企業不想看到他們出現在網絡安全漏洞的頭條新聞中,也不希望直言不諱的批評者損害他們的聲譽,他們希望避免遭遇網絡攻擊、業務中斷和花費大量費用進行恢復。
將網絡安全視為事后的想法或認為在數字化轉型項目中安全是其他人應該解決的問題總是錯誤的,它會遺漏一些可以避免的網絡安全漏洞,網絡攻擊者則會利用這些漏洞。
值得慶幸的是,企業可以采取一些措施來防范在實施數字化轉型中經常出現的漏洞。以下是企業在實施數字化轉型的過程中可以采取的10大措施。
1、進行IT網絡安全風險評估
為每個數字化轉型項目進行IT網絡安全風險評估。項目的特點會影響到最高風險是什么。以下是經常存在的風險:
(1)內部網絡安全防御的漏洞。
(2)應用軟件或軟件即服務(SaaS)供應商的網絡安全成熟度不夠。
(3)不同供應鏈供應商網絡安全成熟度。
(4)員工和承包商網絡安全意識水平參差不齊。
降低網絡安全風險的典型應對措施包括:
(1)多因素身份驗證(MFA)。
(2)先進的威脅檢測解決方案。
(3)更廣泛地使用加密技術。
(4)雇員和承包商網絡意識教育計劃。
2、了解合規義務
一些數字化轉型項目涉及受各種法規約束的流程和數據,企業必須證明符合這些法規。關于用戶的隱私數據尤其敏感。網絡安全組成部分的主要法規示例如下:
(1)美國聯邦信息安全管理法案。
(2)歐洲通用數據保護條例(GDPR)。
(3)健康保險攜帶與責任法案(HIPAA)。
(4)北美電力可靠性公司可靠性標準(NERC-CIP)。
(5)美國國家標準與技術研究所(NIST網絡安全框架)。
(6)ISO27001信息安全管理。
(7)ISO27002信息安全、網絡安全和隱私保護。
(8)支付卡行業安全委員會的數據安全標準(PCIDSS)。
(9)服務組織控制(SOC2)類型。
每一項規定都規定了企業必須遵守的要求。相關軟件供應商通常會描述有助于數字化轉型項目規劃的實施和運營策略。
在數字化轉型項目的范圍內包括實施適用法規的網絡安全要求的任務。
3、避免過度授權賬戶
大多數數字化轉型項目需要建立和管理最終用戶賬戶和角色,當最終用戶被授予的權限和角色超過了他們執行指定職責所需的數據和數據庫訪問權限時,網絡攻擊者可以更容易地滲透到企業的IT系統,從而造成嚴重破壞。
為了最大限度地降低設計中的網絡安全風險,數字化轉型團隊應該:
(1)設計具有多個角色的軟件,以限制任何一個角色的訪問。
(2)為SaaS軟件的增強支付費用,以增加角色的數量。
大多數數據庫管理軟件(DBMS)包都包含限制對表和列的訪問的功能。對于數據庫管理員(DBA)人員來說,使用這一功能管理角色非常繁瑣且容易出錯,最終它會面臨失敗。
為了運營數字化轉型項目將交付的系統,這一有限訪問概念由以下方式實現:
(1)集中管理所有權限。
(2)持續檢查權限,以識別錯誤配置的權限、過度授權的帳戶和角色。
(3)考慮實施專門的軟件,提出建議,以迅速有效地糾正問題權限。
這些措施共同降低了網絡攻擊的風險。
4、將網絡安全納入應用軟件設計
數字化轉型項目通常設計、構建和測試一些應用軟件,而僅使用數據集成和應用軟件包很難完成數字化轉型項目。
通過以下最佳實踐,將網絡安全功能納入自定義應用軟件設計,其中包括:
(1)維護軟件開發環境的安全性。
(2)執行廣泛的數據輸入驗證。
(3)加密應用程序正在創建的數據并實現HTTPS。
(4)包括認證、角色管理和訪問控制。
(5)包括審計和日志記錄。
(6)遵循配置虛擬服務器的最佳實踐。
(7)不要簡化質量保證和測試。
(8)隨著安全威脅的發展,升級應用軟件。
(9)刪除不活躍的虛擬服務器和數據庫。
當企業的數字化轉型應用程序用于常規生產中時,遵循這些最佳實踐將顯著地降低遭受網絡攻擊的風險。
5、限制對云管理控制臺的訪問
具有云計算組件的數字化轉型項目將操作一個相關的管理控制臺。控制臺是網絡攻擊的熱門目標,因為這些控制臺控制著企業的云計算資源的所有方面。未經授權使用這些強大的云計算控制臺可能會立即造成嚴重破壞或數據泄露。
對管理控制臺風險的最佳響應是將對云計算管理控制臺的訪問視為特權訪問。這一最佳實踐由以下人員實施:
(1)要求最終用戶證明每次登錄的合理性,并跟蹤所有登錄,以快速識別異常、不適當或欺詐性訪問。
(2)授權每個用戶ID在指定的時間內只進行特定的、有限的訪問,以控制任何泄露的用戶ID可能造成的損害。
(3)采用單點登錄(SSO),以便最終用戶體驗安全且無障礙的登錄。
(4)實現多因素身份驗證(MFA),在授權訪問云控制臺之前添加額外的保護層。
這些特權訪問措施一起防止針對云計算管理控制臺的網絡攻擊。
6、確認云計算服務提供商(CSP)的網絡安全防御策略
許多數字化轉型項目都包含云組件,該組件可以使用云計算服務提供商(CSP)運營的計算基礎設施,也可以使用SaaS提供商運營的云平臺。
由于大多數云計算服務提供商(CSP)運營廣泛的網絡安全防御策略,并將這項工作描述為有價值的客戶利益,大多數客戶不會在云計算網絡安全評估或測試上投入更多精力。
謹慎的做法是花費時間和精力來確認云計算服務提供商(CSP)的網絡安全防御策略的全面性。
7、評估SCADA/IIoT集成點
一些數字化轉型項目將SCADA/IIoT數據從OT基礎設施帶入IT系統領域,這兩個領域通常由具有不同任務和優先級的不同企業高管管理。
評估數字化轉型項目的SCADA/IIoT集成點的網絡安全風險,這些集成點通常由管理職責模糊或不明確的服務器或網絡設備表示。因此,網絡安全防御措施可能參差不齊。
根據集成點評估的結論采取行動,它們通常包括明確角色和職責以及更新設備。
8、測試應用程序編程接口
大多數數字化轉型項目開發自定義應用程序編程接口(API),用于集成數據庫或允許外部合作伙伴的軟件開發人員訪問公司計算環境中的特定應用程序。
當攻擊者發現這些API時,他們可以很容易地創建軟件來導致數據泄露。應對這一風險的措施是確保以下方面:
(1)徹底測試API軟件。
(2)更改授權憑證以定期訪問API。
(3)記錄API的使用情況,并定期檢查日志。
(4)安全地存儲API源代碼,永遠不要在開源存儲庫中發布它。
(5)限制使用API的開發人員指南的發行量,不要在網上發布。
9、評估技術變化
數字化轉型項目通常會對公司運營的信息技術套件進行更改,新技術引入或消除網絡安全風險。
當技術發生變化時,公司的項目團隊應該更新其IT網絡安全風險評估,并根據新發現采取行動。
10、進行OT網絡安全風險評估
數字化轉型項目有時表明,運營技術(OT)領域并沒有像信息技術(IT)那樣受到網絡安全方面同樣的關注。在這種情況下,需要進行OT網絡安全風險評估。
國際自動化學會(ISA)標準《工業自動化和控制系統安全:建立工業自動化和系統安全計劃》(ISA-62443-2-1)為制定OT網絡安全投資的商業理論提供了有價值的指導。
通過將這10項行動納入數字化轉型項目的范圍,公司可以大幅降低網絡安全風險。
