某企業(yè)最近發(fā)布了《2022年數據泄露調查報告》，為企業(yè)提供了關于全球網絡安全狀況的重要見解，分析了過去15年里超過2.3萬起事件和5200起已確認的入侵事件，將網絡攻擊的首要動機歸因于經濟利益。幾乎五分之四的違法行為是有組織犯罪所為，他們試圖通過保險賠付的方式，向企業(yè)勒索巨額。勒索軟件入侵增加了13%，這比過去5年的總和還要多。此外，82%的網絡入侵涉及人為因素，即通過竊取證書、網絡釣魚、濫用或僅僅是簡單的錯誤。

人們繼續(xù)在事件和違規(guī)行為中扮演著非常重要的角色。據悉，今年有18%的網絡釣魚郵件直接來自手機，這突顯出這是商業(yè)安全的一個弱點。它的統(tǒng)計數據強調了擁有一個強大的安全意識項目的重要性。很明顯，私營企業(yè)和公共機構迫切需要改變他們的網絡安全方法。提高安全意識固然好，但直接解決一個近二十年來無人問津的問題更好。訪問過程的系統(tǒng)性缺陷網絡安全界和媒體普遍認為，網絡安全的主要問題是人。超過80%的網絡攻擊和網絡入侵可以追溯到憑證方面的人為錯誤，特別是憑證盜竊和濫用。然而，這種指責是錯誤的。想象一下，如果有一個路口，超過80%的事故發(fā)生，人們開始指責司機，建議他們應該接受訓練，更好地駕駛。但其實需要改變的是路口的設計，而不是人。系統(tǒng)使用弱密碼和重復使用的密碼在所有的入侵中，使用了弱密碼或重復使用的密碼是最容易被破解的。這個問題實際上不是個人的錯。首先，要記住幾百個隨機密碼是不可能的，但在數字世界中別無選擇，他們不得不求助于容易記住的密碼。系統(tǒng)性違反數據隱私法弱密碼和重復使用的密碼不是入侵的根本原因。公司面臨的最大問題是允許員工自己設置密碼。當這種情況發(fā)生時，公司就失去了對密鑰的控制，也就失去了對數據和網絡的控制。如果它不是“你的密鑰”，它就不是“你的數據”。這意味著公司不能遵守數據隱私法，這可以解釋為什么數據泄露現在如此普遍。瓦解彈性的系統(tǒng)性為了減少需要記住的密碼數量，企業(yè)采用了單一訪問，也就是單點登錄，身份訪問管理，特權訪問管理，而沒有意識到這自動為犯罪分子降低了層次和障礙，減少了他們進入網絡所需的步驟數量。在為犯罪分子創(chuàng)造了獲取訪問、掃描和定位鎖定整個網絡所需特權的黃金路徑后，從2019年到2021年，首次訪問勒索軟件所需的總時間從兩個多月減少到3.85天。在同一過程中，他們將所有數據放在同一個籃子中，從管理員或特權帳戶訪問，從而加劇了任何數據泄露的潛在負面影響。更多的網絡安全工具或培訓并不能解決問題如果不解決他們的訪問安全漏洞，增加網絡安全工具或培訓的預算，就無法阻止入侵或勒索軟件，就像在汽車里安裝更多的電子設備和提供更多的駕駛課程，如果基礎設施建設得很危險，就無法阻止交通事故一樣。當人們一開始就不應該創(chuàng)建和了解公司密碼時，就沒有必要對他們進行密碼安全培訓。當人們無法泄露他們不知道的密碼時，就沒有必要對他們進行網絡釣魚訓練。當懷疑有漏洞時，當每個系統(tǒng)都有不同的密碼，并且沒有從哪里鎖定或竊取所有東西的單一訪問時，沒有必要拔掉整個IT基礎設施。心態(tài)的轉變在過去的幾年里，隨著網絡安全預算的增加，網絡攻擊的數量一直在上升，沒有很多人問為什么。盡管超過80%的漏洞與基于人工的證書有關，但大部分網絡安全預算都花在了基礎設施和系統(tǒng)漏洞上，其中大多數仍未被發(fā)現。但現在，網絡安全溢出到物理世界的巨大風險，促使人們要求改變網絡安全的工作方式。為什么人們不應該首先設置密碼除非你能保證自己的大門安全，否則在網絡安全上投資數十億美元是不會有效果的。首先，不讓員工控制對公司基礎設施和資產的訪問權限。當其他人創(chuàng)建了你整個企業(yè)的數字密鑰時，你就失去了對他們的可見性和控制權。

實際上，密碼只是鑰匙為了能夠重新獲得對其密碼的控制權，公司需要按其本質對待密碼。就像新員工開始新工作并收到大樓和辦公室的鑰匙一樣，他或她在開始新工作時收到的是數字鑰匙，而不是自己制作的。物理密鑰和數字密鑰的唯一區(qū)別是在數字世界中沒有物理障礙。要竊取物理密鑰，需要靠近密鑰。數字密鑰或密碼可以從世界上任何地方被盜。加密密鑰，以免它們被盜在憑證盜竊沒有物理障礙的情況下，保護密鑰的最有效措施是使用保護秘密的方法，也就是密碼學。公司只需加密他們的訪問權限，并將所有系統(tǒng)的憑據分發(fā)給他們的用戶，這些系統(tǒng)位于一個只有每個用戶可以訪問的安全地方。這種邏輯解決了超過80%的違規(guī)行為。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。