研究人员说,网络安全无需花费财富
兰开斯特大学网络安全研究员阿德兰景观,有许多低成本和无需成本的事情可以做的是提高网络安全姿势。
他说,成本是组织提出解决网络安全威胁的主要原因之一,他说,并沿着这种看法,以至于解决它是太复杂的,或者安全供应商只是使用恐惧来赚钱。组织也有错误的信念,即他们不太可能被网络攻击击中。
“许多组织要么把头放在沙滩上或将其视为一个非问题,”Venables告诉CyberCon 2017在普利茅斯。
威尔斯是一个前常规和现在的预备役英国海军军官,表示,组织应该利用免费提供的建议和最佳实践指南。
“组织可以从学术界和政府中使用这些资源,以确保他们更好地了解网络安全,以便他们可以更明智地分配预算,”他说。
他说,通过更好地了解,组织可以确保他们拥有最合适的网络安全政策,也可以免费完成。
但与此同时,Venables表示,在船上获得劳动力是“绝对必需的”,也需要对这个话题很了解。
他说,免费信息来源包括开放大学,英国政府网站,国家网络安全中心(NCSC),国际航运协会疾民等行业协会,以及安全供应商发布的研究或指南。
政府还为员工提供免费的在线培训,用于负责中小型企业和一些专业人士,包括人力资源专业人士和采购专业人士的人员。
Venakes表示,任何组织的IT部门都是开始获得其整体网络安全姿势的基本理解的好地方。
“IT部门应该能够提供有关控件,端口,服务,防火墙规则和设备配置的详细信息 - 如何保护这些内容,如何监控,以及如何更改为满足您组织最可能的网络威胁,“ 他说。
IT部门还应能够提供有关网络如何是子网或分段的详细信息,即可确保工作人员只能访问适合其角色的区域。
“如果攻击者在你的网络中,那么分割它可以减慢它们,让他们移动更困难,”他说。
他说,组织的另一个重要问题是是否允许员工访问Webmail和从工作IT环境中浏览的不受限制的网络浏览。
“Webmail不仅是冒犯坏事的好方法,它也是攻击者或恶意内部人来获得被盗数据的好方法,”Venabes说。
“组织还应该考虑阻止网站中使用的主要威胁向量,例如JavaScript,Java,Flash Player和宏。”
缺乏网络安全人才对大多数组织来说是一个挑战,但Venakes表示他们应该花时间找出他们在员工中隐藏的人才。
“你可能拥有你所需要的所有技能,而不是知道它,就像一个可以在非安全甚至非IT角色工作的网络安全性爱好者或具有真正技能和能力的爱好者,”他说。
静脉制建议组织识别这些人,因为虽然它们可能具有很大的利益,但它们也可能是最大的威胁之一,因为它们能够绕过安全控制。
他说,组织还应该看待遇到问题的应急计划,涉及工作坊,看着可能的安全事件以及应采取哪些行动来限制损害并保持业务运行。如果检测到或怀疑折衷,则应包括测试数据的完整性。
“这应该清楚你会呼吁外部帮助,你应该已经接近了一家公司,所以他们准备好在需要时进来,以确保业务连续性,”他说。“建立与Cyber Forensics公司的关系来捕获可以通过执法的证据是一个好主意。”
Venakes强调测试事件响应和恢复程序的重要性,以确保所有计划在实践中工作,并且有明确的决策结构就是解决。
他还建议组织有打印的应急计划副本,因此如果它系统下降并测试数据备份和恢复过程正在运行,则可以访问它们。
Venables还强调了在每次事件后进行调查以了解威胁的重要性,利用哪些脆弱性以及如何将来可以防止任何类似的攻击。
“也看看你的回复和恢复程序如何看待任何改进,”他说。
每个组织都应该记住,如果它有一个公开的IP地址,那么Venabes表示,它永远不会从网络空间中脱离。“你是它的一个组成部分,你有风险,需要考虑,”他说。
组织还需要查看IT系统的更新和升级如何,并确保硬件和软件升级同步,因此硬件支持最新软件。
Venakes表示,组织不应该忘记他们的合作伙伴,他们可能没有相同的安全水平。
“值得检查他们是如何安全和弹性的,因为攻击者将永远寻找最弱的点,并且在某些情况下可能是您的行业合作伙伴,”他说。
接下来,他建议组织确保他们知道他们的网络上的所有设备,这些设备正在连接到互联网,并检查空中覆盖系统仍然是空气拆卸的,并考虑在这些系统上禁用USB端口,以防止潜在的感染设备已插入他们。
网络监控也值得考虑使组织能够确切地了解其网络上的内容,所说的是正在发生的交易以及正在进行哪些连接或尝试连接。
他说,组织应考虑分离公司数据,人员数据和个人数据,以便根据数据类型和最可能的攻击方法应用适当的保护。
最后,Venables表示,组织必须考虑安全的人类因素。这意味着需要定期更改密码,以确保仅授权和当前人员可以访问系统,为签约的自融资分配系统的所有权,这些人负责将其保持最新和安全,并不断教育和提醒员工了解网络安全。