随着这一年的结束,很多人都希望抓住机会拥抱新的一年,再也不回头。但其实,我们可以从过去12个月面临的挑战中吸取教训。
下面让我们看看今年SearchSecurity读者最喜欢的一些安全文章,这些文章深入探讨数据安全方法、零信任、勒索软件和云计算的未来。
数据安全和保护是IT的首要任务
在任何时候,保护敏感数据、维护客户隐私和确保合规都是企业的头等大事,特别是在2020年。这些职责可能是巨大的,其中大部分由IT和信息安全团队承担。
数据安全性和保护的重要性也反映在2020年最受欢迎的网络安全文章中。其中阅读量最多的文章是关于数据安全的终极指南(点击此处查看)。该综合资源说明了保护数据的重要性,并汇编了行业最佳做法、数据隐私标准以及有关如何制定数据安全策略的专家建议。
但是,并非所有数据都相同。每个企业执行的数据分类也不同,数据分类是确定数据的敏感度级别(进而确定安全协议)的过程。在这篇文章中,网络安全专家Andrew Froehlich详细介绍了保护静态、使用中和移动中敏感数据的最佳做法。
对于任何数据安全程序,加密都是必要因素。由于将纯文本转为密文可阻止恶意行为者读取或使用数据,因此对于IT领导者来说,掌握密码学基础至关重要。在Pearson出版的《Computer Security Fundamentals》的摘录中,作者Chuck Easttom介绍了对称密钥加密算法的基本原理,以确保敏感信息的安全。
CISO战略反映零信任趋势发展
今年每个安全团队都面临独特的挑战,具体取决于企业的规模、行业、IT预算等因素。但是,从广义上讲,很多安全领导者都面临着某些持续的障碍。在这篇2020年最受欢迎的网络安全文章中,安全领导者和CISO讨论了他们面临的最大挑战,包括勒索软件、政治和零信任。
尽管零信任理念开始流行,但说起来容易做起来难。实际上,零信任安全模型比传统基于边界的安全模型需要更多的资源。在这篇文章中,你可以阅读专业人士在零信任部署方面的第一手资料,他们详细介绍了他们在业务中断、供应商产品等方面的经验。
很多安全领导者将PCI DSS视为用于保护支付卡交易的过时框架。PCI DSS的合规性持续下降,因为有些较大的组织更愿意选择支付违规罚款,而不是全面检查整个安全程序。查看这篇文章了解有关该标准的未来以及为什么某些CISO将零信任视为PCI DSS替代方案的更多信息。
勒索软件时代的征兆
2020年我们看到勒索软件攻击连连登上新闻头条。对于勒索软件团伙来说,这是重要的一年,他们利用COVID-19疫情的状况,主要针对医疗保健、制药和制造业以及教育机构和政府部门。
为了应对勒索软件的激增,企业争先恐后地加强数据备份和恢复流程、网络安全性和远程访问。请查看这篇预防网络钓鱼和勒索软件的全面指南,了解与疫情相关的网络攻击示例,并有关灾难恢复的专家建议。
云安全工具、控制和技术不断发展
管理和保护云环境(无论是私有、公共、混合还是多云)都是艰巨的任务。2020年的很多最受欢迎的网络安全文章都探索工具和最佳做法,以在整个云基础架构中提高可见性并应用安全策略。
虽然云安全银弹产品的概念是主观愿望,但Gartner研究人员认为,三个工具对于未来的云安全至关重要:云访问安全代理、云安全态势管理和云工作负载保护平台。你可以阅读这篇文章以了解这些工具以及它们如何改变云环境。
最安全的数据就是没有数据。因此,当不再需要敏感数据时,必须将其销毁,以防止未经授权的访问。在评估云服务提供商(CSP)时,IT主管需要询问的问题是:存储的数据删除后将如何处理。在本文中,由SANS Institute认证的讲师Kenneth Hartman比较了Azure、AWS和Google Cloud Platform如何处理数据销毁。
读者今年最关注的另一个云安全挑战是共同责任模型。由于CSP负责保护云基础架构的安全,而客户负责保护云内容的安全,因此云端很多数据安全责任在于客户。为了限制攻击和破坏机会,企业应该进行渗透测试以识别错误的配置和缺陷。在Packt出版的《Hands-On AWS Penetration Testing with Kali Linux》的摘录中,作者Benjamin Caudill和Karl Gilbert提供了有关如何配置和保护S3存储桶的说明。