携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第13天,点击查看活动详情
信息安全:终极指南
什么是信息安全(InfoSec)?
信息安全(有时称为 InfoSec)涵盖了组织用于保护信息的工具和流程。这包括阻止未经授权的人员访问业务或个人信息的策略设置。InfoSec 是一个不断发展的领域,涵盖从网络和基础设施安全到测试和审计的广泛领域。
信息安全可保护敏感信息免受未经授权的活动,包括检查、修改、记录以及任何中断或破坏。目标是确保关键数据的安全性和隐私性,例如客户帐户详细信息,财务数据或知识产权。
安全事件的后果包括窃取私人信息、篡改数据和删除数据。攻击会破坏工作流程,损害公司的声誉,并且还会产生有形的成本。
组织必须为安全分配资金,并确保他们准备好检测、响应和主动预防网络钓鱼、恶意软件、病毒、恶意内部人员和勒索软件等攻击。
信息安全的三大原则是什么?
信息安全的基本原则是机密性、完整性和可用性。信息安全计划的每个元素都必须设计为实现这些原则中的一个或多个。他们一起被称为中央情报局三合会。
保密性
保密措施旨在防止未经授权的信息披露。保密原则的目的是保持个人信息的私密性,并确保只有拥有或需要它来履行其组织职能的个人才能看到和访问它。
正直
一致性包括防止对数据进行未经授权的更改(添加、删除、更改等)。完整性原则确保数据准确可靠,不会被错误地修改,无论是意外的还是恶意的。
可用性
可用性是保护系统在用户需要时(或在指定时间)使软件系统和数据完全可用的能力。可用性的目的是使技术基础结构、应用程序和数据在组织流程或组织客户需要时可用。
中情局三合会定义了数据安全的三个关键原则
信息安全与网络安全
网络安全主要通过可以预防或缓解这些威胁的实践和工具来解决与技术相关的威胁。另一个相关类别是数据安全,其重点是保护组织的数据免受未经授权方的意外或恶意暴露。
信息安全政策
信息安全策略 (ISP) 是一组指导个人使用 IT 资产的规则。公司可以创建信息安全策略,以确保员工和其他用户遵守安全协议和程序。安全策略旨在确保只有授权用户才能访问敏感系统和信息。
创建有效的安全策略并采取措施确保合规性是防止和缓解安全威胁的重要一步。为了使您的策略真正有效,请根据公司更改、新威胁、从以前的违规行为中得出的结论以及对安全系统和工具的更改,经常对其进行更新。
使您的信息安全策略切实合理。为了满足组织内不同部门的需求和紧迫性,有必要部署一个例外系统,具有审批流程,使部门或个人在特定情况下能够偏离规则。
主要信息安全威胁
有数百种类别的信息安全威胁和数百万种已知的威胁向量。下面我们将介绍现代企业安全团队优先考虑的一些关键威胁。
不安全或安全性差的系统
速度和技术发展往往导致安全措施的妥协。在其他情况下,系统在开发时没有考虑安全性,而是作为遗留系统在组织中继续运行。组织必须识别这些安全性较差的系统,并通过保护或修补它们、停用或隔离它们来缓解威胁。
社交媒体攻击
许多人都有社交媒体帐户,他们经常无意中分享很多关于自己的信息。攻击者可以直接通过社交媒体发起攻击,例如通过社交媒体消息传播恶意软件,或者间接地使用从这些站点获得的信息来分析用户和组织漏洞,并使用它们来设计攻击。
社会工程学
社交工程涉及攻击者发送电子邮件和消息,诱使用户执行可能危及其安全或泄露私人信息的操作。攻击者使用好奇心,紧迫感或恐惧等心理触发因素来操纵用户。
由于社交工程邮件的来源似乎是受信任的,因此人们更有可能遵守,例如,通过单击在其设备上安装恶意软件的链接,或者通过提供个人信息、凭据或财务详细信息。
组织可以通过让用户意识到其危险并培训他们识别和避免可疑的社会工程消息来减轻社会工程。此外,技术系统可用于从源头阻止社会工程,或阻止用户执行危险操作,例如单击未知链接或下载未知附件。
端点上的恶意软件
组织用户使用各种各样的端点设备,包括台式计算机、便携式计算机、平板电脑和移动电话,其中许多设备是私有的,不受组织的控制,并且所有这些设备都定期连接到 Internet。
所有这些端点上的主要威胁是恶意软件,可以通过各种方式传输恶意软件,这可能导致端点本身受到损害,还可能导致特权升级到其他组织系统。
传统的防病毒软件不足以阻止所有现代形式的恶意软件,并且正在开发更高级的方法来保护端点,例如端点检测和响应(EDR)。
缺乏加密
加密过程对数据进行编码,以便只有具有密钥的用户才能对其进行解码。在设备丢失或被盗的情况下,或者在组织系统被攻击者破坏的情况下,它非常有效地防止数据丢失或损坏。
不幸的是,由于这项措施的复杂性和缺乏与适当执行相关的法律义务,这项措施往往被忽视。组织越来越多地采用加密,通过购买存储设备或使用支持加密的云服务,或使用专用的安全工具。
安全配置错误
现代组织使用大量的技术平台和工具,特别是Web应用程序,数据库和软件即服务(SaaS)应用程序,或来自Amazon Web Services等提供商的基础设施即服务(IaaS)。
企业级平台和云服务具有安全功能,但这些功能必须由组织配置。由于疏忽或人为错误而导致的安全配置错误可能导致安全漏洞。另一个问题是“配置漂移”,正确的安全配置可能很快就会过时,并使系统容易受到攻击,IT或安全人员不知道。
组织可以使用持续监控系统、识别配置差距以及发出警报甚至自动修复使系统容易受到攻击的配置问题的技术平台来缓解安全配置错误。
主动攻击与被动攻击
信息安全旨在保护组织免受恶意攻击。有两种主要类型的攻击:主动攻击和被动攻击。主动攻击被认为更难预防,重点是检测、缓解和从中恢复。通过强大的安全措施,被动攻击更容易预防。
主动攻击
主动攻击涉及拦截通信或消息并对其进行更改以产生恶意效果。主动攻击有三种常见变体:
- 中断 - 攻击者中断原始通信并创建新的恶意消息,假装是通信方之一。
- 修改 - 攻击者使用现有通信,并重放它们以欺骗通信方之一,或修改它们以获得优势。
- 伪造 — 创建虚假或合成通信,通常旨在实现拒绝服务 (DoS)。这可以防止用户访问系统或执行正常操作。
被动攻击
在被动攻击中,攻击者监视、监视系统并在不更改信息的情况下非法复制信息。然后,他们使用此信息来破坏网络或破坏目标系统。
攻击者不会对通信或目标系统进行任何更改。这使得检测更加困难。但是,加密可以帮助防止被动攻击,因为它会混淆数据,使攻击者更难使用它。
| 主动攻击 | 被动攻击 |
|---|---|
| 修改消息、通信或数据 | 不要对数据或系统进行任何更改 |
| 对敏感数据的可用性和完整性构成威胁 | 对敏感数据的机密性构成威胁。 |
| 可能导致组织系统受损。 | 不会直接对组织系统造成损害。 |
| 受害者通常知道攻击 | 受害者通常不知道攻击。 |
| 主要安全重点是检测和缓解。 | 主要的安全重点是预防。 |
信息安全和数据保护法
信息安全与组织开展业务的地方的法律法规不断相互作用。世界各地的数据保护法规都侧重于增强个人数据的隐私性,并对组织收集、存储和使用客户数据的方式施加限制。
数据隐私侧重于个人身份信息(PII),主要关注如何存储和使用数据。PII 包括可以直接链接到用户的任何数据,例如姓名、ID 号、出生日期、实际地址或电话号码。它还可能包括社交媒体帖子,个人资料图片和IP地址等伪影。
欧盟 (EU) 的数据保护法:GDPR
欧盟最著名的隐私法是《通用数据保护条例》(GDPR)。该法规涵盖与欧盟居民有关的数据的收集,使用,存储,安全和传输。
GDPR 适用于与欧盟公民开展业务的任何组织,无论公司本身是在欧盟境内还是境外。违反准则可能导致高达全球销售额4%或2000万欧元的罚款。
GDPR 的主要目标是:
- 将个人数据的隐私设定为一项基本人权
- 实施隐私标准要求
- 隐私规则应用方式的标准化
GDPR 包括对以下数据类型的保护:
- 个人信息,例如姓名、身份证号码、出生日期或地址
- 网络数据,如 IP 地址、Cookie、位置等。
- 健康信息,包括诊断和预后
- 生物识别数据,包括语音数据、DNA 和指纹
- 私人通信
- 照片和视频
- 文化、社会或经济数据
美国的数据保护法
尽管引入了一些法规,但目前美国目前没有管理数据隐私的联邦法律。但是,某些法规保护某些类型或使用的数据。这些包括:
- 联邦贸易委员会法案 - 禁止组织在隐私政策、未能充分保护客户隐私和误导性广告方面欺骗消费者。
- 儿童在线隐私保护法案 - 规范与未成年人相关的数据的收集。
- 健康保险流通与会计法案 (HIPAA) — 规范健康信息的存储、隐私和使用。
- Gramm Leach Bliley Act (GLBA) — 规范金融机构和银行收集和存储的个人信息。
- 公平信用报告法案 - 规范信用记录和信息的收集、使用和可访问性。
此外,联邦贸易委员会(FTC)负责保护用户免受欺诈或不公平交易(如数据安全和隐私)的侵害。联邦贸易委员会可以制定法规,执行法律,惩罚违规行为,并调查组织欺诈或涉嫌违规行为。
除联邦指导方针外,美国25个州还颁布了各种法律来规范数据。最著名的例子是《加州消费者隐私法案》(CCPA)。该法律于2020年1月生效,为加州居民提供保护,包括访问私人信息,要求删除私人信息以及选择退出数据收集或转售的权利。
还有其他区域法规,例如:
- 澳大利亚审慎监管局 (APRA) CPS 234
- 加拿大个人信息保护和电子文件法案 (PIPEDA)
- 新加坡个人数据保护法
