意识到但并未做好准备 – 企业努力建立网络防御

Joe Danielson

网络攻击因其攻击不同的目标占领了最近的新闻版面,从航空公司保健公司市议会和银行。但似乎许多企业并未跟上网络罪犯的步伐。最近,我们与合作伙伴 Genetec 对 175 位视频监控系统的终端用户展开了调查,以便更好地了解网络安全的状态。

 

以下是主要的调查结果:

  • 如今,许多公司认识到网络安全及其潜在影响。实际上,87% 的受访者称,他们的公司将网络安全视为其业务的重要风险来优先对待;
  • 但仅有少数公司 (15%) 觉得他们已做足准备以减少网络威胁;
  • 虽然 76% 的受访者表示,资产的物理保护和安全是他们的主要职责,但他们都没有将内部攻击因素视为网络安全的威胁,这一点不同于传统的系统。

然而,最后一种见解与国际研究结果形成了鲜明对比,研究认为意外或故意的人为错误、配置不佳的系统和维护不良的系统是最常见的弱点。例如,IBM X-Force 威胁情报指数 2018 把三分之二的受攻击记录归因为人为错误。这一说法得到早期 IBM 研究结果的进一步支持,结果把超过 95% 的成功攻击归因为内部因素。

另外一个有趣的发现是,大约 60% 的受访者把责任推给传统系统。尽管这些系统是一个明显的短板,但实际上,最新部署的固件和软件版本与旧版本一样都会面临网络威胁。毕竟,从来没有一种人造产品是 100% 安全的。

这揭示了一个常见的误解:产品安全是减少漏洞和威胁的唯一方式。相反,企业需要在许多方面管理人到机器和机器到机器的网络风险。那是因为网络安全是一种跨越用户、维保公司、安装公司、制造商和咨询公司等的共同责任。

系统用户和管理员需要将明确的政策、过程和流程落实到位,以确保每天都执行正确的安全措施。存在哪些设备和系统?谁对它们负责?何时及如何维护它们?随后将重点放在网络安全系统的设计、部署和维护上。通常,这意味着咨询公司需要根据系统使用期限建议正确的网络安全特点和属性。负责部署和维护系统的通常是集成商、安装公司或专业咨询公司;它们需要可靠的寻找和部署视频监控系统、设备和组件的过程,以及维护所有相关安全系统的过程。

 

对于设备制造商,这意味着:

  • 在设计、开发和测试我们的产品方面,应用网络安全最佳实践以尽量降低攻击事件中可能被利用的缺陷风险。
  • 提供有关如何安全地部署和维护产品的明确指示。
  • 提供能通过简单实惠的方式应用网络安全控件的设备管理工具,例如管理设备库存、密码、固件升级以及 HTTPS 和 IEEE 802.1x 证书等。
  • 当发现重要漏洞时,立即将漏洞和可用补丁告知合作伙伴和渠道。

许多调查受访者似乎缺乏一种综合方式来管理他们会遇到的所有各种各样的网络威胁。同时,一些受访者看来似乎会受最新的网络攻击头条新闻的影响。但大多数报纸和新闻媒体都关注复杂的攻击,它们当然会使用引人注目的标题,以促进销售订阅。不让最常见的风险有空可钻,包括:故意或意外的系统误用、配置不佳的系统和维护不良的系统。

处理这些风险需要一种更加实际且持续的方式,例如与受过正确网络安全培训的人员密切合作,以及针对系统各方面设置明确且可执行的政策、过程和流程。适应这种综合思维是管理所有各种类型网络安全威胁的唯一有效方法。

或许您已经在通往更佳网络安全的路上,又或许您已经开始意识到它的重要性。无论是哪种,最重要的是您和您的组织每天采取的措施。

不确定从哪里开始?

网络安全简单指南