科学技术

公司与网络之间的关系3

04/09/2022
比特币以太币新闻

企业如何应对日益增长的网络攻击以及 个人在网络中的重要性3。

数字化转型重振了许多公司的经济,这些公司通过拥抱数字世界和网络,真正注入技术来改进产品、生产流程、通信、提高生产力和易用性,从而转型和增强其业务。 

然而,与这种转变相关的问题并不乏,但另一方面,也增加了网络犯罪的攻击面,使公司面临更大的风险,而由于技术的本质,这些风险并不总是完全可预测的。 ,这会让任何没有准备好,或者更确切地说,没有跟上时代的人不知所措。 

穆迪报告显示系统性不一致 

进行的调查 穆迪总部位于纽约、负责制作经济和金融研究的私人评级机构表明,日益严重的网络风险威胁促使许多公司加大在这一领域的投资,试图增强防御能力以应对网络风险。攻击持续升级,但企业和组织在管理和预防攻击方面的准备工作仍存在许多差距。 

尽管关注度不断提高,但防御能力并没有跟上行业对网络安全投资的增加和攻击日益多样化的步伐,这表明招募和找到合格的人员远非易事,而威胁正变得更加复杂,攻击者的准备也更加充分。 

该报告在 5,000 年至 60 年间对 2020 多家金融公司、政府机构和公用事业公司进行了调查,提出了 2021 个问题,并评估了网络弹性的三个主要类别: 网络风险治理、操作风险管理和网络风险转移。 

图片

网络网络安全3

该论文发现,这一领域存在许多不一致之处,例如,许多网络安全官员的职位在不同行业之间差异很大,而且他们工作的公司很少向公众披露他们遭受的攻击,这表明报告之间存在差异董事会按时收到安全官员的信息,并将其向公众披露。 

信息技术 治理 分析表明,人们对安全问题、战略、角色和公司使用的工具给予了多少关注。它表明,如果公司高层(例如董事会)的知识更加扎实,那么较低级别的人员就会受到更多关注,并具有更多的可操作性,而不是相反。

即使有训练有素的网络经理,也表明只有一小部分网络经理直接向首席执行官或首席财务官(通常是组织内的两位最高级别官员)报告。在这个关头,最有道德的公司是那些与金融服务相关的公司,他们的报告更加详细和及时,显示出对这些方面的关注度高出一倍多,认为它们与公共部门相比非常相关,而公共部门在网络方面表现出了最明显的差距。安全。 

报告称,最大的差距是缺乏 标准 用于通知和评估在全球范围内采取的攻击:这使得识别威胁的严重性及其解决和管理变得更加困难,并且还影响公开披露,这不仅对于透明度很重要,而且对于风险的可预测性尤其重要这些信息可以在公司之间共享,从而预测未来的攻击。 

9 年 2022 月 XNUMX 日,美国证券交易委员会 (SEC) 发布了网络攻击报告指南修正案,该指南专门旨在为投资者提供需要早期干预和事件通知的风险管理和安全治理策略,并为其做好准备。 

由于报告准则没有法律要求,公司不太可能披露这些准则,而是试图将攻击保密以保护其客户和投资者。在依法执行这些准则的部门中,网络准备和网络投资之间存在更好的一致性。  

报告强调的另一个差距是基本安全策略和高级安全策略的使用之间的差距,企业在这些领域远远落后,难以跟上时代的步伐。投资的分配很不寻常,很大一部分资金投入保险以弥补攻击造成的损失,而不是投资于培训和预防。 

公司员工对基本 IT 安全技能的需求也越来越大,他们通常被认为是遭受网络攻击的最薄弱环节。自 2018 年以来,几乎所有部门的受培训员工比例均实现了两位数增长,但公共部门除外,该部门再次排名垫底。在最谨慎的公司中,为了达到预期的标准和结果,会出现旋风般的人员流动。 

网络安全投资增长迅速,如图所示:15年IT投资年增长率为2019%,17年为2020%。 

网络网络安全3

不仅增加了采购工具和技术人员的投资,而且维护这些标准的投资也增加了,这需要持续的维护和升级。然而,仍有相当一部分公司尚未将网络安全作为一个具体项目。 

根据分析结果,最常见的对策可以通过采取预防而非解决系统来找到,并且其中许多策略通过在各个级别和角色中保持高度关注而不断付诸实践: 

  • 漏洞扫描,旨在检测攻击者可以在公司网络、计算机和应用程序中利用的已知弱点。  
  • 事件响应计划 通常由书面计划组成,概述发生安全漏洞时应遵循的程序、响应所需的具体人员及其具体角色。这些计划在定期测试、审查和更新时最为有效。 
  • 多因素认证。它在大多数行业得到广泛采用,特别是金融机构 (95%) 和企业 (90%),与公司内各个级别的合格人员相结合,是最好的防御措施之一。 
  • 每周数据备份 对与组织网络断开连接的系统进行恢复是在勒索软件攻击后快速恢复操作的有效方法。这些攻击通常会对受害者的文件进行加密,从而阻碍或中断操作,直到攻击者提供勒索密钥(勒索软件)或受害者使用现有备份成功恢复其系统。 
  • 网络风险评估 目标是在接管之前捕获数据以识别网络漏洞并集成新的防御工具。 

但鉴于威胁的数量不断增加、其复杂性以及安全措施的复杂性,人们普遍关注,导致公司安排不同的测试并增加对合格人员的培训;以下是最常见的: 

  • 渗透测试 (笔测试)是模拟网络攻击,以评估组织的互联网可访问应用程序和网络。 
  • 桌面练习,用于测试组织的事件响应计划的实际演习,包括响应不同网络攻击场景的工具、程序和能力。 
  • 红队测试,是一种更有针对性的渗透测试形式,通常涉及内部和外部团队使用现实攻击策略来测试组织的物理和网络安全防御以及事件响应计划。 

长期不可持续 

正如我们所看到的,公司和组织正在将注意力和资金投入到网络安全上,但这正在产生一些严重的差异。缺乏合格的人员、选择将资金投入保险而不是采取预防措施、私营部门和公共部门之间日益扩大的差距,意味着近年来的许多袭击造成了巨大的损失,根据最新估计,损失约为 13 万人。全球每家公司的收入比去年增长了 12%。 

其中,对策不足的比例达到45%,随着攻击频率的增加,从平均45次增加到11次之多,这将导致企业面临更大的风险和更高的成本。 

Web3 和加密世界 

虽然 web2 已经表明,公司保持最新状态并增加网络安全预算是多么重要,但 web3 的重点必须转移到作为信息神经中枢的个人,他们必须投资于培训以保护他们的数据。 

越来越多 网络威胁与 web3 工具和服务相关,加密世界充满了这种情况,而最有效的攻击仍然是社会工程攻击,这表明最终用户毫无准备。 

各种加密货币交易所比任何其他行业都更加适应,在内部通过采用应对威胁所需的所有策略和工具给予了极大的关注,但最重要的是尝试通过文档、论文和技术来培训最终用户。学习赚钱计划旨在通过完成平台提供的工具的安全和知识方面的重要任务来奖励最终用户,并认识到使用该平台的人自身系统中的薄弱环节。 

“技术问题是可以解决的。不诚实的企业文化更难修复”。 ——布鲁斯·施奈尔  

资料来源:https://en.cryptonomist.ch/2022/04/09/global-cyber-security-companies-web3/