什么是网络安全?

阅读 Elastic 全球威胁报告

网络安全定义

网络安全是指保护网络、系统、设备和其他敏感信息免受蓄意攻击和未经授权使用的实践。它是一个整体努力,需要在您的人员、流程和技术之间保持一致。为了保护组织的资产、员工、客户和用户,当今的网络安全专家使用各种策略来保护其数据。在一个日益数字化的世界中,保护网络安全至关重要,以确保

  • 个人隐私和安全:网络安全通过防止黑客利用识别信息或直接或间接威胁人身安全来保护个人隐私和安全。
  • 保护金融资产和知识产权:网络安全薄弱会导致网络犯罪分子窃取机密商业信息,例如商业秘密、产品设计和其他专有信息。
  • 维护业务运营:网络攻击会扰乱组织的正常运作,中断服务并造成广泛的损失。
  • 声誉完整性:数据泄露或其他网络安全事件会损害组织的声誉,使其难以吸引和留住客户、投资者和员工。
  • 关键基础设施的弹性和可靠性:针对能源、交通和水系统等关键基础设施系统的网络攻击会影响个人安全和社会运作。
  • 法律和合规保证:网络安全薄弱会导致不遵守数据隐私法规,例如 GDPR 和 HIPAA,从而导致监管问题、经济处罚和其他后果。
  • 国家安全:网络安全对于维护国家安全至关重要,因为它可以保护政府和军事网络免受网络间谍活动和可能危及敏感信息的网络攻击。

为什么网络安全很重要?

网络安全对于降低网络攻击的风险并确保现代世界基础数据、系统和网络的完整性、机密性和可用性至关重要。根据网络安全风险投资1,到 2025 年,网络犯罪预计每年将造成 10.5 万亿美元的损失。从企业的角度来看,网络安全很重要,因为它可以保护组织免受可能造成重大损害的威胁。

数据泄露是组织遭受负面影响的最常见来源之一。由于立即的监管罚款和长期的声誉损害,此类数据泄露的影响对相关组织具有持久的影响。如果没有适当的网络安全保护,组织将面临敏感信息丢失的风险,包括知识产权、财务信息和个人身份信息 (PII),例如员工和客户联系信息、社会安全号码和医疗保健信息。

数据泄露不幸的是很常见。根据IBM 安全数据泄露成本报告 20222,超过 83% 的组织经历过不止一次数据泄露。

当攻击发生时,它们会很昂贵,会伤害员工和客户,并可能导致组织失去消费者对其的信任。这就是为什么每个组织都必须优先考虑降低网络安全风险的原因。

网络安全类型

术语“网络安全”包含许多不同的努力和策略,所有这些策略都旨在保护组织免受漏洞的影响。以下是当今组织关注的一些最常见的网络安全领域。

  1. 安全信息和事件管理 (SIEM)

    安全信息和事件管理 (SIEM)是一种网络安全解决方案,用于检测和响应组织内的威胁。从本质上讲,SIEM(发音与“him”押韵)收集日志和事件,规范化此数据以进行进一步分析,这些分析可以表现为可视化、警报、搜索、报告等。安全分析师可以使用 SIEM 解决方案来处理高级网络安全用例,例如持续监控、威胁狩猎以及事件调查和响应。

  2. 端点安全

    端点安全是指保护连接到网络的设备(例如笔记本电脑、服务器和移动设备)的做法。理想的端点安全解决方案可以防止勒索软件和恶意软件,检测高级威胁,并为响应者提供重要的调查背景。

  3. 云安全

    云安全是指保护云技术免受错误配置和攻击的做法。正确的云安全解决方案将通过提供对云态势的丰富可见性来保护云部署。它将通过预防、检测和响应功能来保护云工作负载——所有这些都集成在一个解决方案中。

  4. 安全编排、自动化和响应 (SOAR)

    安全编排、自动化和响应 (SOAR)使安全团队能够标准化和简化其组织对网络攻击和事件的响应。SOAR 优化了安全运营中心 (SOC) 内部和外部的工作流程——使分析师能够将精力集中在保护其组织的生态系统上。

  5. 应用程序安全

    应用程序安全是指保护应用程序的做法,无论这些应用程序是在云中运行、在本地服务器上运行还是在客户端设备上运行。这包括在应用程序中创建、开发、添加和测试安全功能,以确保它们的功能。适当的应用程序安全确保应用程序中的数据安全,不会被盗。

  6. 网络安全

    网络安全侧重于保护网络基础设施免遭滥用。它传统上结合了许多不同的策略和策略,包括(但不限于)防火墙、入侵防御/检测系统、网络隔离、VPN 和其他解决方案。

  7. 物联网安全

    恶意行为者有时会针对连接到网络的特定物理设备。这些设备包括支持 Wi-Fi 的设备,例如汽车、安全摄像头和智能冰箱。物联网 (IoT) 安全是网络安全实践,确保这些设备不会将威胁或漏洞引入网络。

  8. 威胁情报

    威胁情报通过分析收集的数据来帮助安全团队抵御网络攻击,这些数据提供了对攻击者策略和目标的洞察。通过威胁情报,团队可以识别攻击者活动的模式,并为其组织制定适当的防御策略。

  9. 身份和访问管理

    身份和访问管理(通常称为 IAM)是管理数字身份和用户访问的框架和技术。IAM 包括双因素或多因素身份验证、特权访问管理以及在系统或平台内分配访问级别。通过实施健康的 IAM,组织可以确保登录安全,并且只有合适的人员才能访问敏感信息。

  10. 零信任

    零信任是一种网络安全框架,要求所有用户——无论是谁——在访问数据、应用程序和其他系统之前都必须经过身份验证。零信任之所以受到青睐,是因为当今的员工分布式。它考虑了可能从智能手机、笔记本电脑和其他设备工作的远程员工。

  11. 移动安全

    移动安全是网络安全的一个分支,它关注保护移动设备,例如笔记本电脑、智能手机和平板电脑。随着移动设备在工作场所中使用的增加,移动安全变得越来越重要。

如何衡量网络安全的有效性?

衡量网络安全程序的成功可能具有挑战性,因为很难量化安全措施在防止网络攻击或数据泄露方面的有效性。但是,组织可以使用一些指标来评估其网络安全程序的性能,例如

  • 合规性:评估组织与相关框架和法规的合规性,将网络安全程序与一组有价值的最佳实践相一致。
  • 威胁检测和响应时间:衡量组织检测和响应网络威胁的速度,可以表明其安全工具和流程的有效性。
  • 风险降低:评估组织在降低其敏感信息和系统整体风险方面取得的成功可能会有所帮助。这可以通过比较实施新安全措施前后网络攻击的可能性和影响来衡量。
  • 渗透测试:定期执行内部和外部安全审计以及渗透测试,可以帮助组织识别其安全程序中的漏洞和差距,并相应地改进它们。
  • 投资回报率 (ROI):衡量程序的成本效益,通过分析安全措施的成本与它们产生的收益的比率,可以帮助说明网络安全预算的使用情况。

没有一个网络安全程序可以保证 100% 的保护,因此要争取对组织的预算、资源和风险承受能力有效的成果。

什么是网络攻击?

网络攻击是指试图窃取、破坏、更改或破坏数据及其底层系统的恶意企图。如果成功,网络攻击会以财务损失、系统停机、敏感数据泄露和系统禁用等形式损害组织。

网络攻击者的动机各不相同,但动机通常是经济的、个人的或政治的。有时,网络攻击者试图通过盗窃金钱和数据来获取经济利益。其他时候,他们代表国家参与网络战或网络恐怖主义。一些攻击者可能会发动攻击以监视竞争对手,以获得优势。

网络安全威胁类型

在当今的环境中,存在许多不同类型的网络安全威胁。不法分子以各种方式攻击网络、应用程序和物理设备。以下是一些组织努力避免的最常见的网络安全威胁类型

  • 恶意软件:恶意软件的简称,此威胁类别包括病毒、特洛伊木马和其他恶意软件,这些软件会损坏或破坏计算机系统,窃取敏感信息,或使未经授权的访问网络成为可能。
  • 勒索软件:勒索软件是一种高级恶意软件,旨在扣押用户的资料或阻止使用系统,直到用户支付资金解锁为止。通常,这是通过加密某些文件类型来实现的,然后迫使用户支付赎金以获得解密密钥。
  • 网络钓鱼:网络钓鱼是指试图获取敏感信息(例如信用卡号码、社会安全号码或其他可用于不法目的的信息)的攻击。网络钓鱼攻击者使用电子邮件、短信、电话或社交媒体试图欺骗用户通过看似合法的通信分享信息。
  • 内部威胁:这涉及拥有组织网络或系统授权访问权限的个人或团体,他们随后利用该访问权限来伤害组织。
  • 社会工程:这包括利用人类心理,欺骗个人或组织以获取敏感信息、敏感网络资源和财务信息的策略。
  • 高级持续威胁 (APT):这些是协调的、持续的和隐蔽的网络攻击,通常由国家或犯罪集团实施,旨在从特定组织或个人窃取敏感信息。
  • 物联网漏洞利用:网络犯罪分子越来越多地将物联网设备作为访问组织网络和敏感数据的途径。
  • 分布式拒绝服务 (DDoS) 攻击:这是一种网络攻击,试图通过来自多个来源的流量淹没网站或网络资源,使其不可用。

网络安全挑战

尽管大多数企业在网络安全方面投入了大量时间和资源,但防止网络攻击仍然是一个挑战。随着数字环境变得越来越复杂,保持一切安全变得更加困难。再加上恶意行为者变得越来越复杂,挑战层出不穷。

以下是一些企业今天面临的最常见的网络安全挑战

网络攻击总体增加

在过去几年中,组织经历了网络攻击的增加。根据S-RM 发布的 2022 年网络安全洞察报告3,75% 的组织在过去三年中经历了严重攻击,比前一年增长了 60%。这些攻击不仅在增加,而且成本高昂,使企业平均损失了 340 万美元。

云服务的兴起以及计算和网络的复杂性

企业不再将所有数据存储在本地。相反,他们使用云计算来支持越来越多的远程员工。虽然这在数据存储、工作流程和许多其他领域提供了实质性的改进,但它也为网络和系统引入了复杂性,从而带来了更多漏洞和风险。

对数字资产的依赖

与以往相比,组织更加依赖数字资产来完成任务、存储敏感信息以及管理用户和客户。根据麦肯锡4 的报告,COVID-19 大流行促使企业迅速增加对数字技术的采用。2020 年 7 月,58% 的客户互动是数字化的,高于 2019 年的 36% 和 2018 年的 20%。虽然这对员工、客户和用户来说是一种积极的体验,但依赖数字技术会带来各种网络安全挑战。

网络犯罪分子不断变化的策略

随着技术的进步,网络犯罪分子的策略也在进步。许多人现在正在创建专门针对云技术的窃取信息的恶意软件。由于如此多的企业依赖云服务,风险很大。网络犯罪分子不断发展以绕过安全措施,因此广泛的保护措施以及对系统的细粒度视图非常重要。

人为因素

个人通常是抵御网络攻击的第一道防线。这包括最终用户、系统管理员、安全分析师以及负责实施和维护网络安全措施的其他员工或承包商。组织应培养安全意识文化,培训员工如何识别和避免网络威胁,并采取措施保护组织的资产和数据。

网络安全用例

在当今的威胁环境中,企业需要安全技术来解决多个用例。在这里,我们将探讨对您的组织至关重要的网络安全用例

持续监控

Custom visualizations and application data to perform continuous monitoring with Elastic Security

持续监控提供强大的运营意识、简化的安全分析和持续的视觉反馈。实现对整个环境的可见性是保护组织的第一步,也是最基本的一步。

要为您的安全运营程序实现持续监控,请选择一个具有强大数据模式和预构建数据集成的可扩展平台,该平台支持您企业堆栈中最具创新性的技术。

威胁防护

Elastic Security alerting UI, with detection rules and machine learning jobs for automated protection


威胁防护 指的是保护组织免受常见网络威胁(如恶意软件、勒索软件和其他病毒)的技术、应用程序和其他安全解决方案。威胁防护背后的理念是,组织可以在造成损害之前阻止特定威胁。

组织可以采用多种不同的威胁防护类型。传统防火墙可以提供保护,网络访问控制、高级恶意软件防护 (AMP) 和应用程序可见性和控制 (AVC) 也可以提供保护。

调查与响应

Elastic Security UI for investigating and responding to cyber attack, including case management, investigation guide, and analyzer view

当发生事件或威胁时,企业必须尽快进行调查和响应。快速响应至关重要,以便将攻击的影响降至最低。不幸的是,说起来容易做起来难,导致数据泄露的平均总成本为 435 万美元2

为了实现安全运营计划的调查和事件响应,企业必须选择一个具有强大数据模式和预构建数据集成的可大规模扩展的平台,以支持您堆栈中已有的技术。

威胁狩猎

Elastic Security interface for threat hunting with network security map and osquery host inspection

威胁狩猎 是一种主动方法,用于查找、检测并最终最大程度地减少漏洞和网络攻击。通过威胁狩猎,IT 部门将主动调查任何异常情况,调查它们,并确保没有可能导致大规模泄露的恶意活动。威胁狩猎对于打击高级持续性威胁特别有用,因为这些威胁可以在网络环境中潜伏数月而不被发现,同时收集敏感信息。

没有网络安全可以吗?

以下是一些常见的误解或乐观的想法,可能会让一些组织陷入困境

"数据泄露是发生在其他公司的事情,不会发生在我们身上…"

许多公司认为这种情况永远不会发生在他们身上,但数据泄露很常见。最好做好准备,制定事件响应计划、检测和控制泄露的方法以及恢复计划。通过接受数据泄露可能发生的现实,公司可以采取主动措施来降低风险并最大程度地减少影响。

"我们的网络很安全,因为我们有强大的边界…"

虽然防火墙可以提供基本的安全级别,但它们不足以防御所有类型的网络威胁。网络犯罪分子可以利用您网络基础设施中的漏洞,使用复杂的恶意软件绕过防火墙,并访问您的敏感数据。

"我们不需要集成我们的安全技术来保护我们的企业…"

基本的安全措施(如防病毒软件和防火墙)很重要,但它们不足以防御当今的先进网络威胁。为了快速检测和响应网络威胁,组织需要一个全面的安全策略,将关键安全工具之间的集成与明确的策略、程序和处理安全相关问题的指南相结合。

"我们不需要担心来自供应商的网络攻击…"

许多组织依赖第三方供应商提供各种服务,例如云存储、软件开发和 IT 支持。虽然这些供应商可能已实施了自己的安全措施,但组织必须独立验证其安全协议,并确保它们符合行业标准。

网络安全中的速度有多重要?

攻击者可以在短时间内造成很大破坏。在您下载文件所需的时间内,相同的间隔可能足以让攻击者卸载敏感信息或部署恶意软件。速度对于安全团队实时响应事件至关重要,这样才能在事件造成潜在损害之前将其阻止。

谁负责网络安全?

说实话,公司中的每个人都对管理网络安全负有一定的责任。但是,如今的企业聘请首席信息安全官 (CISO) 来领导和指导组织内的网络安全举措。CISO 是 C 级高管,负责评估风险并寻找解决方案。

以下人员还负责管理网络安全

网络安全分析师

网络安全分析师保护其雇主免受网络攻击和/或未经授权访问公司财产(包括网络、主机、服务器和应用程序)。在此职位中,分析师直接负责主动防御网络威胁,并在发生网络攻击时进行响应。看看分析师的一天是什么样的。

安全工程师/架构师

在此职位中,工程师/架构师领导开发人员、工程师、管理员、业务领导和其他组织成员之间的协作,以实施和改进安全基础设施。架构师必须平衡健全的基础网络安全策略、敏感数据的加密方法,并概述必要的或所需的安全性。

安全运营中心 (SOC) 经理

SOC 经理领导组织的安全运营团队,建立流程,监督招聘和培训,并将高级见解传递给首席信息安全官 (CISO)。

网络安全顾问

网络安全顾问可以以顾问身份为一个或多个组织提供服务,提供从基本系统基础设施到高级安全技术实施的任何方面的见解。他们的最终目标取决于他们的合同,但所有顾问都将共享保护公司数据的共同使命。

漏洞分析师/渗透测试人员

漏洞分析师和渗透测试人员受雇或签约以识别和评估组织系统、网络或更广泛生态系统的潜在漏洞。渗透 (pen) 测试人员充当“白帽子”黑客,使用各种工具来查找系统弱点,这些工具也可能被邪恶的“黑帽子”黑客使用。

网络工程师/架构师

从网络设计到初始配置到监控,网络工程师/架构师的角色处理所有与网络相关的事项,以确保最佳性能。该角色处理的不仅仅是防火墙,它还管理与网络流量进出组织的方式相关的策略。

系统工程师/管理员

系统管理员或工程师通常被称为 SysAdmin,负责管理组织更广泛的 IT 基础设施(服务器、应用程序、操作系统等)。此角色对于业务的成功和正常运行时间至关重要。

使用 Elastic Security 现代化 SecOps

Elastic Security 提供对威胁的无限可见性,缩短调查时间,并保护您的企业免受不断变化的威胁环境的侵害。使用 Elastic,用户可以享受开放且集成的安全方法,包括开箱即用的保护、可自定义的分析师工作流程、深入的上下文洞察以及按需付费的采用模式。

免费试用 Elastic Security,了解如何领先于网络威胁。

网络安全资源

脚注