2020年的网络安全:从安全代码到深度防御

自2014年以来,信息管理协会的权威调查IT趋势研究数据显示,CIO在面对IT管理问题时,已经将网络安全提升至数一数二的位置了。然而,在2013年,同样的调查中,网络安全还只是第七的位置。一年的时间发生了什么?那不得不提的事件应该是臭名昭著的Target数据泄露事件了,该事件直接导致1850万美元的罚款和Target首席执行官的离职。

[[315550]]

自那之后发生的一系列的数据泄露事件就像开了阀门的水闸,倾涌而出,Target事件简直是小巫见大巫,不足为奇。这给大家传达了一个信息:年复一年,随着网络威胁事件的数量和严重程度不断攀升,促使企业倒闭的数据泄露风险似乎越来越高。

如今,企业的首席安全官们就像握着这个烫手的山芋一样。有些人被迫采用一种单点解决方案来应对每一个新的威胁,而这种解决方案直接参与了安全软件行业的营销策略。然而,任何组织的网络安全预算都是有限的。CSO如何最有效地分配其安全防御资源?

简单的答案有两个:合理地确定风险的优先级,同时充分利用现有的有效防御措施。在大多数组织中,无可争辩的是未修补的软件和社会工程(包括网络钓鱼)风险最高,其次是密码破解和软件配置错误。减少政策因素和运营障碍,确保及时进行补丁修复,建立有效的安全意识计划,培训操作人员锁定配置并实施两因素身份验证,这样企业将大大降低总体风险。

当然,任何人都可以避免其他重大风险和漏洞。例如,如果是一家电力公司,那么负责人需要了解对关键基础设施针对性很强的威胁,以及如何防御这些威胁。当黑客真正入侵组织系统之后,在系统内部进行身份验证的零信任措施则发挥作用,阻止攻击。

[[315551]]

将风险管理日常化

自软盘时代以来,恶意软件和黑客攻击就一直困扰着计算机用户。然而,近几年,又出现了一种新的威胁,创新压力下的技术漏洞。在CIO撰稿人Bob Violino的《安全vs 创新:IT行业最棘手的权衡》文章中就揭示了数据化变革时代的阴暗面,文章的核心观点就是如果以安全和隐私为代价,那么中变革性的创举也将会失败,而且还可能会以惊人的方式失败。所以在创新时也要考虑到安全架构,这样子不但有利于整体创新的成功还会增加最终成果的吸引力。

InfoWorld特约编辑Isaac Sacolick在《如何将安全性引入灵活开发和CI / CD中》一文中从软件开发的角度详细探讨了该主题。开发人员往往会认为安全性不是他们的问题,而是将这个责任推到安全团队身上,而安全团队是在后期才参与到开发过程中来的,因此无法注意到在构建应用程序时,业务流程中存在的漏洞。DevSpsOps是DevOps的产物,这让安全性成为开发人员和操作人员的主要关注点,不仅避免了代码缺陷,而且还使安全测试自动化,并在应用程序投入生产后对其进行监控。

《计算机世界》高级记者Lucas Mearian也在《UEM最终会在漫长的求爱之后嫁给安全》一文中探讨过将安全集成到软件中的话题。过去,使用MDM(移动设备管理),EMM(企业移动管理)或最新版本UEM(统一的端点管理)来管理移动或桌面设备,这与端点安全管理重叠了,但仍需要单独进行。据Lucas说,供应商现在将两者合并在一起,以“提供一个集中化的策略引擎,用单个控制台管理和保护公司的笔记本电脑和移动设备。”在某些情况下,这种发展涉及了机器学习算法,该算法基于一些参数自动为用户分配安全策略,比如地理位置、使用的设备类型以及网络连接是公共的还是私有的等。

然而,尽管有时候新的网络安全技术大张旗鼓地出现,而有些用户仍毫不知情。Network World的撰稿人Zeus Kerravala在《IT专业人员应该了解但可能不知道的5种防火墙功能》中,揭开了现代防火墙的神秘面纱,从网络分段到策略优化再到DNS安全。不费吹灰之力就充分利用了防火墙的功能, Zeus在书中提供了合理、详细的建议。

[[315552]]

最后,我们所有人都必须做好准备,抵御当下时代最恶劣的外部威胁——勒索软件。CSO高级作家Lucien Constantin 在《更具针对性、更复杂、更昂贵:为什么勒索软件可能是最大的威胁》一文中警告我们,勒索软件已变得如此隐秘和复杂,可以与高级持续威胁(APT)相媲美。此外,最近的安全事件也证明,勒索软件攻击者的目标已从勒索个体用户转移到了能够提供更多赎金的企业组织。这个问题有多严重?FBI表示,虽然事件数量一直相对平稳,但支出却更高。由于组织不愿报告勒索软件的勒索事件,因此没人真正知道具体情况。

网络安全可能是一门沉闷的科学。随着威胁的增加,甚至民主机构也受到攻击,似乎不仅是制度,而且文明本身也在受到围攻。但是在这种情况下,只能鼓励CSO及其企业组织加倍努力地开发出更为先进的安全防御体系。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/122762.html<

(0)
管理的头像管理
上一篇2025-02-22 12:07
下一篇 2025-02-22 12:08

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注