段铁兴
Hiscox发布报告称,自2019年以来,企业在网络安全方面的支出翻了一番。2N TELEKOMUNIKACE首席产品官TomáVystavěl调查访问控制已成打击网络犯罪重要资产的个中缘由。
2021年早些时候,Hiscox对位于美国、英国、西班牙、荷兰、德国、法国、比利时和爱尔兰的6 000多家公司进行了问卷调查,据此发布了《2021年网络准备度报告》。最引人注目的发现之一是,在过去2年中,各家企业在网络安全方面的支出平均增加了一倍多。
不过,网络安全开支增加是应对威胁水平日益增长的理性选择。Hiscox的研究表明,从2019-2020年,成为网络罪犯目标的公司更多了,且遭遇攻击的公司中28 %都经历了不止5次攻击。近半数受访者表示,自新冠肺炎疫情开始以来,自家公司变得更容易受到网络攻击;在员工数量超过250名的企业中,这么认为的受访者占比上升到59 %。遭遇网络攻击的企业中,大约1/6认为网络安全事件威胁到了企业生存能力。调查还发现,遭网络罪犯侵袭的企业中,约1/6被勒索金钱,其中半数以上真的付款了。
Hiscox进一步评估公司在6个不同能力領域的成熟度,这6个能力领域组成了安装、运行、管理和治理有效安全系统所需的种种要素。其中的“身份与访问管理”能力在所有受访公司中位居能力成熟度列表的倒数第二位。
为什么访问控制是网络安全计划的重要组成部分?
现实总是比理想骨感。在网络安全方面,访问控制并不总是企业的首要考虑,很多公司在这方面仍然处于需要“迎头赶上”的状态。不过,情况正在迅速改变。现在,越来越多的公司意识到,如果访问控制系统受到损害,企业大厦的日常运营,还有其中人员,都可能面临风险。
这些公司正采取各种措施,重点应对最紧迫的威胁,尤其是下面这5个威胁:
1.中间人攻击(MitM):黑客接入网络并窃听终端设备间通信的攻击,攻击者可通过中间人攻击盗取开门密码和设备登录口令。
2.密码/字典攻击:黑客尝试猜解设备登录密码的攻击(通常使用密码生成器,尝试不同猜解策略)。
3.局域网未授权连接:门禁对讲机或读卡器可能会装在房子外面,给坏人留下了破坏对讲机并利用UTP电缆接入LAN网络的机会。
4.对讲系统摄像头未授权查看:网络摄像头留有默认密码的事很常见,基本上任何人都可以连接这种摄像头,查看拍到的所有情况。
5.针对手机的恶意软件攻击:由于十分便利,基于手机凭证的访问控制系统越来越受欢迎。但是,这种系统也一直是黑客的目标,他们试图通过凭证窃取、监视和恶意广告来攻击智能手机。
这些威胁不仅仅局限于网络领域。访问控制遭破坏也可能构成物理威胁———如果罪犯能够潜入大楼的话。即便物理安全未遭破坏,网络攻击也可能导致成百上千万元的监管处罚,中断核心业务功能,威胁企业声誉。
保护访问控制系统免受网络攻击侵害:应遵循哪些基本规则?
很明显,威胁逐渐加重,企业应该采取一些基本的、良好的实践措施来保护其IT系统的各个方面。例如,使用复杂的强密码,定期对IT基础设施进行安全审计以识别和消除可能的漏洞,并培训负责保护大楼IT基础设施的安全团队,让他们了解最常见的威胁及其应对方法。
最重要的是,具体到访问控制上,公司可以遵循下面这几条收效甚高的附加规则:
遵循经验证的安全控制框架。其中2个备受认可的安全控制框架是ISO 27001和SOC 2。这些框架可以指导公司创建安全的系统和流程。
确保访问控制系统采用了加密和多步身份验证。这样可以保护设备、控制器和移动设备之间的通信,并杜绝出于“维护目的”的后门。
创建独立的网络,专用于处理敏感信息的设备,并确保这些设备之间的通信是加密的。将这些设备置于独立的虚拟局域网(VLAN)中,确保已安装设备或软件的制造商默认使用HTTPS,TLS,SIPS,SRTP等实现协议。
创建具有不同权限的账户。这么做可以确保用户只能够做出与其特定任务相关的更改,而管理员会得到更大的权限来管理大楼和所有关联账户。
经常升级软件。在设备上安装最新的固件版本是降低网络安全风险的重要措施。每个新版本都通过实现最新安全补丁来修复在软件上发现的漏洞。
安排网络安全培训,教育员工规避社会工程威胁。人的因素是任何系统中最脆弱的一环,攻击者可以诱骗员工犯下安全错误,或者给出敏感信息。因此,有必要定期培训员工,培养他们的网络安全意识。
这些规则并不复杂,遵循这些规则也不用投入太多资源。事实上,随着抗击网络攻击和数据泄露的战争愈演愈烈,哪家公司都不能承担忽视这些规则的后果。