网络风险管理101

如何在你的组织中建立一个网络安全策略

blum_logo_horizo​​ntal_ko_white_large.

呼叫网络违规反应热线

介绍

在今天的数字景观中,越来越敏感的数据存储在计算机,移动设备或云服务器中。作为技术迅速推进,攻击者采用更innovative渗透系统的方法一旦进入就会造成巨大的破坏。

在商业环境中,采取适当的网络安全防范措施比以往任何时候都更为重要。一个网络攻击可以在财务上削弱你的组织,破坏或严重损害现有的系统和数据,并对你的声誉造成不可逆转的损害。

很多时候是为了保护一个组织而进行的重大投资安全姿势放在后面燃烧器的企业。许多人的心态是:“这不会发生在我们身上。或者他们还没有“大到足以”成为网络罪犯的目标。正是这种错误的安全感在企业中留下了一连串的漏洞这使得他们很容易受到本可预防的攻击。

通常是时候美国是最大的障碍对于一个组织来说,他们不确定从哪里开始。网络安全有很多活动部件,很难知道哪个是第一个解决。

一个t布卢姆我们的网络安全专家拥有数十年的经验,并创建了这个指南来分解基础。本指南将告诉您在2020年需要了解的网络安全前景,并带领您了解在您的组织内适当的网络安全战略应该是什么样的。

内容索引
    1

    什么是网络安全?什么是网络安全?

    网络安全是实践 保护服务器,网络,电子硬件 - - - - - - 最重要的是 - - - - - - 他们持有的数据 来自恶意攻击。
    涉及许多不同的工具,程序和政策 在这个过程中 与普遍的看法相反,网络安全涉及的不仅仅是你的IT团队 .组织中的每个人都有责任维护您的系统 他们持有的数据 安全的。
    我们看到的方式,组织总是最终支付网络安全 .选择位于企业是否需要支付它 之前 攻击,或 它的系统受到损害。
    这些分为两个不同的区域:

    积极的网络安全措施

    这些是步骤企业可以在发生攻击时减轻数据的风险来减轻数据受损的风险。

    这包括广泛的活动范围,包括指挥脆弱性和威胁评估员工培训,安装安全的程序,建立权限策略和操作过程,以确保信息的安全。

    这些通常是正在进行的活动让你的业务有更多的控制它们推出的速度,哪些项目需要寻求外部帮助,哪些项目需要内部处理。

    事件反应措施

    如果你是一个成功的网络攻击的受害者,这是需要的。这些措施在很大程度上包括了解黑客如何进入,确定如何完成损坏,并尽可能地降低影响。
    由于您有这么短的窗口来遵循成功的攻击,因此企业通常需要与外部合作伙伴合作,以确保遵循攻击恢复的正确步骤。这通常比在经济上和未来丧失客户和机遇中的主动措施更昂贵。此外,企业往往最终会在事实后最终投资预防性服务,以避免发生另一个攻击。
    此外,许多州和国家对系统被成功破坏时需要做的事情有昂贵的规定。
    如果您的组织受到损害 网络攻击 , 伸出援手 我们的事件响应和恢复团队 尽快
    2

    网络威胁和业务影响网络威胁和业务影响

    类型的网络威胁

    联系我们的网络入侵回应热线:800.561.6889.

    保护您的组织免受网络攻击的第一步是认识到目前的威胁虽然方法所使用的网络罪犯不断发展,许多可能面临您组织的目前可能面临的威胁通常属于这些类别之一

    网络钓鱼

    最常见的一种网络攻击面对组织,网络钓鱼攻击涉及使用欺诈性电子通信来获得敏感信息或在设备上安装恶意软件。通常通过电子邮件可以看到网络钓鱼攻击,但也可以通过短信,电话或社交媒体进行。

    了解更多
    恶意软件

    这是一种设计为的软件类型通过以下方式破坏你的系统未经授权访问网络数据,或者对您的计算机造成其他类型的损坏。大多数网络钓鱼攻击目的是安装一种恶意软件在受害者的计算机。安装后,恶意软件可以实现通过你的组织S网络连接到其他设备有时完全不必要到用户。

    了解更多
    社会工程

    而不是依赖ing在入侵系统的技术方面,社会工程利用人类心理学来欺骗或欺骗某人提供机密信息,如密码、社会安全号码、信用卡信息等。

    了解更多
    Ransomware

    这是一种非常特殊的攻击,可以使用社会工程或恶意软件来完成在哪里攻击者将持有数据或网络访问主机,直到您支付命名价格。有时即使支付了赎金,也不能保证数据或系统能够恢复。

    观看视频

    网络攻击的成本

    最大的一个 的后果 把网络安全放在后面的企业 燃烧器 是成本。
    尽管 这是真的 在那里 与之相关的费用 建立你的网络安全基础设施 这也是一种成本 不是 这样做 - 它可以明显陡峭。 在今天的景观中,没有商业或工业是 来自网络犯罪分子的“安全”。 随着攻击变得越来越普遍,越来越复杂,恢复起来的成本也越来越高。
    最近的一份报告 罗具 发现了 平均Cos. A. 网络攻击 上升到 $ 11万 2019年 这是 从前一年增加了52%,只预计将继续 增长。
    康复 网络攻击 会给你的公司带来一大笔开支 .许多公司没有考虑所有相关的成本 业务 ES招致 恢复的路径,可以包括:
    • 雇佣一个如果尚未在您的组织中已经到位,则事件响应团队
    • 修复伤害您的IT基础设施
    • 向袭击者勒索赎金(如果您的攻击涉及赎金软件)
    • 诉讼律师费
    • 罚款如果任何数据保护或隐私法发生任何数据保护或隐私法

    网络攻击的“隐性”成本

    除了费用之外,也有许多““在数据违规之后的成本面临企业面临没有货记录在费用报告中。通常是时候,这些成本在初始攻击后多年持续效果。一些可以包括:

    声誉损失

    无论攻击如何发生,暴露敏感数据都会对您的声誉造成大量损害。攻击可以摧毁你公司花了这么长的建筑物的信任,并且需要很长时间才能恢复。

    现有客户流失

    即使他们没有直接受到攻击的影响,知道你的系统是脆弱的,就足以让最忠诚的客户寻求更安全的解决方案。

    未来客户流失

    因为一次攻击可能会影响你在未来数年的声誉,曾经考虑过你的产品或服务的客户可能会重新考虑。这可能会导致攻击后很长一段时间的新收入损失,无论你的产品比竞争对手有多优秀。

    损失的生产力

    如果您的系统由于攻击而停机一段时间,那么您的员工可能无法完成分配的任务,从而推迟截止日期和预期的指标,直到情况得到解决。

    3.

    网络安全战略应该包括哪些内容?网络安全战略应该包括哪些内容?

    网络安全策略

    如果您的组织已经准备好开始认真对待网络安全问题,那么第一步就是制定策略,如何锁定当前的系统以应对当前的威胁,防范未来的攻击,并确保信息在整个组织内传播。

    与其到处提出最佳实践,有一个有目的的、有充分文件证明的网络安全计划很重要,原因有二。第一,它确保覆盖整个组织的所有基础。第二,它让公司的每个人对安全实践的期望和方法保持一致。

    话虽如此,并非所有的策略都是平等的。如果您内部没有IT安全专业知识,强烈建议与网络安全合作伙伴合作,以确保您的数据得到真正的保护。

    虽然每个组织都有独特的安全需求,但我们建议网络策略应包含以下步骤。

    4

    第一步:进行威胁评估进行威胁评估

    确定什么信息和资产
    你需要保护

    保护敏感信息的第一步是评估数据需要保护的究竟。
    这取决于你的业务,但通常包括以下内容:
      1. 客户数据- - - - - -这是主要相关财务数据(信用卡s,信用报告,税务表格),还包括任何可以与特定个人联系起来以帮助身份盗窃的数据.这通常被称为个人身份信息,或PII。
      2. 受保护的健康信息(PHI) -如果您的业务处于医疗保健,或者通过客户端访问医疗保健数据,有非常严格的法律如果不遵守,可能会面临巨额罚款。
      3. 员工数据 -社会保障数字,人力资源报告、背景信息。
      4. 商业信息 -想想任何可能造成伤害的信息或构成如果竞争对手或竞争对手的风险你组织之外的人得到了一个抓住它。其中一些项目构成了重大的法律风险,就像商业秘密一样或供应商记录
    一旦确定需要保护的信息,您就可以映射到您可以访问它的组织内的信息,以及如何锁定这些系统的位置。

    此外,如果尚未完成,则在安全位置创建业务关键数据的备份。定期备份这些文件,因此,在发生攻击时,这些文档将尽可能最新。不要忘记从这些备份中测试还原,以确保您可以在事件中及时访问文件。

    网络威胁现状研究

    我们触及了两部分中的一些最常见的网络威胁,但对研究您自己的商业环境的威胁也很重要。虽然威胁总是不断发展,但看着威胁景观可以帮助您从别人的错误中吸取教训,更好地预期方法攻击者将使用。

    一般来说,您需要了解最近的攻击。网上有许多资源发布最新网络新闻的年度报告,包括:

    随着您研究最近的网络攻击,问自己:公司正在瞄准什么?谁是他们的客户?他们在哪个betway必威体育观点行业运作?袭击是如何发生的?

    想要了解更多,看看你的竞争对手。很有可能,如果黑客瞄准了您的竞争对手,他们也会对您的业务构成威胁。研究在过去几年中,你所在的空间中有多少公司的安全遭到了破坏,攻击者的目标是什么数据,他们使用了什么方法来破坏系统。

    当然,这一步骤应定期重复,因为安全漏洞战术随着时间的推移而变化。

    5

    第二步:识别网络漏洞识别网络漏洞

    一旦你 的理解 你的风险数据 ,它在您的系统内生活, 就目前的威胁而言, 下一步是评估当前基础架构的安全。
    为了充分利用这个过程, 还记得 系统漏洞通常 遵循80/20 规则 - 意思 80%的风险可以归因于20%的漏洞。
    因此,您应该从关键的基础项目开始 这将在短时间内产生最大的影响。 开始 评估您在第一步中识别的高风险数据,以及 评估 易受攻击的入口点黑客可以用于访问它。
    你也应该考虑如何 你的员工用户hab 它影响您​​的整体安全姿势。例如,你可能有 一个安全的 无线网络 在你的办公室里建立关系网,但是你 员工办事处工作? 如果是这样的话, 你应该 确保任何敏感文件 位于防火墙之后,由VPN保护。
    这个过程也是一个很好的机会限制员工只接触关键人员的敏感信息。

    网络安全评估

    要真正挖掘你的弱点,你'LL可能希望与网络安全合作伙伴合作获取全网络安全评估一个网络专家将更清楚地了解您的安全基础设施的“引擎盖下”发生了什么,以了解是什么让您容易受到攻击。根据你的需要,你的网络伙伴可能会建议你有一个或多于下列类型的评估:

    漏洞评估

    此过程将查看组织的计算机网络、系统、硬件、应用程序和IT基础设施中的其他关键元素,以查看最容易受到网络攻击的地方。

    了解更多
    网络钓鱼的评估

    正如我们在第二部分提到的,网络钓鱼攻击是黑客入侵你的生态系统的常见方法——你确定你的员工能识别网络钓鱼的企图吗?如果不是,你可能会从网络钓鱼评估中受益。在这里,对您的员工模拟一个真实的网络钓鱼企图,并监视和记录他们的反应。

    了解更多
    社会工程评估

    类似于网络钓鱼评估,社会工程评估模拟了对员工的不同类型的社会工程试图,以了解他们可能对黑客的诀窍有多敏感。这有助于建立您的员工网络意识的基线,并为仍需要培训的基础建立。

    了解更多
    渗透测试

    如果您认为自己已经能够锁定大多数现有的漏洞,那么可以考虑进行渗透测试。在这种情况下,网络伙伴将试图通过一个受控的漏洞访问您的系统、应用程序或无线网络。你就能看到黑客是如何进入的以及他们能访问什么。

    了解更多
    黑色扫描扫描

    暗网是互联网上一个没有索引、大多无法访问的部分,并已发展成为网络罪犯买卖个人信息或敏感商业信息的热点。暗网扫描给你信心,你的商业信息在暗网的任何地方都是不可获取的,留下一个更少的脆弱区域。

    了解更多

    一旦您确定了主要漏洞的位置,就会提出一个行动计划来开始锁定这些物品。如果您与某些或全部行动项目一起使用网络伙伴,您将拥有额外的好处,以确保为长期安全性构建的这些系统 - 而不仅仅是修复曲面级漏洞。

    6

    第三步:创建网络安全政策创建网络安全政策

    建设你的团队

    锁定现有漏洞后,创建组织网络安全策略非常重要,以确保您的系统保持安全。

    该政策应良好地记录,为当前和未来组织领导人提供明确的沟通,以便在整个组织实施最终安全性所需的程序。

    为了创建一个网络安全政策,真正保护您的业务的所有领域,跨几个部门的合作是建议的。你的业务的每个领域都有其独特的网络风险,而获得不同部门的投入和支持是成功的关键。在这个过程中,一些重要的参与者应该包括:

      1. 董事会/领导团队:当然,关键组织领导人应该包括在这个过程中,因此他们可以清楚地传达这些政策,并确保它们与业务目标保持一致。
      2. IT团队:如果你有一个内部的IT团队,他们也应该包括在内,这样他们就可以密切地监视系统更新和异常活动,并在硬件和软件使用情况下创建明确标准。
      3. 法律团队:这个团队可以提供输入在当前的安全数据使用法律将确保公司符合这些条款。
      4. 人力资源队:人力资源也应该是过程的一部分因此,他们能够制定一个计划,清楚地传达m的最终政策anagers和雇员。此外,他们可以把这一点运用到他们的新-员工在奴役策略到他们的退出策略当一个员工树叶

    制定你的策略

    至于创建实际的策略,请查看前面小节中锁定系统所采取的步骤。考虑如何创建一个定义好的、易于重复的流程,使安全性成为组织文化的一部分。最重要的是,这一政策应该能够在未来得到扩展。由于威胁状况总是在变化,所以您的政策应该随着当前威胁的变化而增长,并反映当前的威胁。
    这取决于你有多少内部资源,这是你可能想要做的另一个步骤 与外部网络安全合作伙伴合作 r .网络伙伴可以提供帮助 创建一个圆满的网络安全政策 或者在长期内采取更多的动手致力于您的网络健康。
    如果您的公司在内部使用较小的IT团队或有限的网络专业知识,则外包一些技术工作将在长期运行中获得更高的利益。

    外包网络服务的一些示例包括:

    虚拟首席资讯保安主任
    越来越多的公司开始雇佣首席信息官来降低风险,降低数据泄露的可能性。然而,如果不包括福利,在公司内部招聘一名合格的全职CISO每年的成本可能在15万至24.7万美元之间。相反,许多公司选择vCISO,它拥有全职团队成员的所有好处和专业知识,但更具可扩展性和成本效益。您可以将它们用于最初的策略,然后用于全年的持续维护和支持。此外,因为他们支持多个组织,他们通常有更广泛的经验基础。
    了解更多
    持续的安全威胁检测和监控
    该服务提供对您组织系统的24/7监视,并立即实时通知您新的威胁或潜在的安全漏洞。唯一比数据泄露更糟糕的事情是它在一段时间内不被注意,而这种类型的系统可以让您对任何试图入侵您的系统的行为做出反应和快速响应。
    了解更多
    黑暗的网络监控
    就像一个黑色的Web扫描一样,这项服务提供了对黑色Web的定期监视,如果发现任何公司数据在黑色Web上出售,则会发送实时警报。
    了解更多
    供应商和第三方管理
    即使您的组织拥有最全面的策略,您的数据的安全性仍然只与您使用的第三方供应商一样安全。如果您的供应商被黑客攻击,您仍然会遭受巨大的后果。网络合作伙伴可以帮助您适当地审查所有第三方供应商,以确保他们有适当的安全协议,在您开始使用它来保存任何公司数据。
    了解更多

    创建事件响应计划

    网络安全政策的另一个重要元素是在数据泄露时明确定义的事件响应计划。

    当网络攻击发生时,在黑客造成更大的破坏之前,只有很短的时间来正确识别和锁定系统。因此,在此之前有明确的步骤可以减少总体响应时间。

    这个计划应该包括以下步骤,以及谁负责完成每一个步骤:

      • H你计划控制这次袭击的规模
      • IT和安全团队需要收集哪些关于攻击的信息(系统是如何被渗透的,暴露了哪些数据,还有哪些可能面临风险,等等)
      • 这次攻击造成了什么法律风险,以及采取什么程序来报告它
      • 对内对外的沟通策略
      • 回顾现有的政策并扩大以确保这不会发生againgydF4y2Ba
    阅读文章:你被黑了,现在怎么办?
    7

    第四步:员工意识培训员工意识培训

    进行网络安全员工培训

    涉及组织的网络健康时,您只能与您最薄弱的联系一样强。您可以拥有最具密封的政策,但它只需要一个员工单击一个网络钓鱼链接,以使数据受到损害。网络犯罪分子知道这一点 - 这就是为什么培训你的员工对网络安全意识和程序的培训是至关重要的。
    网络意识培训 在你的组织中应该是一个持续的主动性。培训策略可以通过领导层、IT部门和人力资源部门之间的交叉协作在内部制定。然而,通常更有效的方法是引入一个有既定标准的外部教练,而不是重新创造轮子。
    不管你选择哪一种,重要的是这些培训要在吸引员工和提供信息之间取得平衡——这样你的员工才能记住他们学到的东西。此外,您必须能够衡量这些培训的结果,以了解您的员工在培训前后的网络意识,以确保培训是有效的。最后,您将希望确保培训和结果被记录下来,因为如果仍然发生成功的攻击,这可能会减轻一些法律风险。
    如果您希望聘请外部团队进行培训,重要的是要知道所有课程都没有创造平等。一些课程可能已经过时,而不是反映当前的威胁景观。在评估潜在的合作伙伴时,请向一个有实践经验处理网络安全威胁的组织。这些合作伙伴通常会有最前沿的了解,了解威胁如何发生以及员工需要知道安全。理想的网络意识培训计划也没有单尺寸适合的解决方案。他们将能够根据员工当前的意识水平定制该计划,您的行业面临的独特风险。
    8

    在网络安全合作伙伴中寻找什么在网络安全合作伙伴中寻找什么

    最后的想法

    每个企业都应该优先考虑确保其系统免受攻击。正如我们所说的那样 - 现实不是如果你是针对性的,那就是何时的问题。今天积极投资您的网络健康可以防止不可逆转地损坏线路。

    我们希望本指南能够为您的组织提供构建网络安全文化所需的基础。

    如果您对已涵盖的内容有任何疑问或者希望与我们的网络安全计划有关的网络专家,请填写下面的表格,我们可以共同努力保护您的业务免受数据泄露的影响。

    请下一步保护您的业务

    保持联系
    链接
    通讯

    订阅我们的时事通讯,跟踪我们的每一个动作

    你的电子邮件地址
    2021年版权。保留所有权利。