什么是网络安全?

阅读《Elastic 全球威胁报告》

网络安全的定义

网络安全是保护网络、系统、设备和其他敏感信息免遭蓄意攻击和未经授权使用的通常做法。这是一项整体性工作,需要在人员、流程和技术之间协同开展。为了保护组织的资产、员工、客户和用户,当今的网络安全专家会使用各种策略来保护他们的数据。在日益数字化的世界中,保护网络安全至关重要,这样才能确保:

  • 个人隐私和安全:网络安全通过防止黑客利用身份信息或直接/间接威胁人身安全来保护个人隐私和安全。
  • 保护金融资产和知识产权:网络安全不佳可能会使网络犯罪分子窃取机密商业信息,例如交易机密、产品设计和其他专有信息。
  • 维护业务运营:网络攻击可能会扰乱组织的正常运作,从而导致服务中断并造成大范围的损失。
  • 声誉值得信赖:数据泄露或其他网络安全事件可能会损害组织的声誉,从而难以吸引和留住客户、投资者和员工。
  • 关键基础架构的弹性和可靠性:对能源、运输和供水等系统的关键基础架构系统的网络攻击,可能会影响个人安全和社会的运行。
  • 法律与合规性保证:网络安全不佳可能会导致违反数据隐私法规(如 GDPR 和 HIPAA),从而产生监管问题、财务处罚和其他后果。
  • 国家安全:网络安全对于维护国家安全至关重要,因为它可以保护政府网络和军事网络免受可能危及敏感信息的网络间谍活动及网络攻击的影响。

为什么网络安全如此重要?

网络安全对于降低网络攻击的风险,以及在确保作为现代世界基础的数据、系统和网络的完整性、机密性和可用性方面,都至关重要。根据 Cybersecurity Ventures1 的数据,到 2025 年,网络犯罪预计每年将造成 10.5 万亿美元的损失。从企业的角度来看,网络安全绝对不容忽视,因为它可以保护组织免受威胁,否则可能会造成重大损害。

数据泄露是对组织产生负面影响的最常见来源之一。由于立即会受到监管罚款,再加上长期的声誉损害,这类数据泄露的影响对难辞其咎的组织会产生持久的财务影响。如果没有适当的网络安全保护机制,组织可能会丢失敏感信息,包括知识产权、财务信息和个人身份信息 (PII),如员工和客户联系信息、社会安全号码和医疗保健信息。

不幸的是,数据泄露很常见。根据 IBM Security 发布的《2022 年数据泄露成本报告》2,超过 83% 的组织有超过一次的数据泄露。

发生攻击的代价高昂,可能会伤害员工和客户,并会使组织失去在消费者心中的良好声誉。这就是为什么每个组织都必须优先考虑缓解网络安全风险。

网络安全的类型

“网络安全”一词囊括了许多不同方面的工作和策略,这一切都是为了保护组织免遭漏洞的影响。以下是当今组织关注的一些最常见类型的网络安全领域。

  1. 信息安全和事件管理 (SIEM)

    信息安全和事件管理 (SIEM) 是一种网络安全解决方案,用于检测和应对组织内的威胁。SIEM(发音与“him”同韵)解决方案的核心是收集日志和事件,将这些数据标准化以便进一步分析,这些分析可以通过可视化、告警、搜索和报告等多种方式进行展现。安全分析师可以使用 SIEM 解决方案来处理高级网络安全用例,例如持续监测、威胁猎捕以及事件调查和响应。

  2. 终端安全

    终端安全是保护联网设备(如笔记本电脑、服务器和移动设备)的通常做法。理想的终端安全解决方案可防御勒索软件和恶意软件,检测高级威胁,并为响应团队提供重要的调查背景信息。

  3. 云安全

    云安全是保护云技术免受错误配置和漏洞影响的通常做法。适当的云安全解决方案会通过提供云态势的丰富可见性来保护云部署。它将通过防御、检测和响应功能,为云工作负载提供保护 — 所有这些功能都可在一个集成解决方案中实现。

  4. 安全编排、自动化和响应 (SOAR)

    借助安全编排、自动化和响应 (SOAR),可让安全团队标准化并精简所在组织对网络攻击和事件的响应流程。SOAR 优化了安全运营中心 (SOC) 的内外工作流程,非常有助于分析师集中精力保护组织生态系统的安全。

  5. 应用程序安全

    应用程序安全是保护应用程序(无论是在云中、本地部署服务器还是客户端设备上运行的应用程序)的通常做法。这包括在应用程序中创建、开发、添加和测试安全功能,以确保它们正常运行。适当的应用程序安全可确保应用程序中数据的安全且不被窃取。

  6. 网络安全

    网络安全侧重于防止网络基础架构被滥用。传统上,网络安全结合了许多不同的战术和策略,包括(但不限于)防火墙、入侵防御/检测系统、网络分段、VPN 和其他解决方案。

  7. 物联网安全

    恶意行动者有时会以连接到网络的特定物理设备为攻击目标。这些设备包括支持 WiFi 的设备,如汽车、监控摄像头和智能冰箱。物联网 (IoT) 安全是确保这些设备不会将威胁或漏洞引入网络的网络安全做法。

  8. 威胁情报

    威胁情报可通过分析收集的数据来洞察攻击者的战术和目标,从而帮助安全团队防范网络攻击。通过威胁情报,团队可以识别攻击者的活动模式,并为所在组织制定相应的防御策略。

  9. 身份和访问管理

    身份和访问管理(通常称为 IAM)是管理数字身份和用户访问权限的框架和技术。IAM 包括双因素或多因素身份验证、特权访问管理,以及在系统或平台内分配访问级别等事项。通过实施正常的 IAM,组织可以确保登录是安全的,并且只有相应的人员才能访问敏感信息。

  10. 零信任

    零信任是一种网络安全框架,要求所有用户(无论是谁)在访问数据、应用程序和其他系统之前都必须经过身份验证。零信任之所以受到青睐,与当今的分布式办公不无关系。它可以为使用智能手机、笔记本电脑和其他设备进行远程办公的员工提供支持。

  11. 移动安全

    移动安全是网络安全的一个分支,侧重于确保笔记本电脑、智能手机和平板电脑等移动设备的安全。随着在工作场所中越来越多地使用移动设备,移动安全也变得越来越重要了。

如何衡量网络安全的有效性?

衡量网络安全计划的成功与否可能是极具挑战性的,因为很难量化安全措施在防止网络攻击或数据泄露方面的有效性。但是,有以下几个指标可供组织来评估网络安全计划的性能,例如:

  • 合规性:评估组织对相关框架和法规的合规性,使网络安全计划与最初的一系列有价值的最佳实践保持一致。
  • 威胁检测和响应时间:通过衡量组织检测和应对网络威胁的速度如何,可以表明其安全工具和流程的有效性。
  • 风险降低:评估组织在降低敏感信息和系统的总体风险方面取得了多大的成功是很有帮助的。这可以通过比较新安全措施实施前后网络攻击的可能性和影响来衡量。
  • 渗透测试:通过定期执行内部和外部安全审计和渗透测试,可以帮助组织识别安全计划中的漏洞和缺陷,并相应地加以改进。
  • 投资回报率 (ROI):通过分析安全措施的成本与收益的比率来衡量计划的成本效益,有助于说明网络安全预算的使用情况。

任何网络安全计划都不能保证 100% 的保护,因此,要以适合组织预算、资源和风险承受能力的结果为目标。

什么是网络攻击?

网络攻击是一种不良企图和行为,目的是窃取、损害、改动或破坏数据及其底层系统。如果得手,网络攻击可能会对组织造成多方面的损害,例如财务损失、系统中断、敏感数据泄露和系统瘫痪等。

网络攻击者的动机各种各样,但通常都会指向财务、个人或政治。有时,网络攻击者会通过金钱和数据盗窃来获取钱财收益。有时,他们也会代表一个民族国家参与网络战或网络恐怖主义。一些攻击者可能会发起攻击,以监视竞争对手来获得优势。

网络安全威胁的类型

在当今的环境中,有许多不同类型的网络安全威胁。不良行动者会将网络、应用程序和物理设备作为攻击目标。下面是一些最常见的几种网络安全威胁,组织需要努力避免:

  • 恶意软件:这个威胁类别包括病毒、特洛伊木马和其他恶意软件,它们可能会损害或破坏计算机系统、窃取敏感信息,或对网络进行未经授权的访问。
  • 勒索软件:勒索软件是一种高级恶意软件,专门用于控制用户的信息或阻止使用系统,直到用户支付资金来解锁系统。通常,这是通过加密某些文件类型,然后强迫用户支付赎金以获得解密密钥来实现的。
  • 网络钓鱼:网络钓鱼是指企图获取敏感信息(如信用卡号、社会安全号码或其他可用于恶意目的的信息)的攻击。网络钓鱼攻击者会使用电子邮件、短信、电话或社交媒体,企图通过看似合法的通信来诱骗用户分享信息。
  • 内部威胁:这会涉及到对组织的网络或系统有授权访问权限的个人或团体,他们利用这种访问权限来损害组织。
  • 社会工程:这包括用于欺骗个人或组织的战术,以便利用人类的心理来获取敏感信息、敏感网络资源和财务信息。
  • 高级持续性威胁 (APT):这些是协同配合、持续和隐蔽的网络攻击,通常由民族国家或犯罪群体实施,目的是窃取特定组织或个人的敏感信息。
  • 物联网漏洞利用:网络犯罪分子越来越多地将物联网设备作为访问组织网络和敏感数据的途径。
  • 分布式拒绝服务 (DDoS) 攻击:这是一种网络攻击,企图通过来自多个来源的流量使网站或网络资源垮掉而无法使用。

网络安全的挑战

尽管大多数企业在网络安全方面都投入了大量时间和资源,但防止网络攻击仍然是一项挑战。随着数字化环境的复杂性越来越高,要确保一切数据安全无虞变得更加困难。再加上恶意行动者变得越来越狡猾,可谓拔剑四顾,挑战重重。

以下是企业目前面临的一些最常见的网络安全挑战:

网络攻击总体增加

在过去几年中,各个组织已发现网络攻击有所增加。根据 S-RM 提供的《2022 年网络安全洞察报告》3,75% 的组织在过去三年经受了严重攻击,比前一年增加了 60%。这些攻击不仅呈上升趋势,而且代价高昂,企业损失平均达 340 万美元。

云服务的兴起以及计算和网络的复杂性

企业不再将所有数据都存储在本地。而且,他们还会采用云计算来为越来越多的远程办公人员提供支持。尽管这在数据存储、工作流和许多其他领域都提供了实质性的改进,但它增加了网络和系统的复杂性,进而引入了更多的漏洞和风险。

依赖数字化财产

组织比以往任何时候都更加依赖数字化财产来完成任务,存储敏感信息以及管理用户和客户。根据麦肯锡4 的一份报告,新冠疫情的出现,促使公司迅速增加了对数字化技术的采用。2020 年 7 月,58% 的客户互动实现了数字化,这个数字高于 2019 年的 36% 和 2018 年的 20%。尽管这为员工、客户和用户提供了积极的体验,但对数字化技术的依赖却带来了各种网络安全挑战。

网络犯罪分子的策略不断演变

随着技术的进步,网络犯罪分子的策略也在不断变化。现在,有许多网络犯罪分子正在创建专门针对云技术构建的窃取信息的恶意软件。由于有如此多的企业依赖云服务,因此风险变得更为凸显。网络犯罪分子不断演变以期绕过安全措施,因此,多种多样的防护措施以及对系统的详细了解非常重要。

人为因素

个体往往是抵御网络攻击的第一道防线。这些个体包括:最终用户、系统管理员、安全分析师,以及其他负责实施和维护网络安全措施的员工或承包商。组织应培养一种安全意识文化,培训员工如何识别和避免网络威胁,并采取措施来保护组织的资产和数据。

网络安全用例

在当今的威胁环境中,企业需要安全技术来解决各种各样的用例。下面,我们将探讨对您的组织最关键的几个网络安全用例:

持续监测

Custom visualizations and application data to perform continuous monitoring with Elastic Security

持续监测可提供强大的运营意识、精简的安全分析和持续的视觉反馈。在整个环境中实现可见性是确保组织安全的第一步,也是最重要的一步。

要实现对安全运营计划的持续监测,就需要选择一个可大规模进行扩展的平台,进而利用平台强大的数据架构和预构建数据集成,为企业堆栈中最具创新性的技术提供支持。

威胁防护

Elastic Security alerting UI, with detection rules and machine learning jobs for automated protection


威胁防护是指保护组织免受常见网络威胁(如恶意软件、勒索软件和其他病毒)的技术、应用程序和其他安全解决方案。威胁防护背后的理念是,组织可以在损害发生之前阻止特定威胁。

组织可以采用多种不同类型的威胁防护。传统防火墙可以提供保护,网络访问控制、高级恶意软件防护 (AMP) 和应用程序可见性和控制 (AVC) 也可以提供保护。

调查和响应

Elastic Security UI for investigating and responding to cyber attack, including case management, investigation guide, and analyzer view

当事件或威胁发生时,企业必须尽快地开启调查并进行应对。快速响应是至关重要的,这样才可以将攻击的影响降至最低。不幸的是,知易行难,现实是一次数据泄露2 的平均总成本为 435 万美元。

为了实现安全运营计划的调查和事件响应,企业必须选择一个可大规模进行扩展的平台,进而利用平台强大的数据架构和预构建数据集成,为企业堆栈中的既有技术提供支持。

威胁猎捕

Elastic Security interface for threat hunting with network security map and osquery host inspection

威胁猎捕是一种主动发现、检测并最终尽力减少漏洞和网络攻击的方法。通过威胁猎捕,IT 部门将主动研究任何异常情况,并对其进行调查,以确保没有可能导致大规模入侵的恶意活动。威胁猎捕对于打击高级持久性的威胁特别有用,因为这些威胁在收集敏感信息的同时,可能会在网络环境中潜伏数月而不被发现。

没有网络安全,组织能正常运营吗?

以下是一些可能会让一些组织陷入困境的常见错误认识或乐观的想法:

“数据泄露只会发生在其他公司身上,不会发生在我们身上……”

许多公司认为,这种问题永远不会发生在他们身上,但数据泄露是普遍现象。最好为此做好准备,制定事件应对计划,构建检测和防止泄露的方法以及创建恢复计划。只有接受数据泄露可能发生的事实,公司才能采取主动措施来减轻风险并将影响降至最低。

“我们的网络是安全的,因为我们有强大的外围设备……”

虽然防火墙可以提供基本级别的安全,但不足以抵御所有类型的网络威胁。网络犯罪分子可以利用网络基础架构中的漏洞,使用复杂的恶意软件绕过防火墙,并获取您的敏感数据。

“我们不需要整合我们的安全技术来保护我们的企业……”

防病毒软件和防火墙等基本安全措施固然重要,但不足以抵御当今的高级网络威胁。为了快速检测和应对网络威胁,组织需要一个全面的安全策略,将关键安全工具与用于处理安全相关问题的明确政策、程序和准则相结合。

“我们不需要担心来自供应商的网络攻击……”

许多组织都依靠第三方供应商来提供各种服务,如云存储、软件开发和 IT 支持。虽然这些供应商可能有自己的安全措施,但对于组织来说,独立验证自己的安全协议并确保其符合行业标准是非常重要的。

响应速度在网络安全中有多重要?

攻击者可以在短时间内造成巨大损害。在您下载一个文件所需的时间内,同样的时间间隔可能是攻击者转移敏感信息或部署恶意软件所需的全部时间。响应速度对于安全团队来说至关重要 — 在事件造成潜在损害之前实做出实时响应。

谁对网络安全负责?

说实话,公司的每个人都有责任管理网络安全。然而,现在很多企业都会聘请首席信息安全官 (CISO) 来领导和指导组织内的网络安全计划。CISO 是 C 级高管,负责评估风险和找到解决方案。

以下是其他几个负责管理网络安全的角色:

网络安全分析师

网络安全分析师负责保护雇主免遭网络攻击和/或对公司财产(包括网络、主机、服务器和应用程序)未经授权的访问。担任这一角色的分析师会直接开展工作,积极主动地防御网络威胁,并应对发生的任何入侵。看一看分析师的一天是什么样子的。

安全工程师/架构师

担任这一角色的工程师/架构师会主导开发人员、工程师、管理员、业务领导者和组织内其他人员之间的协作,以实施和改进安全基础架构。架构师必须在健全的基础网络安全策略和针对敏感数据的加密方法之间取得平衡,并概述必要或预期的安全功能。

安全运营中心 (SOC) 经理

SOC 经理负责领导组织的安全运营团队,建立流程,监督招聘和培训,并向首席信息安全官 (CISO) 传达高级见解。

网络安全顾问

网络安全顾问可以为一个或多个组织提供咨询服务,提供从基本系统基础架构到高级安全技术实施等方面的见解。他们的最终目标取决于他们的合同,但所有人共同的使命就是保护公司数据。

漏洞分析师/渗透测试人员

雇用或签约的漏洞分析师和渗透测试人员,主要负责发现和评估组织的系统、网络或更广泛生态系统的潜在漏洞。渗透测试人员会作为“白帽”黑客,使用各种工具发现系统漏洞,这些工具也可能会被邪恶的“黑帽”黑客利用。

网络工程师/架构师

网络工程师/架构师负责处理所有网络事宜,从网络设计到初始配置再到监测,以确保提供最佳性能。除了处理防火墙事宜,这一角色还负责管理网络流量进出组织的有关策略。

系统工程师/管理员

通常称为系统管理员 (SysAdmin),系统管理员或工程师负责管理组织更广泛的 IT 基础架构 — 服务器、应用程序、操作系统等。这一角色对于企业的成功和正常运行至关重要。

利用 Elastic 安全实现 SecOps 现代化

Elastic 安全可提供对威胁的无限可见性,缩短调查时间,并保护您的企业免受不断变化的威胁环境的影响。借助 Elastic,用户可以尽享开放的集成式安全方法,包括开箱即用型的保护功能、可定制的分析工作流、基于背景信息的深度见解,以及随用随付费的采用模式。

免费试用 Elastic 安全,了解如何及早发现网络威胁。

网络安全资源

脚注