根据上个月发布的一项研究,过去一年中的网络犯罪成本上涨了19%,普通公司现在在2009年的卫冕本身上涨了82%。
然而,这还不够。国家赞助的演员增加了对企业目标的攻击,并且在过去几年中,财务驱动的网络犯罪分子的复杂性增加了。近期摩天工程的起诉书揭示了一个令人惊叹的网络犯罪分子网络之间的协调水平,使他们能够虹吸到数亿美元。它现在比以往任何时候都更容易和更便宜地发射网络攻击。即使是儿童玩具也可以被黑客攻击,揭示了关于数百万父母和孩子的高度个人数据。
因此,公司几乎没有让他们的头上放在水面上。最近由Ponemon Institute进行的调查显示,先进的威胁通常不会在他们发现后的98到197天之前得到解决。这是一个坚定的黑客进入内部和粪便伤害的时间。更重要的是,多年来,许多攻击都没有发现。
加入最近的故事通过SC杂志断言,目前有300,000到100万个网络安全工作。根本没有足够的人才来解决公司美国的春帝的所有漏洞。
这是公司过去的时间以更聪明的方式使用技术来完成工作。以下是为公司建立强大安全的四个原则。
1.信任没有人
超越公司周边需要解决的解决方案,即使在网络的受信任部分中也能够积极监控一切。谷歌和其他人开始在“零信任”模型上构建安全协议:假设通过公司网络连接的人员和设备不能超过互联网上的任何人都不信任。
然而,你甚至不能相信谷歌。虽然它和基于云的服务提供商具有出色的基本保护,但它们仍然具有缺点,这意味着客户与云提供商对安全性匹配责任。例如,除非您的IT部门保持警惕,否则终止的员工可能会继续访问他们离开公司后几周或几个月的共享谷歌文件和Salesforce数据记录,使前雇员成为外部黑客的目标 - 或者他们自己的威胁。
即使在使用基于云的工具的情况下,公司需要对自己的安全负责。一些公司在基于云的服务顶部提供额外安全的公司包括FireKayers,Adallom(最近由Microsoft收购),Netskope,Skyhigh Networks,Elastica(最近被蓝色外套收购),CipherCloud和BitGlass。
2.储存尽可能少
公司需要尽可能地避免使用消费者的个人身份信息(PII)。例如,如果您需要在线处理电子商务交易,请使用像PayPal这样的服务,该服务可让您处理事务而无需存储客户的信用卡详细信息。这使得在PayPal上确保客户信息的负担而不是您自己的IT部门。当然,PayPal不是唯一的选择:Google钱包,Dwolla,条纹等也提供类似的福利。
对于确实在其服务器中像PII这样的敏感信息存储敏感信息的公司,考虑实现几种补充数据安全技术,以尽可能多地覆盖许多攻击向量。例如,应加密敏感数据,并且还需要确保您的身份管理和访问管理工具是最新的。并且您应该监视用户行为,从而为我们带来下一节。
3.迅速回应
公司可以通过自动化更快地响应更快。我们估计基于规则的安全自动化可以关闭当前黑客入侵的80%,使那些罕见的昂贵的安全专业人员能够将其努力和时间集中在最复杂和最严重的攻击中,同时最大限度地减少他们花费的时间在假阳性和常规事件。像这样的自动化会增加网络安全专业人员的生产力。此类别的公司包括六面,弹性系统,inCotas,Swimlane,Bit9 +炭黑,访问数据和指导软件。
[披露:我们的公司是六拉和飞行员的投资者。]
4.聘请执行领导
没有顶级管理人员的支持和领导,这一切都不会发生。如果首席执行官和执行团队没有将网络安全的优先考虑,那么它将始终仍然是事后,只在其他优先事项之后实施。这可能导致灾难,因为从目标到摩托图片的目标是显示的。
网络安全如何成为企业高管的严重关注的很好说明是网络安全保险领域。这类保险市场差不多几年前,尚未通过咨询普华永道预测到2020年收入达到75亿美元。
尽管存在耻辱和混乱的耻辱,但有许多公司在建立良好的安全实践方面表现出领导,并保护他们的数据以及客户,框,节奏设计系统,Netflix,Graham Holdings,Moran斯坦利和PayPal。这不是一个不可能的任务,只是一个艰难的任务。在违规发生之前开始准备。
Yoav Leitersdorf和Schreiber都是YL Ventures的合作伙伴,该伙伴在网络安全,云计算,大数据和软件软件公司中投资。
