,并跟蹤所有登錄,以快速識(shí)別異常、不適當(dāng)或欺詐性訪(fǎng)問(wèn)。
(2)授權(quán)每個(gè)用戶(hù)ID在指定的時(shí)間內(nèi)只進(jìn)行特定的、有限的訪(fǎng)問(wèn),以控制任何泄露的用戶(hù)ID可能造成的損害。
(3)采用單點(diǎn)登錄(SSO),以便最終用戶(hù)體驗(yàn)安全且無(wú)障礙的登錄。
(4)實(shí)現(xiàn)多因素身份驗(yàn)證(MFA),在授權(quán)訪(fǎng)問(wèn)云控制臺(tái)之前添加額外的保護(hù)層。
這些特權(quán)訪(fǎng)問(wèn)措施一起防止針對(duì)云計(jì)算管理控制臺(tái)的網(wǎng)絡(luò)攻擊。
6.確認(rèn)云計(jì)算服務(wù)提供商(CSP)的網(wǎng)絡(luò)安全防御策略
許多數(shù)字化轉(zhuǎn)型項(xiàng)目都包含云組件,該組件可以使用云計(jì)算服務(wù)提供商(CSP)運(yùn)營(yíng)的計(jì)算基礎(chǔ)設(shè)施,也可以使用SaaS提供商運(yùn)營(yíng)的云平臺(tái)。
由于大多數(shù)云計(jì)算服務(wù)提供商(CSP)運(yùn)營(yíng)廣泛的網(wǎng)絡(luò)安全防御策略,并將這項(xiàng)工作描述為有價(jià)值的客戶(hù)利益,大多數(shù)客戶(hù)不會(huì)在云計(jì)算網(wǎng)絡(luò)安全評(píng)估或測(cè)試上投入更多精力。
謹(jǐn)慎的做法是花費(fèi)時(shí)間和精力來(lái)確認(rèn)云計(jì)算服務(wù)提供商(CSP)的網(wǎng)絡(luò)安全防御策略的全面性。
7.評(píng)估SCADA/IIoT集成點(diǎn)
一些數(shù)字化轉(zhuǎn)型項(xiàng)目將SCADA/IIoT數(shù)據(jù)從OT基礎(chǔ)設(shè)施帶入IT系統(tǒng)領(lǐng)域,這兩個(gè)領(lǐng)域通常由具有不同任務(wù)和優(yōu)先級(jí)的不同企業(yè)高管管理。
評(píng)估數(shù)字化轉(zhuǎn)型項(xiàng)目的SCADA/IIoT集成點(diǎn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),這些集成點(diǎn)通常由管理職責(zé)模糊或不明確的服務(wù)器或網(wǎng)絡(luò)設(shè)備表示。因此,網(wǎng)絡(luò)安全防御措施可能參差不齊。
根據(jù)集成點(diǎn)評(píng)估的結(jié)論采取行動(dòng),它們通常包括明確角色和職責(zé)以及更新設(shè)備。
8.測(cè)試應(yīng)用程序編程接口
大多數(shù)數(shù)字化轉(zhuǎn)型項(xiàng)目開(kāi)發(fā)自定義應(yīng)用程序編程接口(API),用于集成數(shù)據(jù)庫(kù)或允許外部合作伙伴的軟件開(kāi)發(fā)人員訪(fǎng)問(wèn)公司計(jì)算環(huán)境中的特定應(yīng)用程序。
當(dāng)攻擊者發(fā)現(xiàn)這些API時(shí),他們可以很容易地創(chuàng)建軟件來(lái)導(dǎo)致數(shù)據(jù)泄露。應(yīng)對(duì)這一風(fēng)險(xiǎn)的措施是確保以下方面:
(1)徹底測(cè)試API軟件。
(2)更改授權(quán)憑證以定期訪(fǎng)問(wèn)API。
(3)記錄API的使用情況,并定期檢查日志。
(4)安全地存儲(chǔ)API源代碼,永遠(yuǎn)不要在開(kāi)源存儲(chǔ)庫(kù)中發(fā)布它。
(5)限制使用API的開(kāi)發(fā)人員指南的發(fā)行量,不要在網(wǎng)上發(fā)布。
9.評(píng)估技術(shù)變化
數(shù)字化轉(zhuǎn)型項(xiàng)目通常會(huì)對(duì)公司運(yùn)營(yíng)的信息技術(shù)套件進(jìn)行更改,新技術(shù)引入或消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
當(dāng)技術(shù)發(fā)生變化時(shí),公司的項(xiàng)目團(tuán)隊(duì)?wèi)?yīng)該更新其IT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,并根據(jù)新發(fā)現(xiàn)采取行動(dòng)。
10.進(jìn)行OT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
數(shù)字化轉(zhuǎn)型項(xiàng)目有時(shí)表明,運(yùn)營(yíng)技術(shù)(OT)領(lǐng)域并沒(méi)有像信息技術(shù)(IT)那樣受到網(wǎng)絡(luò)安全方面同樣的關(guān)注。在這種情況下,需要進(jìn)行OT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。
國(guó)際自動(dòng)化學(xué)會(huì)(ISA)標(biāo)準(zhǔn)《工業(yè)自動(dòng)化和控制系統(tǒng)安全:建立工業(yè)自動(dòng)化和系統(tǒng)安全計(jì)劃》(ISA-62443-2-1)為制定OT網(wǎng)絡(luò)安全投資的商業(yè)理論提供了有價(jià)值的指導(dǎo)。
通過(guò)將這10項(xiàng)行動(dòng)納入數(shù)字化轉(zhuǎn)型項(xiàng)目的范圍,公司可以大幅降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門(mén)戶(hù),同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)