安全控制是通过实施相关参数来保护对组织而言十分重要的各种形式的数据和基础架构。 为避免、检测、缓解或最小化安全风险而对实物资产、信息、计算机系统或其他资产所实施的任何类型的保护措施或对策,都属于安全控制。
如今,随着网络攻击的不断增加,安全控制比以往更加重要。 马里兰大学 Clark School 的一项研究将表明,在美国,平均每 39 秒就发生一次网络安全攻击,每年影响三分之一的美国人;其中 43% 的攻击锁定小型企业。 2021 年 3 月至 2022 年 3 月期间,美国数据泄露的平均成本高达 944 万美元。
同时,数据隐私法规越来越多,因此企业必须加强其数据保护政策,否则将可能面临相应处罚。 欧盟去年已实施严格的《通用数据保护条例》(GDPR) 规定。 在美国,《加州消费者隐私法案》于 2020 年 1 月 1 日生效,此外,还有其他若干州正在考虑推出类似措施。
这些法规通常规定,公司不满足所述要求将会面临严厉惩罚。 例如,Facebook 最近报告称,预计美国联邦贸易委员会将对 Facebook 因缺乏数据保护政策而导致的多起数据泄露事件提出超过 30 亿美元的罚款。
安全控制系统,包括用于定义这些控制的实施和持续管理的流程和文档,统称为框架或标准。
借助框架,组织能够根据普遍接受且经过检验的方法,跨不同类型的资产实施一致的安全控制管理。 一些著名的框架和标准包括:
美国国家标准技术研究院网络安全框架
美国国家标准技术研究院 (NIST) 于 2014 年制定了一个自愿框架,就如何防范、检测和应对网络攻击为组织提供相关指导。 这些评估方法和程序用于确定组织的安全控制措施是否正确实施,是否按预期运行,并达成所需结果(符合组织的安全要求)。 该 NIST 框架一直在不断更新,与网络安全进步保持同步。
互联网安全中心控制措施
互联网安全中心 (CIS) 制定了一个高优先级防御措施列表,为每个想要防范网络攻击的企业提供了一个“必须做、优先做”的起点。 制定 CIS 控制措施的 SANS 研究所表示:“CIS 控制措施之所以有效,是因为这些措施是根据主要威胁报告重点指出的最常见攻击模式设计出来的,并且经过了众多的政府和行业从业者的审查。”
组织可以参考这些措施和其他框架来开发他们自己的安全框架和 IT 安全政策。 一个完善的框架应确保组织能够做到以下几点:
- 通过安全控制强制实施 IT 安全政策
- 向员工和用户开展安全准则培训
- 符合行业与合规规定
- 通过安全控制提高运营效率
- 持续评估风险,并通过安全控制解决风险
一个安全解决方案是否强大取决于其最薄弱的环节。 因此,您应该考虑多层安全控制(也称为深度防御策略),跨身份和访问管理、数据、应用、网络或服务器基础架构、物理安全和安全智能实施安全控制。
安全控制评估是一个非常有用的初始步骤,能够确定哪些地方存在漏洞。 通过安全控制评估,您可以评估现有的控制措施,并确定这些措施的实施是否正确、是否按预期运行并达到了您的安全要求。 NIST 出版了 NIST 特别出版物 800-53,作为成功安全控制评估的基准。 NIST 准则作为一种最佳实践方法,可以帮助贵组织减轻发生安全入侵事件的风险。 贵组织也可以自行制定安全评估方法。
制定安全评估方法的一些关键步骤包括:
- 确定目标系统:创建网络中需要扫描的 IP 地址列表。 该列表应包含组织网络中所有连接的系统和设备的 IP 地址。
- 确定目标应用:列出要扫描的 Web 应用和服务。 确定要用于构建现有应用的 Web 应用服务器、Web 服务器、数据库、第三方组件和技术的类型。
- 漏洞扫描及报告:将所有评估活动告知网络团队和 IT 团队,因为当目标服务器载入请求时,漏洞评估可能会导致网络流量骤增。 此外,在整个组织网络中为扫描程序 IP 获得未经验证的直通权限,并确保这些 IP 在 IPS/IDS 中被列入白名单。 否则,扫描程序可能会触发恶意流量警报,导致其 IP 被封。
阅读更多信息,了解企业如何自行制定安全评估方法来评估应用和网络的漏洞。
《数据泄露成本报告》现已进入第 17 个年头,2022 年的报告就不断扩大的网络威胁态势提供了最新洞见,并就如何减少响应时间和降低损失提供了建议。
了解什么是 DDoS 攻击、其工作原理以及它们对应用和用户体验有何影响。