网络卫生——或提高网络弹性——通过确保组织的安全基础处于有序状态,是对“预防胜于治疗”这句老话的现代诠释。
最近澳大利亚发生的一系列引人注目的网络入侵事件迫使每个组织都重新评估其网络态势。例如,澳大利亚网络安全中心在2021/22年度收到了447份勒索软件报告,比疫情高峰期略有下降,但ACSC仍将勒索软件视为“最具破坏性的网络犯罪威胁”。
根据一份议会报告,勒索软件事件每年给澳大利亚经济造成高达25.9亿美元的损失,据报道,各组织平均为每起事件支付25万美元。除此之外,由于各种错误的原因而成为头条新闻而造成的重大长期声誉损害的成本,也是澳大利亚组织提高网络弹性的另一个原因。
当谈到降低此类攻击的风险时,网络卫生指的是在在线环境中维护系统安全和保障所采取的做法。网络安全提供商CrowdStrike的国际领域首席技术官Fabio Fratucello表示,这些预防方法是任何网络安全战略的重要方面。
CrowdStrike表示,虽然网络卫生和网络安全是类似的概念,但它们的范围和重点不同。网络卫生侧重于系统健康和安全的预防方法,而网络安全则包括预防、检测和从网络攻击中恢复的整体策略。
弗拉图塞洛说:“网络卫生已经成为网络安全实践的重要组成部分,可以抵御不断变化的网络威胁。”
“这是一个深思熟虑的网络安全战略的关键组成部分,因为它可以降低风险,促进客户信任,减少成本和停机时间,阻止不必要的系统访问,降低数据泄露的可能性。”
据CrowdStrike称,健全的网络卫生制度的关键要素包括密码管理、电子邮件安全、软件更新、防病毒和防火墙保护。它们涉及最佳实践、技术对策和网络安全意识培训的结合,以确保员工不是供应链中的薄弱环节。
澳大利亚it服务提供商Interactive的首席信息安全官弗雷德?蒂勒(Fred Thiele)表示,许多组织低估了基本网络卫生的重要性,尽管它可以阻止它们每天面临的一半以上的网络威胁。
作为受监管行业的首选合作伙伴,Interactive的超专业化网络专业知识(由最近收购的Slipstream cyber提供)包括主动防御、数字取证和事件响应、咨询和保证服务。
蒂勒说,一个关键的误解是,网络卫生是一个一次性的孤立项目,而不是整个企业的持续努力。
蒂勒说:“任何卫生倡议的基本性质,无论是洗手还是确保你不点击恶意链接,都是为了有效,它必须成为一种根深蒂固的习惯。”“有时这在董事会层面被误解了。”
“网络卫生不是一个需要完成的项目,也不是一个需要从你的清单上划掉的项目,它需要融入你的组织结构,成为每个人的第二天性。这并不难,但它很复杂,有很多可动的部分,所以你需要有策略地处理它,以确保你不会把自己累垮。”
在保护组织免受各种威胁的同时,有效的网络卫生还能确保IT和安全团队花更少的时间救火,让他们有更多的时间专注于更高价值的任务。
网络卫生的一个挑战是,当涉及到漏洞管理和资产管理时,组织可能很难退后一步,完全了解自己的风险敞口。另一个挑战是,企业往往缺乏管理和维护持续网络卫生工作的专业知识。蒂勒表示,这就是与网络安全专家合作的关键所在。
蒂勒说:“这不仅仅是部署技术,而是从根本上改变你的业务运营方式。”“成功管理这种变化需要的远不止技术技能,这就是许多组织发现自己需要像Interactive这样值得信赖的合作伙伴的帮助的地方。”
他表示,在网络安全方面,技术防御并不是灵丹妙药,相反,它需要技术、人员和流程的结合,以加强企业的安全态势。
蒂勒表示,企业往往低估了网络卫生中的人为因素,比如进行意识培训,以确保员工不会点击恶意链接、交出敏感信息或落入虚假密码重置请求等社交工程骗局的圈套。
他表示:“网络卫生的一个关键部分是,确保你的一线员工,无论他们的角色是什么,都明白他们也是组织的第一道防线,他们的行为会产生重大后果。”
“你可以投资于各种各样的技术控制,但如果你的员工没有接受过适当的培训,也没有充分意识到,在网络安全方面,每个人都需要尽自己的一份力,那么威胁仍然可能越过你的防御。”
