澳大利亚政府如何建立国家网络安全复原力并抵御威胁
随着2020年远程工作的大幅飙升,加上持续的大规模数据泄露和对网上隐私泄露后果的日益关注,公众对网络安全的关注从未如此强烈。因此,世界各地的政府已经介入,重塑和更新他们的网络安全计划和基础设施,包括企业在处理我们最宝贵的数字资源时需要遵循的战略和法规。
网络安全的战略保护准则并不是一个新概念,像NIST这样的组织多年来一直在为全球政府部门的政策提供信息。随着我们以惊人的速度推进数字化进程,许多人已经很难跟上不断变化的威胁、可能的攻击载体和合规要求的数量了。
最近,由于第三方服务器上的一个容易访问、配置错误的S3缓存,导致54,000份新南威尔士州驾驶执照被泄露,成千上万的人受到影响,报告此事的安全研究员承认,这些数据可能已经在暗网上被出售。可悲的是,这是一个很容易解决的问题,如果配置缓存的人把安全放在首位,就根本不可能发生。
澳大利亚政府最近发布了《2020年澳大利亚网络安全战略》,强调了新的举措和16.7亿美元的资金投入,以实现他们 "为澳大利亚人、他们的企业和我们所依赖的基本服务创造一个更安全的网络世界的愿景"。这显然是一个非常受欢迎的审查和更新的计划,特别是由于其中的一个主要目标是。
"企业采取行动,确保其产品和服务的安全,并保护其客户免受已知网络漏洞的影响"。
虽然政府机构倾向于关注(他们应该关注)有关一个国家的关键基础设施的安全措施--那些已经成熟的、有组织的灾难性攻击的领域--但过去缺乏的是对那些每天收集和使用我们的数据的公司的指导。
现在,当涉及到像这样的官方战略时,它并不总是啤酒和糖果。它可能有点难以解释,而且在细节上模糊不清,让一个组织的安全团队根据非具体的指导方针来拼凑一个计划。这个问题并不是澳大利亚政府独有的,但让我们分析一下他们的全新版本。
注重反应,而不是预防。
更新后的澳大利亚网络安全战略与2016年的最后一次发布相比,有了更多相关的提升,为企业,尤其是中小企业制定了相当全面的计划。该战略概述了。
"政府和大型企业将协助中小型企业(SME)成长,并提高其网络安全意识和能力。澳大利亚政府将与大型企业和服务提供商合作,向中小企业提供网络安全信息和工具,作为安全服务(如威胁阻断、防病毒和网络安全意识培训)的 "捆绑 "部分。
这将为中小企业提供一个体面的基本基础,在此基础上保护其业务免受网络威胁,但这主要是一种被动的方法,重点是检测工具--网络安全领域的一个相对较小的部分。
关于大型企业如何保护自己并减少其攻击载体的信息也少得令人惊讶。虽然许多人可能是保护关键基础设施(如电信、交通)计划的一部分,但当涉及到成功的网络攻击时,金融服务、零售和许多其他垂直行业会有很大的损失。也许这将是即将出台的立法的一部分,但即便如此,强调企业层面细致的网络安全最佳实践的重要性是看到重大变化的根本,并减少受损的数据和网络犯罪。
总的来说,当考虑到整个战略时,它是围绕着一个反应性的方法建立的。打击网络攻击,破坏活跃的网络犯罪分子并确保他们被起诉,以及与国际盟友分享情报,都是重要的因素,但想象一下,如果全国范围内的保护标准都集中在预防上。除了关键基础设施的保护措施外,如果每个企业都把安全放在首位,每个接触创造我们数字世界的代码的人都有适当的装备来阻止攻击发生,那么为受害者节省的时间、金钱和心痛是不可估量的。
复原力是可能的,但必须有计划。
从澳大利亚政府推动认真对待网络安全的行动中可以看出,网络安全已被确定为国家层面的一个关键风险领域。就像任何其他有能力破坏我们生活方式的恶意攻击一样,复原力绝对是至关重要的--不仅是为了抵御这种企图,而且是为了作为一种威慑,阻止它发生。在一天结束的时候,即使是威胁者也可能是懒惰的,如果有太多的障碍阻碍他们的成功,他们会转移到一个更容易的目标来实现其目标。
目前,我们面临着全球网络安全技能的短缺,这让全世界的CISO们夜不能寐。数十亿行的代码,不断发生的大规模数据泄露,以及比以往任何时候都更多的处罚风险(仅万豪酒店就因2018年的数据泄露收到了1.23亿美元的GDPR罚款......而且他们今年又发生了一次泄露),造成了对安全专家的需求鸿沟,从现实来看,这个鸿沟不太可能被关闭。代码太多,而资源太少,无法确保它从各个角度得到加强。
那么,我们是否应该放弃我们将真正在网络威胁面前站起来的想法?这是不可能的。弹性需要使用所有可用的资源,并领先一步思考。对于许多公司来说,他们的开发人员可以在编写代码时就开启一个强大的加固方法。当与整个企业的可见的、积极的安全文化相搭配时,这就提供了一个安全的基础,许多攻击者都难以撼动和打破。然而,这种方法需要以澳大利亚网络安全战略的建议为例,深入研究如何定制这些建议,以支持与企业相关的有效变革。
为此,有必要对一些提示进行分解。
- 安全意识培训。这是为中小企业特别呼吁的,在整个报告的背景下,主要是为了教导所有员工基本的安全卫生(如发现钓鱼邮件,不点击未知链接等)。现实上,它必须比这更进一步,成为特定的角色,特别是对那些接触代码的人,如开发人员。当务之急是,安全意识培训是预防措施和建立复原力的一个组成部分。
- 教育。一个令人耳目一新的变化是,有一个深入的计划来解决未来十年的网络安全技能短缺问题,其方式是强调从小学、中学到高等教育的网络安全培训。如果我们要培养未来的安全巨星,这是非常必要的,但从现在解决商业需求的角度来看,对开发团队进行安全编码的实践培训是绝对必要的,以开始减少常见的漏洞,并且必须成为功能性安全计划的一部分。
作为安全专家,我们需要做更多的工作来帮助世界各地的公司了解建立一个内部安全计划的重要性,而不仅仅是简单的基础性认识措施。花时间提高开发人员的技能,可以减轻工作过度的AppSec专家的压力,并确保整个组织在其角色范围内尽可能地提高安全意识,这对于减少软件的威胁面攻击区域至关重要。
开发人员的技能提升是值得花时间的,那么为什么这么多公司都忽视了这一点?
DDLS最近的一项调查得出的结论是,在澳大利亚的企业中,在网络安全培训方面,几乎没有什么优先意识。事实上,尽管77%的受访者将网络安全意识列为其业务中的 "极其 "或 "非常重要",但它甚至没有进入培训的前三位。
因此,难怪澳大利亚正在努力缩小日益扩大的技能差距,并有一些工作要做,以创建一个更具弹性的基础设施,从基本服务到零售,以及两者之间的一切。
在这里,政府有一个巨大的机会来创建一个安全技能基线认证或法规,该战略暗示这是一种利用有限资源的工作方式。然而,这似乎又是一个未来状态的建议,如果我们首先针对高影响的领域,我们有工具可以更早地开始。对我来说,希望的灯塔在于每个组织内的开发团队,给他们提供成功的工具和知识,他们可以将常见的漏洞扼杀在摇篮里,大大降低组织内数据泄露的风险。
2019年,24%的数据泄露是由人为错误造成的--即安全错误配置--这通常是相对简单的、代码级别的修复。如果在这里将培训作为优先事项,结合建立全公司的安全意识,我敢打赌,将有更少的CISO签署向数以千计的受影响客户发出的违规通知。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
澳大利亚政府如何建立国家网络安全复原力并抵御威胁
随着2020年远程工作的大幅飙升,加上持续的大规模数据泄露和对网上隐私泄露后果的日益关注,公众对网络安全的关注从未如此强烈。因此,世界各地的政府已经介入,重塑和更新他们的网络安全计划和基础设施,包括企业在处理我们最宝贵的数字资源时需要遵循的战略和法规。
网络安全的战略保护准则并不是一个新概念,像NIST这样的组织多年来一直在为全球政府部门的政策提供信息。随着我们以惊人的速度推进数字化进程,许多人已经很难跟上不断变化的威胁、可能的攻击载体和合规要求的数量了。
最近,由于第三方服务器上的一个容易访问、配置错误的S3缓存,导致54,000份新南威尔士州驾驶执照被泄露,成千上万的人受到影响,报告此事的安全研究员承认,这些数据可能已经在暗网上被出售。可悲的是,这是一个很容易解决的问题,如果配置缓存的人把安全放在首位,就根本不可能发生。
澳大利亚政府最近发布了《2020年澳大利亚网络安全战略》,强调了新的举措和16.7亿美元的资金投入,以实现他们 "为澳大利亚人、他们的企业和我们所依赖的基本服务创造一个更安全的网络世界的愿景"。这显然是一个非常受欢迎的审查和更新的计划,特别是由于其中的一个主要目标是。
"企业采取行动,确保其产品和服务的安全,并保护其客户免受已知网络漏洞的影响"。
虽然政府机构倾向于关注(他们应该关注)有关一个国家的关键基础设施的安全措施--那些已经成熟的、有组织的灾难性攻击的领域--但过去缺乏的是对那些每天收集和使用我们的数据的公司的指导。
现在,当涉及到像这样的官方战略时,它并不总是啤酒和糖果。它可能有点难以解释,而且在细节上模糊不清,让一个组织的安全团队根据非具体的指导方针来拼凑一个计划。这个问题并不是澳大利亚政府独有的,但让我们分析一下他们的全新版本。
注重反应,而不是预防。
更新后的澳大利亚网络安全战略与2016年的最后一次发布相比,有了更多相关的提升,为企业,尤其是中小企业制定了相当全面的计划。该战略概述了。
"政府和大型企业将协助中小型企业(SME)成长,并提高其网络安全意识和能力。澳大利亚政府将与大型企业和服务提供商合作,向中小企业提供网络安全信息和工具,作为安全服务(如威胁阻断、防病毒和网络安全意识培训)的 "捆绑 "部分。
这将为中小企业提供一个体面的基本基础,在此基础上保护其业务免受网络威胁,但这主要是一种被动的方法,重点是检测工具--网络安全领域的一个相对较小的部分。
关于大型企业如何保护自己并减少其攻击载体的信息也少得令人惊讶。虽然许多人可能是保护关键基础设施(如电信、交通)计划的一部分,但当涉及到成功的网络攻击时,金融服务、零售和许多其他垂直行业会有很大的损失。也许这将是即将出台的立法的一部分,但即便如此,强调企业层面细致的网络安全最佳实践的重要性是看到重大变化的根本,并减少受损的数据和网络犯罪。
总的来说,当考虑到整个战略时,它是围绕着一个反应性的方法建立的。打击网络攻击,破坏活跃的网络犯罪分子并确保他们被起诉,以及与国际盟友分享情报,都是重要的因素,但想象一下,如果全国范围内的保护标准都集中在预防上。除了关键基础设施的保护措施外,如果每个企业都把安全放在首位,每个接触创造我们数字世界的代码的人都有适当的装备来阻止攻击发生,那么为受害者节省的时间、金钱和心痛是不可估量的。
复原力是可能的,但必须有计划。
从澳大利亚政府推动认真对待网络安全的行动中可以看出,网络安全已被确定为国家层面的一个关键风险领域。就像任何其他有能力破坏我们生活方式的恶意攻击一样,复原力绝对是至关重要的--不仅是为了抵御这种企图,而且是为了作为一种威慑,阻止它发生。在一天结束的时候,即使是威胁者也可能是懒惰的,如果有太多的障碍阻碍他们的成功,他们会转移到一个更容易的目标来实现其目标。
目前,我们面临着全球网络安全技能的短缺,这让全世界的CISO们夜不能寐。数十亿行的代码,不断发生的大规模数据泄露,以及比以往任何时候都更多的处罚风险(仅万豪酒店就因2018年的数据泄露收到了1.23亿美元的GDPR罚款......而且他们今年又发生了一次泄露),造成了对安全专家的需求鸿沟,从现实来看,这个鸿沟不太可能被关闭。代码太多,而资源太少,无法确保它从各个角度得到加强。
那么,我们是否应该放弃我们将真正在网络威胁面前站起来的想法?这是不可能的。弹性需要使用所有可用的资源,并领先一步思考。对于许多公司来说,他们的开发人员可以在编写代码时就开启一个强大的加固方法。当与整个企业的可见的、积极的安全文化相搭配时,这就提供了一个安全的基础,许多攻击者都难以撼动和打破。然而,这种方法需要以澳大利亚网络安全战略的建议为例,深入研究如何定制这些建议,以支持与企业相关的有效变革。
为此,有必要对一些提示进行分解。
- 安全意识培训。这是为中小企业特别呼吁的,在整个报告的背景下,主要是为了教导所有员工基本的安全卫生(如发现钓鱼邮件,不点击未知链接等)。现实上,它必须比这更进一步,成为特定的角色,特别是对那些接触代码的人,如开发人员。当务之急是,安全意识培训是预防措施和建立复原力的一个组成部分。
- 教育。一个令人耳目一新的变化是,有一个深入的计划来解决未来十年的网络安全技能短缺问题,其方式是强调从小学、中学到高等教育的网络安全培训。如果我们要培养未来的安全巨星,这是非常必要的,但从现在解决商业需求的角度来看,对开发团队进行安全编码的实践培训是绝对必要的,以开始减少常见的漏洞,并且必须成为功能性安全计划的一部分。
作为安全专家,我们需要做更多的工作来帮助世界各地的公司了解建立一个内部安全计划的重要性,而不仅仅是简单的基础性认识措施。花时间提高开发人员的技能,可以减轻工作过度的AppSec专家的压力,并确保整个组织在其角色范围内尽可能地提高安全意识,这对于减少软件的威胁面攻击区域至关重要。
开发人员的技能提升是值得花时间的,那么为什么这么多公司都忽视了这一点?
DDLS最近的一项调查得出的结论是,在澳大利亚的企业中,在网络安全培训方面,几乎没有什么优先意识。事实上,尽管77%的受访者将网络安全意识列为其业务中的 "极其 "或 "非常重要",但它甚至没有进入培训的前三位。
因此,难怪澳大利亚正在努力缩小日益扩大的技能差距,并有一些工作要做,以创建一个更具弹性的基础设施,从基本服务到零售,以及两者之间的一切。
在这里,政府有一个巨大的机会来创建一个安全技能基线认证或法规,该战略暗示这是一种利用有限资源的工作方式。然而,这似乎又是一个未来状态的建议,如果我们首先针对高影响的领域,我们有工具可以更早地开始。对我来说,希望的灯塔在于每个组织内的开发团队,给他们提供成功的工具和知识,他们可以将常见的漏洞扼杀在摇篮里,大大降低组织内数据泄露的风险。
2019年,24%的数据泄露是由人为错误造成的--即安全错误配置--这通常是相对简单的、代码级别的修复。如果在这里将培训作为优先事项,结合建立全公司的安全意识,我敢打赌,将有更少的CISO签署向数以千计的受影响客户发出的违规通知。
