本文摘自《英国NCSC董事会网络安全工具包》,有兴趣的朋友可以在文末获得下载链接。
关于网络安全有三个常见的神话。了解它们不正确的原因将帮助您了解网络安全的一些关键方面。
现实:无需成为技术专家即可做出明智的网络安全决策。
我们每天都在做出安全决策(例如,是否打开警报),而不一定知道警报的工作原理。董事会定期做出财务或风险决策,而无需了解每个账户或发票的详细信息。董事会应依靠其网络安全专家提供见解,以便董事会能够就网络安全做出明智的决定。
误区2:网络攻击很复杂,我无法做任何事情来阻止它们。
现实:采取有条不紊的网络安全方法并实施相对较小的更改可以大大降低组织的风险。
绝大多数攻击仍然基于众所周知的技术(例如网络钓鱼电子邮件),可以防御这些技术。一些威胁可能非常复杂,使用先进的方法来闯入防御非常完善的网络,但我们通常只能在民族国家的攻击中看到这种程度的承诺和专业知识。大多数组织不太可能成为这种类型的持续努力的目标,即使是那些组织也会发现,即使是最复杂的攻击者也会从最简单,最便宜的选择开始,以免暴露他们的高级方法。
误区3:因为网络攻击是有针对性的,所以我没有风险。
现实:许多网络攻击都是机会主义的,任何组织都可能受到这些非针对性攻击的影响。
大多数网络攻击本质上是无针对性和机会主义的,攻击者希望利用系统中的弱点(或漏洞),而不考虑该系统属于谁。这些可能与有针对性的攻击一样具有破坏性;WannaCry对全球组织的影响-从航运到NHS-就是一个很好的例子。如果您已连接到互联网,那么您就面临此风险。这种非针对性攻击的趋势不太可能改变,因为每个组织-包括组织-都会对攻击者有价值,即使这只是您在勒索软件攻击中可能支付的钱。
以下网络安全漏洞调查的结果显示了有多少组织受到网络攻击以及组织如何应对这种风险。报告全文提供了进一步的资料。
提高对网络安全的理解的一个好方法是查看网络攻击如何工作的示例,以及组织采取哪些措施来缓解它们。查看组织内发生的事件是一个很好的起点。
调查-调查和分析有关目标的现有信息,以识别潜在的脆弱性。
防御网络攻击
了解网络安全防御的关键是,它们需要分层并包括一系列措施,从技术解决方案到用户教育再到有效的政策。下面的信息图给出了防御示例,这些防御措施将帮助组织抵御常见的网络攻击。
我们关于实施有效网络安全措施的部分提供了更多详细信息和问题,您可以使用这些细节和问题来了解有关自己组织的防御措施的更多信息。
回复“220813”获取“英国NCSC董事会网络安全工具包”PDF版
原文始发于微信公众号(祺印说信安):关于网络安全,领导层需要了解什么?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1245905.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论