主页
topics
信息安全
更新日期:2024 年 7 月 26 日
撰稿人:Jim Holdsworth、Matthew Kosinski
信息安全 (InfoSec) 是指保护重要信息免遭未经授权的访问、披露、使用、更改或中断。它可帮助确保敏感的组织数据可供授权用户的使用、保持机密并保持其完整性。
我们需要保护信息资产,其中可能包括财务、机密、个人或敏感数据。这些资产可以采用数字文件和数据、纸质文档、物理介质甚至人类语音的形式。在整个数据生命周期中,InfoSec 负责监督基础架构、软件、测试、审计和归档等功能。
基于数十年的原则,信息安全不断发展,以保护日益混合的多云环境,对抗不断变化的威胁态势。鉴于这些威胁不断变化的性质,多个团队需要共同努力,更新该防御中使用的技术和流程。
数字信息安全,也称为数据安全,是当今信息安全专业人员最关注的问题,也是本文的重点。
术语信息安全、IT 安全、网络安全和数据安全经常(也是错误地)互换使用。虽然这些领域相互重叠并相互借鉴,但它们主要在范围上有所不同。
IT 安全还涉及保护物理和数字 IT 资产和数据中心,但不包括对纸质文件和其他介质存储的保护。它侧重于技术资产,而不是信息本身。
网络安全侧重于保护数字信息系统。目标是帮助保护数字数据和资产免受网络威胁。虽然网络安全是一项艰巨的任务,但它的范围很窄,因为它不涉及纸质或模拟数据的保护。
数据安全是一种实践,用于保护数字信息在整个生命周期中免遭未经授权访问、损坏或盗窃。它包括硬件和存储设备的物理安全,以及管理和访问控制。它还涵盖软件应用程序以及组织策略和程序的逻辑安全性。
利用 IBM Security X-Force Threat Intelligence 指数,更快且更有效地准备和应对网络攻击。
数据为世界经济提供了巨大动力,网络罪犯深知此类数据的价值。意在窃取敏感信息的网络攻击(或者在勒索软件的情况下,将数据作为人质)已经变得越来越普遍,极具破坏性且代价高昂。面对这些威胁,InfoSec 实践和原则可帮助确保数据安全。
根据 IBM 的《数据泄露成本报告》,2023 年数据泄露的平均总成本已创下新高,达到 445 万美元。这一数字较 2020 年报告中的 386 万美元增加了 15.3%。
数据泄露会在多各方面为受害者造成损失。意外停机时间会导致业务损失。当客户的敏感信息被泄露时,公司往往会失去客户,并遭受重大、有时甚至无法弥补的声誉损害。窃取知识产权会损害公司的盈利能力,并削弱其竞争优势。
数据泄露受害者还可能面临监管罚款或法律处分。《通用数据保护条例》(GDPR) 等政府法规和《健康保险流通和责任法案》(HIPAA) 等行业法规均要求公司保护其客户的敏感信息。否则可能会导致巨额罚款。
企业在信息安全技术和人才方面的投资比以往任何时候都要多。根据《数据泄露成本报告》,51% 的组织计划在发生泄露事件后增加安全投资。
确定需要额外投资的首要领域包括事件响应 (IR) 规划和测试、员工培训以及威胁检测和响应技术。进行大量安全 AI 和自动化投资的组织报告指出,与不使用安全 AI 和自动化功能的组织相比,数据泄露成本降低了 176 万美元。
监督信息安全工作的首席信息安全官 (CISO) 已成为企业高级管理层的固定成员。
对持有高级信息安全认证的信息安全分析师的需求正在上升,例如 (ISC)² 的认证信息系统安全专业人员 (CISSP) 认证。美国劳工统计局预计,截至 2032 年,信息安全分析师的就业人数将增长 32%。1
信息安全实践基于一系列已有数十年历史且不断发展的原则:
CIA 三要素由美国国家标准与技术研究院 (NIST) 于 1977 年首次提出,旨在指导企业选择技术、策略和实践来保护其信息系统。CIA 三要素包括:
机密性是指确保各方无法访问他们无权访问的数据。
机密性是一个用户连续统一体,从有权访问公司大部分数据的特权内部人员,到获得授权的外部人员,仅限查看公众获得允许查看的信息。
个人信息应该保持私密。敏感数据就是敏感数据。如果未经授权的人获取了受保护数据的密码,那将构成保密漏洞。
完整性是指确保公司数据库中包含的所有信息完整准确。
完整性工作旨在阻止人们篡改数据,例如未经授权的添加、更改或删除。数据完整性适用于从防止对手故意篡改数据到防止善意用户以未经授权的方式篡改数据。
可用性是指确保用户可以在需要时访问他们已获得授权访问的信息。
可用性规定,信息安全措施和策略不应干扰授权的数据访问。可用性的大部分内容都很简单,例如努力确保硬件和软件的稳健性,以防止组织的站点出现故障。
在信息系统中,实现数据的机密性、完整性和可用性的持续过程被称为“信息保障”。
不可否认性是指用户不能抵赖(即否认)进行了交易,例如更改数据或发送消息,因为用户首先需要通过身份验证才能执行交易。
虽然从技术上讲,不可否认性不是 CIA 三要素的一部分,但它确实结合了信息机密性和完整性的各个方面。不可否认性涉及确保只有授权用户才能处理数据,并且他们只能以授权的方式使用或修改数据。
信息安全专业人员通过创建信息安全计划,将 InfoSec 原则应用于信息系统。这些计划是旨在实施信息保障的信息安全政策、保护措施和计划的集合。
信息安全计划的核心组件可能包括:
漏洞是信息技术 (IT) 基础架构中的任何弱点,对手可以利用这些弱点对数据进行未经授的访问。例如,黑客可以利用计算机程序中的错误将恶意软件或恶意代码注入到其他合法的应用程序或服务中。
人类用户也可能成为信息系统中的漏洞。例如,网络罪犯可能会通过网络钓鱼等社会工程攻击来操纵用户共享敏感信息。
威胁是指任何可能危及信息系统机密性、完整性或可用性的因素。
网络威胁是指利用数字漏洞的威胁。例如,拒绝服务 (DoS) 攻击就是一种网络威胁,网络罪犯通过流量淹没了公司的一部分信息系统,导致其崩溃。
威胁也可以是物理威胁。自然灾害、人身或武装攻击,甚至系统性硬件故障,均被视为对公司信息系统的威胁。
事件响应计划 (IRP) 通常指导组织应对事件的工作。
计算机安全事件响应团队 (CSIRT) 通常会在整个组织的利益相关者的参与下创建和执行 IRP。CSIRT 的成员可能包括首席信息安全官 (CISO)、首席 AI 官 (CAIO)、安全运营中心 (SOC)、IT 人员以及来自法律、风险管理和其他非技术学科的代表。
IRP 详细说明了组织在检测到重大威胁时采取的缓解措施。尽管 IRP 因制定组织及其针对的威胁而有所不同,但常见步骤包括:
信息安全计划使用多种不同的工具和技术来应对特定威胁。常见的 InfoSec 工具和技术包括:
加密使用算法来隐藏信息,以便只有具有解密权限和能力的人才能读取它。
DLP 策略和工具跟踪整个网络中的数据使用和移动,并实施精细的安全策略以帮助防止数据泄露和丢失。
EDR 解决方案持续监控每个设备上的文件和应用程序,寻找表明恶意软件、勒索软件或高级威胁的可疑或恶意活动。
防火墙是一种软件或硬件,可以阻止可疑流量进入或离开网络,同时允许合法流量通过。防火墙可以部署在网络边缘,也可以在内部使用,将较大的网络划分为较小的子网。如果网络的一部分遭到入侵,将阻止黑客访问其余部分。
ISMS 包括帮助组织保护敏感数据和应对数据泄露的准则和流程。制定指导原则还有助于在人员发生重大更替时保持工作的连续性。ISO/IEC 27001 是广泛使用的 ISMS。
SOC 由一支 IT 安全专业人员团队统一和协调所有网络安全技术和运营,致力于全天候监控 IT 基础架构的安全。
双因素身份验证 (2FA) 和多因素身份验证 (MFA) 是一种身份验证方法,用户必须提供多项证据来证明其身份并访问敏感资源。
威胁情报可帮助安全团队更加主动,使他们能够采取有效的数据驱动行动,在网络攻击发生之前予以防止。
各组织面临着一长串潜在的信息安全威胁。
这些攻击可以尝试从多个方向破坏组织的数据,包括高级持续威胁 (APT) 攻击、僵尸网络(机器人网络)、分布式拒绝服务 (DDoS)、“路过式”下载攻击(自动下载恶意代码)、恶意软件、网络钓鱼、勒索软件、病毒和蠕虫。
人们可能会丢失装有敏感信息的移动设备、在公司设备上访问危险网站或使用易于破解的密码。
在没有足够的防病毒或端点安全解决方案的情况下,任何笔记本电脑、移动设备或 PC 都可能成为组织 IT 系统的入口点。
内部威胁有两种类型。
根据 X-Force Threat Intelligence 指数 报告,32% 的安全事件涉及恶意使用合法工具。这些事件包括凭据盗窃、侦察、远程访问和数据渗漏。
组织依赖于各种 IT 平台和工具,包括基于云的数据存储选项、基础架构即服务 (IaaS)、软件即服务 (SaaS) 集成和来自各种供应商的 Web 应用程序。任何此类资产的配置不当都可能带来安全风险。
此外,供应商或内部的变化可能会导致“配置漂移”,即有效设置会过时。
X-Force Threat Intelligence 指数 报告指出,在渗透测试活动期间,客户端环境中最常见的 Web 应用程序风险是安全配置错误,占总数的 30%。
社会工程攻击诱骗员工泄露敏感信息或密码,从而为恶意行为打开方便之门。
此外,员工在试图通过社交媒体宣传组织时,可能会错误地泄露过多个人信息或业务信息,从而被攻击者利用。
强大的 InfoSec 计划的优势可以帮助整个组织的团队实现:
关键业务信息可以得到更有效的保护和存储,以便在安全事件发生后重新启动。
企业级安全系统使组织能够针对不同级别的数据采取适当的措施,从而有机会避免在敏感度较低的数据的安全方面超支。
当更清晰地标注数据的敏感度,且有更安全的流程时,员工能够更好地恰当地处理信息。
安全漏洞对企业不利。安全事故不仅可能带来直接损失,还可能丧失公众信任。
通过事件响应计划和系统,信息安全措施可以帮助防止安全事件和网络攻击,例如数据泄露和拒绝服务 (DoS) 威胁。
可以执行身份验证措施,以帮助保护敏感的个人和组织数据,包括财务和商业机密。灾难恢复计划可以准备就绪,以便更快地从安全事件中恢复。
除了直接的信息安全威胁之外,组织在构建和管理强大的 InfoSec 策略和系统时还面临多重挑战。
有了新的系统,人们可能会倾向于一走了之,满足于任务已经完成。但是,黑客技术不断增强,以跟上新的安全措施。维护和保护数据安全的任务很少是完整的,需要不断改进安全控制。
不断变化的技术环境需要复杂精密的系统,以及随时了解最新情况的 IT 团队,以便管理这些日益复杂的系统。这包括与物联网 (IoT) 和所有移动设备安全地交换信息。
复杂性可能会耗费时间:一些 IT 团队发现他们的主要工作就是不断地重新配置和维护安全系统。
世界各地的企业可能使用不同的计算机系统,具有不同的信息安全级别,遵循不同的法规。所有这些使得安全的全球数据交换变得越来越困难。
锁定所有信息可能会中断所有业务进展。困难的平衡在于在组织内实现建设性的数据流,同时保持组织内的数据安全并妥善使用数据。
根据安全级别的不同,将信息系统与第三方供应商或其他合作伙伴进行集成可能会很困难,或者会产生新的安全风险。
1《职业前景手册:信息安全分析师》(ibm.com 外部链接),美国劳工统计局,2024 年 4 月 17 日。