网络安全:它与我和我的公司有什么关系?
为什么网络安全不仅影响大公司,而且要注意什么?
在经历了许多攻击和头条新闻之后,网络安全成为了每个人的谈资。但是,作为一个企业家,我为什么要担心,为什么网络安全是一个可以影响每个人的重要话题?
自Corona以来,数字世界发生了很多变化。在其他方面,这也影响了德国这里的数字化状况,但也影响了全世界。在许多地方,基础设施不完善,甚至不存在。不久前,德国政府的高级代表将互联网描述为 “未知领域”,这在许多地方引起了人们的惊讶,因为互联网已经成为我们日常生活中不可缺少的一部分。然而,数字化不仅与公共机构擦肩而过,也与许多中小型企业擦肩而过,这在现在看来尤其痛苦。由于失去了个人联系,获取新客户是一个主要障碍,由于缺乏基础设施,家庭办公室是一个困难的任务,行政负担也在增加。
许多重复性的工作在很久以前就可以自动化,以便为员工腾出时间,但现在仍在以费力和成本密集的方式进行。在这种情况下,我们仍然以费力和成本密集的方式,部分地通过手工进行。正确使用,一个好的数字化战略可以扩大我们的客户群,提高员工的满意度。
Index
网络安全和数据泄露
这一切与 “网络安全 “有什么关系?我们向数字世界转移的数据和流程越多,我们为潜在损害提供的 “攻击面 “就越多。一次又一次,壮观的数据泄露事件成为头条新闻,从值得保护的数据的丢失到重要基础设施的失败。正如经常发生的那样,对许多人来说,最好的策略是 “如果你不做任何事情,你就不会犯任何错误”。
在光谱的另一边,我们有 “很多帮助很多 “的方法,所以有人能想到的或目前以某种方式流行的任何东西都被扔到问题上。但在这里,也应该注意到,复杂性也会危及系统的安全性。一个系统越复杂,我们给潜在的安全漏洞的空间就越大。我们因此增加了我们必须信任并同时保持最新的代码量;这被称为可信计算基础(TCB)。只要我们的TCB中的一个组件存在漏洞,就有可能危及整个系统,所以TCB可以保持得越小越好。
安全是一个战略要素
在任何数字化战略中,安全必须始终是一个高度优先事项。第一个可能也是最简单的策略是 策略是使使用中的软件保持最新。许多系统往往只建立了一次,然后就不再维护或维护得很差。对于为什么这不是一个大问题,一个被引用的说法是:”没有犯罪分子对我们公司感兴趣”,但早在2019年,电信公司就报告了数千万的网络攻击。
攻击的自动化
事实是,大多数的攻击都不是有针对性的,而是纯粹的自动化。网络罪犯坐在地下室的能量饮料罐之间攻击公司的 “浪漫 “想法正在让位于一个小程序,该程序每周7天、每天24小时不知疲倦地扫描互联网,寻找一些预先定义的漏洞。通常情况下,这些漏洞在被发现的当天就成为攻击目标。
我们把上述程序说成是所谓的零日漏洞。这些程序可以利用一个漏洞,有时甚至在有效的反措施存在之前。这类软件有一个完整的市场,根据安全漏洞的严重程度和吸引力,市场上有大量的需求。根据安全漏洞的严重性和吸引力,人们会支付大笔的钱。享有广泛使用的软件往往是这种攻击的目标,因此在更新时需要增加关注。
这里特别值得一提的是我们最常处理的那类安全漏洞。开放网络应用安全项目(简称OWASP)保持着一个在当今网络应用中可以发现的安全问题的TOP10列表。所谓的 “注入 “攻击,多年来一直排在第一位。简单地说,这些攻击可以通过正常的用户输入(如搜索查询)将命令注入到一个应用程序。这类漏洞的出现通常是由于在软件的开发过程中不够谨慎,在很多情况下可以通过使用更现代的工具大大减少。
在金融领域,这些工具,如高级编程语言,已经在使用。然而,在许多地方 软件业仍在挣扎。人们往往缺乏对此类技术和相关专业知识进行投资的意愿。因此,这些问题的很大一部分仍然可以通过手动 “寻找 “来发现。然而,更进步的工具可以在这个过程中大大减轻开发人员的负担,并最终导致更好的结果。工作的人都会犯错。工具不是用来责备我们的,而是用来支持我们的;我们需要认识到并利用这个机会。
安全地开发软件
作为软件开发商,我们欠客户更多的关怀–尤其是在网络犯罪不断上升的时代。开发正确和强大的软件是一项需要大量经验的任务。作为软件开发者,我们一直处于猫和老鼠的游戏中。意识到这一点并定期研究攻击者的底牌以了解他们的操作方式是我们工作的一部分。
许多标准的软件解决方案往往配备了相当严格的功能范围,以涵盖尽可能多的情况。然而,通常情况下,一个专门的应用程序所需要的功能恰恰不是它的一部分。在某些情况下,软件的调整要花费很大的代价。这里可能出现的一个风险是,如果不进行调整,系统就无法更新。因此,如果出现了安全风险,需要使用新版本的软件,这就会自动与额外的努力联系起来,在最坏的情况下,这可能导致软件的全新开发。
一个正常运作的基础设施需要专家的知识,而为这项任务找到一个值得信赖的合作伙伴可能是一个重大挑战。为此,眼见为实的沟通是必不可少的。”百分之百的安全 “和类似的承诺应该非常谨慎地对待,因为安全问题总是会出现。重要的是如何透明地处理这些问题,以及团队如何对可能的危险做出反应。不要被花哨的流行语所打动。攻击者也不会被打动。
更多文章: 创业者的网络安全5点
作者:Raichoo Ketchum (XING | LINKEDIN) | Antei GmbH
Comments are closed.