安全性控制是为了保护对组织重要的、各种形式的数据和基础架构而实施的参数。用于避免、检测、消解或最大限度降低实物财产、信息、计算机系统或其他资产的安全风险的任何类型的保障措施或对策,都被视为安全性控制。
鉴于网络攻击的频次不断增长,数据安全性控制如今比以往任何时候都更加重要。马里兰大学克拉克学院的一项研究表明,美国现在平均每 39 秒就会发生一次网络安全攻击,每年影响三分之一的美国人;其中 43% 的攻击针对小型企业。2021 年 3 月至 2022 年 3 月期间,美国数据泄露的平均成本为 944 万美元。
与此同时,数据隐私法规不断加强,企业必须加强其数据保护政策,否则将面临潜在的罚款。去年,欧盟实施了严格的《通用数据保护条例》(GDPR) 规则。在美国,加利福尼亚州的《消费者隐私法》将于 2020 年 1 月 1 日生效,其他几个州目前正在考虑采取类似措施。
这些法规通常会对不符合要求的公司进行严厉处罚。例如,Facebook 最近报告称,由于数据保护政策方面的缺陷导致多起数据泄露,预计美国联邦贸易委员会将对其处以超过 30 亿美元的罚款。
安全性控制体系包括安全相关流程和文档,用于规定这些控制措施的实施和持续管理,被称为框架或标准。
利用框架,组织能够根据普遍接受和经过测试的方法来一致地管理不同类型资产的安全性控制。一些最著名的框架和标准包括:
美国国家标准技术学会 (NIST) 于 2014 年创建了一个自愿性框架,为组织提供有关如何预防、检测和响应网络攻击的指导。评估方法和程序用于确定组织的安全性控制是否正确实施、按预期运行并产生期望的结果(满足组织的安全要求)。NIST 框架不断更新,以期跟上网络安全演变的步伐。
互联网安全中心 (CIS) 制定了一个高优先级防御行动列表,为每个希望防止网络攻击的企业列出了“必做、先做”的对照指南。根据开发 CIS 控制措施的 SANS Institute 的说法,“CIS 控制措施非常有效,因为它们源自主要威胁报告中强调的最常见攻击模式,并经过了广泛的政府和行业从业者社区的审查。”
组织可以参考这些框架和其他框架来制定自己的安全框架和 IT 安全策略。完善的框架可确保组织执行以下操作:
安全解决方案的强大程度取决于其最薄弱的环节。因此,您应该考虑多层安全性控制(也称为深度防御策略),在身份和访问管理、数据、应用程序、网络或服务器基础架构、物理安全和安全情报等方面实施安全性控制。
安全性控制评估是确定存在漏洞的第一步。安全性控制评估使您能够评估当前实施的控制措施,并确定它们是否正确实施、是否按预期运行以及是否满足您的安全要求。NIST 特别出版物 800-53 由 NIST 创建,是成功进行安全控制评估的基准。NIST 准则是一种最佳实践方法,应用后可以帮助您的组织降低安全威胁的风险。另外,贵组织也可以创建自己的安全评估。
创建安全评估的一些关键步骤如下:
《数据泄露成本报告》的发布现已进入第 17 个年头,2022 年的报告就不断扩大的网络威胁态势提供了最新洞见,并就如何减少响应时间和降低损失提供了建议。
了解什么是 DDoS 攻击、它们如何工作以及它们如何影响应用程序和用户体验。