中国传统新春佳节即将到来。在经历了艰难的一年之后,又面临着更具挑战性的2021年,数字防御专家们并未觉得他们可以放松警惕。相反,他们希望借助网络安全工具和其他资源来帮助他们应对各种威胁。
下面,来看看安全人在新年最想和最需要的网络安全工具。
1.技能熟练的网络安全员工
安全专家最需要的是更多的安全专家。
当前的现状是缺乏技能熟练的员工。所谓的网络安全技能差距是一个非常现实的问题。我们没有足够的合格候选人员来弥补这一差距。随着网络安全格局变得愈发复杂,该领域的从业者也变得越来越专业。他们拥有的经验和资格证书以及受过的培训都具有高度的针对性,这使得想要招聘这样的专业人才变得更加困难。
尽管技能差距得到了一定程度的弥补,但2020(isc)2网络安全劳动力研究报告显示,在美国该领域需要大约41%的增长,而在全球范围内需要89%的增长,才能弥补这一技能差距。此外,绝大多数(56%)的受访者表示,其雇主因为专业人才短缺而面临更大的风险。
当然,造成短缺的原因在于该领域需要更多的培训、认证和教育,也需要提升大学生对该领域的认识以及总体关注。所有这些都应该成为整个行业在新的一年要达成的目标。
2.居家办公业务连接所用网络安全工具
在今年匆忙启动远程工作模式的形势下,没有哪个企业有时间去解决这样一个现状,即通过“装备不足”的消费者isp开展大量业务。更糟糕的是,员工的个人计算机、平板电脑、手机、游戏系统和消费物联网(iot)设备都位于同一wi-fi网络上。他们使用相同的路由器,并通过相同的互联网服务提供商进行连接。这是带宽和防御的噩梦。
同时,威胁实施者时刻都在寻找利用这种定时炸弹的新方法。专业防御人员也是如此,尽全力寻找解决问题的方法。
我们可以思考一下远程工作的涵义。对于今年来说,最完美的礼物可能就是为每个家庭的远程工作者提供独立的业务网络和路由器。最理想的情况是远程工作者只能通过公司的虚拟专用网络进行办公,仅允许使用公司提供或批准的设备进行连接。
3.需要强大密码管理的网络安全工具
尽管我们会说起未来的后密码时代,也经常看到相关文章,但就目前来说,密码仍与我们息息相关。仅考虑采用强密码、唯一密码或使用密码管理器并进行相应的培训是不够的。有太多的员工只会图省事,在多个站点上使用从不更改且易于记忆的密码。
大多数用户都不会采用良好的密码维护措施,这是导致威胁实施者轻松窃取数据的原因之一。在窃取密码后,威胁实施者便可访问以某种方式连接到企业系统的帐户和计算机。
在此情况下,我觉得一个不错的礼物就是操作系统级别的网络安全工具,此类工具可以轻松启用,确保用户在任何网站、应用或设备上输入的密码都是来自获批准的密码管理器。密码管理器需要采用经常更改的强密码,而且通过生物识别技术方便用户使用。
4.自上报物联网(iot)设备
物联网设备是一种非常不错的礼物,但也是表现糟糕的“网络公民”。它们不受控制地散布在各个行业,以及远程工作者的家中。如此多的物联网设备大大增加了攻击面,因为它们具有强大的功能,可以通过网络传输数据,但同时又存在不足,无法对数据进行加密。
更糟糕的是,这些设备往往未经许可便出现在企业网络中。谁曾想到过自动售货机、数码相框、智能狗项圈会成为攻击入口?
就这个假期而言,我们希望建立一个面向物联网设备的新框架,一个能够拦截非必要连接的标准。此类设备必须每年由安全人员重新批准,同时记录关键数据并自动上报到数据库中。此类数据包括设备的位置、类型、安装者、访问者、访问时间以及电池电量。
基于ai的高级威胁情报系统可以访问此类数据库,检测可能的恶意使用。这可为现有网络安全工具提供一流的数据,帮助它们更好地完成工作。
总之,这里的原则是,在未经许可的情况下,不得通过网络操作任何物联网设备,即便是操作鼠标也不行。
5.能够预计攻击、估算成本的网络安全工具
有一种可以不断付出的礼物,作为一种信息下载工具,它能够对数千个实体中因发生网络攻击而产生的持续更新信息进行下载,包括攻击种类、财务损失估计值,以及可扫描组织基础架构、策略和人员基础信息的其他数据。这些信息可用来估算损害的可能性及损害金额(以美元计)。
参与小组会匿名上传与所有指标、攻击事件及其成本相关的数据。之后,通过机器学习算法开发和修改估算数据。
该工具会基于可能性和美元金额显示网络犯罪风险。因此,网络安全领导者可以参加预算会议,带上非专业人员和业务领导者能够理解的网络安全预算细分。例如,可以这样表述:基于该组织当前的总体安全状况,企业因遭受灾难性攻击而倒闭的可能性为7%;今年的网络攻击造成10亿美元以上损失的可能性为20%等等。
6.网络安全最佳实践虚拟助手
手机、智能音箱和智能显示器上的虚拟助手越来越受欢迎。这些设备的主要功能是帮助人们获得天气信息、了解名人琐事、设置计时器、播放音乐等。
网络安全专家真正想要的是一个可以帮助并指导员工掌握网络安全最佳实践的ai虚拟助手。当员工点击邮件中的链接时,此类助手会拦截点击并询问:“确定要这么做吗?恶意链接可是网络钓鱼攻击的第一大来源。”
当另一台设备被添加到网络后,它会主动联系it人员并告知他们有关该设备的信息。
很大一部分的网络攻击源于被攻击者利用的员工,这些员工被社交工程技术所欺骗,在不知不觉中帮助攻击者获得访问权限。
送给网络安全专家的一份精美节日礼物是摆在架子上的ai小精灵,它可以帮助用户执行安全最佳实践,为公司安全贡献自己的力量。
7.由多个云构成的云
云的最初概念是将未指定的远程资源统一到单个虚拟服务器中。云的设计者原本是打算用云来简化这些资源,但它本身却变得越来越复杂。现在,我们拥有复杂的混合多云环境,保护难度越来越大。
不过,如果有一种方法可以将所有这些云作为一个单元来保护和管理,情况将会如何?那就会出现“由多个云构成的云”。
以上就是安全人2021年新春假期的愿望清单。提前祝大家新春快乐!。
作者简介
mike elgan
目前为computerworld撰写每周的热门专栏,为fast company撰写新闻分析文章,每月还会为面向数百万读者的各种出版物撰写专题文章、专栏和评论文章。自上世纪90年代初以来,一直担任windows magazine及其他各种技术出版物的主编,其中大多数都是由我创立、共同创立或发起的。