網(wǎng)絡(luò)安全方法是否會造成系統(tǒng)漏洞

某企業(yè)最近發(fā)布了《2022年數(shù)據(jù)泄露調(diào)查報告》,為企業(yè)提供了關(guān)于全球網(wǎng)絡(luò)安全狀況的重要見解,分析了過去15年里超過2.3萬起事件和5200起已確認(rèn)的入侵事件,將網(wǎng)絡(luò)攻擊的首要動機(jī)歸因于經(jīng)濟(jì)利益。幾乎五分之四的違法行為是有組織犯罪所為,他們試圖通過保險賠付的方式,向企業(yè)勒索巨額。勒索軟件入侵增加了13%,這比過去5年的總和還要多。此外,82%的網(wǎng)絡(luò)入侵涉及人為因素,即通過竊取證書、網(wǎng)絡(luò)釣魚、濫用或僅僅是簡單的錯誤。

人們繼續(xù)在事件和違規(guī)行為中扮演著非常重要的角色。據(jù)悉,今年有18%的網(wǎng)絡(luò)釣魚郵件直接來自手機(jī),這突顯出這是商業(yè)安全的一個弱點(diǎn)。它的統(tǒng)計(jì)數(shù)據(jù)強(qiáng)調(diào)了擁有一個強(qiáng)大的安全意識項(xiàng)目的重要性。很明顯,私營企業(yè)和公共機(jī)構(gòu)迫切需要改變他們的網(wǎng)絡(luò)安全方法。提高安全意識固然好,但直接解決一個近二十年來無人問津的問題更好。訪問過程的系統(tǒng)性缺陷網(wǎng)絡(luò)安全界和媒體普遍認(rèn)為,網(wǎng)絡(luò)安全的主要問題是人。超過80%的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵可以追溯到憑證方面的人為錯誤,特別是憑證盜竊和濫用。然而,這種指責(zé)是錯誤的。想象一下,如果有一個路口,超過80%的事故發(fā)生,人們開始指責(zé)司機(jī),建議他們應(yīng)該接受訓(xùn)練,更好地駕駛。但其實(shí)需要改變的是路口的設(shè)計(jì),而不是人。系統(tǒng)使用弱密碼和重復(fù)使用的密碼在所有的入侵中,使用了弱密碼或重復(fù)使用的密碼是最容易被破解的。這個問題實(shí)際上不是個人的錯。首先,要記住幾百個隨機(jī)密碼是不可能的,但在數(shù)字世界中別無選擇,他們不得不求助于容易記住的密碼。系統(tǒng)性違反數(shù)據(jù)隱私法弱密碼和重復(fù)使用的密碼不是入侵的根本原因。公司面臨的最大問題是允許員工自己設(shè)置密碼。當(dāng)這種情況發(fā)生時,公司就失去了對密鑰的控制,也就失去了對數(shù)據(jù)和網(wǎng)絡(luò)的控制。如果它不是“你的密鑰”,它就不是“你的數(shù)據(jù)”。這意味著公司不能遵守數(shù)據(jù)隱私法,這可以解釋為什么數(shù)據(jù)泄露現(xiàn)在如此普遍。瓦解彈性的系統(tǒng)性為了減少需要記住的密碼數(shù)量,企業(yè)采用了單一訪問,也就是單點(diǎn)登錄,身份訪問管理,特權(quán)訪問管理,而沒有意識到這自動為犯罪分子降低了層次和障礙,減少了他們進(jìn)入網(wǎng)絡(luò)所需的步驟數(shù)量。在為犯罪分子創(chuàng)造了獲取訪問、掃描和定位鎖定整個網(wǎng)絡(luò)所需特權(quán)的黃金路徑后,從2019年到2021年,首次訪問勒索軟件所需的總時間從兩個多月減少到3.85天。在同一過程中,他們將所有數(shù)據(jù)放在同一個籃子中,從管理員或特權(quán)帳戶訪問,從而加劇了任何數(shù)據(jù)泄露的潛在負(fù)面影響。更多的網(wǎng)絡(luò)安全工具或培訓(xùn)并不能解決問題如果不解決他們的訪問安全漏洞,增加網(wǎng)絡(luò)安全工具或培訓(xùn)的預(yù)算,就無法阻止入侵或勒索軟件,就像在汽車?yán)锇惭b更多的電子設(shè)備和提供更多的駕駛課程,如果基礎(chǔ)設(shè)施建設(shè)得很危險,就無法阻止交通事故一樣。當(dāng)人們一開始就不應(yīng)該創(chuàng)建和了解公司密碼時,就沒有必要對他們進(jìn)行密碼安全培訓(xùn)。當(dāng)人們無法泄露他們不知道的密碼時,就沒有必要對他們進(jìn)行網(wǎng)絡(luò)釣魚訓(xùn)練。當(dāng)懷疑有漏洞時,當(dāng)每個系統(tǒng)都有不同的密碼,并且沒有從哪里鎖定或竊取所有東西的單一訪問時,沒有必要拔掉整個IT基礎(chǔ)設(shè)施。心態(tài)的轉(zhuǎn)變在過去的幾年里,隨著網(wǎng)絡(luò)安全預(yù)算的增加,網(wǎng)絡(luò)攻擊的數(shù)量一直在上升,沒有很多人問為什么。盡管超過80%的漏洞與基于人工的證書有關(guān),但大部分網(wǎng)絡(luò)安全預(yù)算都花在了基礎(chǔ)設(shè)施和系統(tǒng)漏洞上,其中大多數(shù)仍未被發(fā)現(xiàn)。但現(xiàn)在,網(wǎng)絡(luò)安全溢出到物理世界的巨大風(fēng)險,促使人們要求改變網(wǎng)絡(luò)安全的工作方式。為什么人們不應(yīng)該首先設(shè)置密碼除非你能保證自己的大門安全,否則在網(wǎng)絡(luò)安全上投資數(shù)十億美元是不會有效果的。首先,不讓員工控制對公司基礎(chǔ)設(shè)施和資產(chǎn)的訪問權(quán)限。當(dāng)其他人創(chuàng)建了你整個企業(yè)的數(shù)字密鑰時,你就失去了對他們的可見性和控制權(quán)。

實(shí)際上,密碼只是鑰匙為了能夠重新獲得對其密碼的控制權(quán),公司需要按其本質(zhì)對待密碼。就像新員工開始新工作并收到大樓和辦公室的鑰匙一樣,他或她在開始新工作時收到的是數(shù)字鑰匙,而不是自己制作的。物理密鑰和數(shù)字密鑰的唯一區(qū)別是在數(shù)字世界中沒有物理障礙。要竊取物理密鑰,需要靠近密鑰。數(shù)字密鑰或密碼可以從世界上任何地方被盜。加密密鑰,以免它們被盜在憑證盜竊沒有物理障礙的情況下,保護(hù)密鑰的最有效措施是使用保護(hù)秘密的方法,也就是密碼學(xué)。公司只需加密他們的訪問權(quán)限,并將所有系統(tǒng)的憑據(jù)分發(fā)給他們的用戶,這些系統(tǒng)位于一個只有每個用戶可以訪問的安全地方。這種邏輯解決了超過80%的違規(guī)行為。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-09-19
網(wǎng)絡(luò)安全方法是否會造成系統(tǒng)漏洞
弱密碼和重復(fù)使用的密碼不是入侵的根本原因。公司面臨的最大問題是允許員工自己設(shè)置密碼。當(dāng)這種情況發(fā)生時,公司就失去了對密鑰的控制,也就失去了對數(shù)據(jù)和網(wǎng)絡(luò)的控制。如果它不是“你的密鑰”,它就不是“你的數(shù)據(jù)”。這意味著公司不能遵守數(shù)據(jù)隱私法,這可以解釋為什么數(shù)據(jù)泄露現(xiàn)在如此普遍。

長按掃碼 閱讀全文