您的位置:首页 >国内新闻 >

优先考虑网络安全以保护您的业务,以免为时已晚

2022-03-02 08:56:59来源:

在商业世界中,收入是国王 -- 这是可以理解的。一个企业只有在创造收入的情况下才能增长,而一个没有明确收入途径的企业在这个世界上并不长。

也就是说,痴迷于短期利润 -- 只有利润 -- 会导致企业家忽视他们业务的其他重要部分。如果企业家只专注于尽可能快地赚钱,他们很可能会忽略安全性和信任带来的粘性-从长远来看,他们会为此付出代价。

当安全是事后的想法时会发生什么

网络安全需要站在每个企业的前列,尤其是大型企业,但往往不是。一些企业家认为强调安全会阻碍创新。其他人认为,无论是在人力还是金钱方面,它都花费太多。还有一些人根本没有优先考虑它。

不幸的事实是,如果你不关注你公司的数据安全,坏人会的。看看最近发生的一些事件,因为回想起来,公司认为安全是事后的想法。

Zoom的安全声明

正如TechCrunch报道的那样,Zoom最近与FTC就该公司关于使用端到端加密的主张达成了和解。显然,公司不是。联邦贸易委员会 (FTC) 召集该公司,并迫使Zoom改变其做法,以不再歪曲其安全措施。在Zoom的情况下,承诺的安全性是事后才想到的。

Twitter通过Slack入侵

早在7月,Twitter就看到几个大账户被黑客入侵,以宣传比特币骗局。根据Mashable的说法,黑客通过公司Slack帐户上不受保护的凭据访问了Twitter的系统。在这种情况下,Twitter Slack帐户的安全性是事后才想到的。

微软

在4月中,Microsoft团队遇到了一个漏洞,该漏洞可能使攻击者可以使用恶意的GIF图像从该公司的帐户中窃取数据。Threatpost说,CyberArk的研究人员发现了这一威胁,微软随后对其进行了修补。没有数据被盗,但这可能是被盗的,所有这些都是因为微软认为团队安全是事后才想到的。

由于这些公司都是家喻户晓的名字,很明显,它们幸免于难。但是,请记住,这些都是规模达数十亿美元的大型公司,它们经营着挑战,使其变得太大而不能倒闭。数据泄露对一个刚刚进入这个挑战的小企业意味着什么?

研究表明,60% 的小企业必须在网络攻击后的6个月内关门。因此,较小的企业应该把这些事件作为一个重要的警告信号,而不是关注这些企业是如何反弹的 -- 他们很可能不会那么幸运地在这样的攻击中幸存下来,因此,应该从这些大公司的错误中吸取教训,并从一开始就确保安全是优先事项。

如何以正确的方式进行安全保护

在安全方面,做正确的事情并不难。认真对待安全性是一个简单的问题-并且知道恶意行为者在其行为中是故意的,持久的和耐心的。他们故意策划可以利用你的安全漏洞的事件。他们坚持不懈地寻求不同的攻击途径,他们有耐心,有能力等待适当的机会突袭。

作为回报,你的网络安全努力也应该是深思熟虑的、持久的和耐心的。认真努力保护您的数据和系统,持续提高您的安全性,并耐心建立长期安全的环境。

您可以通过关注这些要点并在整个组织和软件开发生命周期中强调安全性来区分您的公司。与企业安全一样重要,它是有代价的。所有的恶意行为者都会想要测试你的安全断言。当然,如果你不加强安全,他们也会测试你。为他们做好准备总比没有做好准备好。

成本与安全性

一些高管质疑企业安全成本。评估任何业务努力的成本与收益是公平的,但在网络安全的情况下,你会发现投资是必要的。良好的企业安全性可能涉及更多的工作并产生更多的前期成本,但这与忽略安全性,然后可能成为漏洞,勒索软件攻击或发布易受攻击产品的受害者的成本相比,算不了什么。

您所要做的就是将网络攻击的成本与网络安全支出进行比较。Gartner预测,今年全球在信息安全方面的支出将接近1240亿美元。你可能会认为这听起来很多,但根据网络安全风险投资公司的数据,一旦你意识到2021年年底全球网络攻击成本将达到每年6万亿美元,这似乎并不那么激烈。网络攻击的损害仍然超过网络安全的成本,并将继续这样做。

透明度的重要性

尽管加强贵公司的网络安全有好处,但除非你采取透明的做法,否则这种安全的成本是无法克服的。通过拥抱透明度,您可以帮助您和其他人使网络安全更加负担得起,更加有效。

安全方面的透明度意味着开放您的代码,聘请最好的安全专家来测试您的产品,并开放您的结果。通过将bug赏金构建到您的安全质量检查流程中来支持bug赏金搜索也很重要-对流程的关注越多越好。内部透明度也是关键。建立基于单元测试和基于安全性的CI/CD的文化是确保您的团队齐心协力构建更好,更安全的产品的重要方法。这里的重要胜利是,这些过程创造了更好,更高性能的产品,而这些产品恰好更安全。

担保完成权的特征

当安全措施正确时会是什么样子?有关键特征:

对于做出加密承诺的产品,必须使用开放协议/源代码来增强透明度。

安全性内置在您的系统和流程中,而不是固定在您的系统和流程中。如果您是一个没有单元测试的开发组织,那么您就不会致力于安全性。

零信任安全原则被接受并扩展到最终用户之外。不要自动 “不信任” 你的最终用户。这一理念应该在你的周围或外部延伸 -- 包括你的安全团队和你的服务提供商!

如果您的公司可以采用这些方法,那么您将减少风险因素并更好地保护公司和客户的数据。从短期来看,这可能并不总是一条容易的道路,但从长远来看,您将拥有更多忠诚的客户,并避免争先恐后地修补和响应的超昂贵过程。