复杂性和缺乏战略规划破坏我们政府的网络安全
我国的国家安全战略强调了破坏性的危险,甚至毁灭性的攻击向量。今天,政府的网络基础设施面临越来越大的压力来自各种各样的敌人的目标,从个体和有组织的犯罪团伙寻求经济利益,国家寻求政治和军事优势,积极分子和恐怖分子试图破坏的基本价值观。
多域的复杂性和缺乏规划日益削弱我们的政府的网络安全。这种情况下没有继续。有能力保护国家的数据和网络资源,但缺少的东西:战略、基于风险的网络安全项目,优先考虑国家的应用程序和数据。然而,实施这一意味着克服一些特别的挑战。就像太空竞赛在20世纪,美国需要一个全国性的计划和时间表来解决网络安全的关键问题。
为什么网络安全那么辛苦好吗?
部分原因是网络的迅速发展,相应的,不断变化的网络安全威胁。孤独的黑客已经被高度进取心,资源充足的组织,由一个黑人市场独占鳌头最新的利用,并且为僵尸网络是大宗商品市场提供一个偷来的信息。然而,国防的主要原因是如此困难可以总结为一个词,复杂性。
我们必须创建一个架构使机构能够适应这些威胁的继续他们的业务操作和服务我们国家的公民
大多数组织都实施了大量的安全产品来保护他们的环境。工业和组织追逐下一个令人眼花缭乱的产品,而不是形成和实施全面的路线图或网络安全计划。作为一个结果,你有很多产品没有足够的时间来适当地训练你的安全专家。此外,一些新购买的产品仍然在箱子里,未使用的。资源继续被用于扑灭火灾而不是学习如何预防它们。
保护企业网络安全工作的重点也主要通过阻断试图穿透系统从外面。虽然这种方法有一个逻辑,最终在这样复杂的环境是一个失败的策略。
我们能做些什么呢?
我们需要采取一种不同的方法看看由内而外的方法。当你看着外面的网络安全,然后你只是想否认入侵。然而,如果你的方法从内部网络安全,那么你可以从的角度想想,“什么是我最关键的应用程序和数据”。
利用这种“内外”的思维方式,您可以考虑这些线的努力:
基于风险的重点:重要的是要开发一个基于风险的策略,而不是一种基于合规性的策略。
基于风险的项目集中在最有价值的和脆弱的资产使您能够利用有限的资源来保护这些资产是最有可能的目标。
应用程序安全保证:应用程序的主要目标是黑客和我们估计超过70%的成功的违反是针对应用程序层。一个健壮的应用程序服务是需要主动避免网络安全威胁分析缺陷从一开始,也作为一个独立的确认和验证的安全需求和建筑安全弹性。结果是通过设计一个应用程序,该应用程序是安全的。今天,传统的应用程序开发方法发现只有一小部分的漏洞。
持续的监控:组织需要从静态安全控制的周期性评估迁移到连续监测。例如,美国国土安全部的连续诊断和缓解计划支持连续监测提供一套现成的产品给网络和系统的实时可见性。NIST的风险管理框架还提供了一个基于风险的方法来管理组织的关键基础设施的风险。
管理服务:保护资源是至关重要的对于每一个机构,但网络安全不是大多数的核心竞争力。管理经验丰富,提供的服务认证的专业人士可以帮助机构满足网络安全的需求没有资本支出和人力成本的内部操作,释放机构专注于自己的任务。
数据安全:防止数据泄露的运动,在休息和使用,是至关重要的。组织必须实现数据损失预防解决方案,包括加密和密钥管理,网页内容过滤、数据库安全健康检查(评估安全漏洞),邮件保护服务,端到端数据保护。机构也应该建立政策确定和限制关键和私人数据移动。
Defense-in-context:深度防护包含的持续循环添加越来越多的保护和安全控制层保护组织的资产和资源。然而,这些层和控制并不是经常集成和组织的最重要的核心资产是这些层和层破坏,那么对手可能漏出你的重要资产。在当今世界,保护这些高价值资产分布,所以你也必须是分布式的。的背景下,这些资产比他们更重要位置的“中心”企业。出于这个原因,一个defense-in-context的方法利用所有可用的与安全相关的信息(位置、设备访问、行为等)和集成获得态势感知。
网络安全的未来
网络安全的历史已经反应,与企业和安全解决方案提供商努力跟上快速变化的技术引入的威胁和弱点。188金宝搏地址188金宝搏地址技术将继续加速变化,但这并不意味着网络安全必须保持在一个失去跟上比赛的威胁。而合规是报名费,它不会充分保护企业不受威胁。应用程序安全、持续的监控、管理服务、数据安全、和防御上下文是必不可少的,我们必须记住,没有人是孤独。我们都在一起。
我们必须创建一个架构使机构能够适应这些威胁的继续他们的业务操作和服务我们国家的公民。把它安装在汽车刹车。没有发明刹车停止一辆车,他们发明了可以开快点,安全,经济放缓,必要时完全停止。
