任何有效的企业IT安全计划都必须基于某些核心原则。这些安全原则已经经过数十年的尝试和测试。它们包括深度防御,最低特权访问,角色分离和安全故障。IT安全最重要的基本原则之一就是确保最薄弱的环节。
组织的IT安全基础架构不是一个整体。它由多个部分组成,这些部分必须协同工作,以最大程度地降低组织防御遭到破坏的可能性。这些不同的部分具有不同的复杂程度以及不同的漏洞级别。
为了更好地理解最薄弱环节原理,让我们来看一个假设的场景。想象一下,你的任务是将一件珍贵的艺术收藏品从一个破旧的偏远仓库转移到城市中心一个高度安全的银行保险库。你签了一个装甲运输服务来运输物品。
现在,假设有一个罪犯刚刚抓住这一迫在眉睫的举动,并打算窃取艺术品。他们战略的核心将是确定最佳的攻击地点和时间。在这种情况下,他们可能不愿冒险抵抗银行保险库或装甲运输服务。远程仓库可能是他们的最佳选择。这是最薄弱的环节。
黑客没有无限的资源和时间可支配。他们希望将精力用在他们工作中最容易获得最快收益的领域。攻击者会直奔阻力最小的路径。他们会攻击看起来最弱的安全控制,而不是看起来最强的安全控制。
无论是一个躲在地下室的少年黑客,还是一个由国家支持的复杂黑客组织,其原理都是一样的。他们将寻找最薄弱的环节,并试图从这一点突破组织的防御。当有更容易进入的方法时,没有人会故意花费时间和金钱试图渗透IT基础设施中戒备森严的部分。只有当他们无法突破最薄弱的环节时,他们才会去探索更具挑战性的选择。
即使这样的链接比您组织的安全基础结构中的高度安全元素所获得的回报更少,也会出现最弱链接的优先级。想一想。银行持有的现金比当地的便利店多得多。抢劫银行肯定会在财务上更有利可图。但是,与便利店的保护措施较弱相比,普通抢劫者很难渗透到银行的先进安全技术上。便利店是更容易受到攻击并成功逃脱的目标。
从安全角度来看,最终用户,技术支持人员或基础架构管理员等通常被认为是最薄弱的环节,这个论点是有道理的。然而,人类由于决策的不可预测性和易受社会工程的影响而变得脆弱,最薄弱的环节也可能是安全功能或特征。
那么,如何识别IT安全设计中最薄弱的环节?您需要进行全面的风险分析。由此,您应该看到哪些风险是最容易利用的。但是仅仅找出最薄弱的环节是不够的。有了大量的风险数据,您可以按严重程度对风险进行排序,并首先专注于减轻最严重的风险,而不是那些最容易处理的风险。
安全资源应该根据风险的严重程度来分配。考虑到资源不是无限的,解决所有风险是不可能的。必须有一个终点,这是通过衡量可接受风险的参数来确定的。什么样的风险是可接受的,因人而异。
如果您打算为您的IT基础设施进行安全设计,那么识别和保护最薄弱的环节是至关重要的。解决最薄弱的环节意味着你可以避免一种类似于设置大门并期待攻击者直接跑向它的策略,而大门周围并没有限制他们的访问。
通过关注最薄弱的环节,您可以将时间和精力花费在最重要的风险上。只有在确定了自己的弱点之后,才能为您的系统提供一定的舒适度,使其免受攻击。
数据表明,到2021年,三分之一的尼日利亚人会持有或使用加密资产。该分析表明,...
1.我赌上了一辈子的幸福,却发现原来你一直都希望我输。 2.我也曾默念一个人的...
2021年在哪个方向投资,又应该把资金放在哪里?以及如何花时间并在不工作时仍然能...
在智能的数字化时代,人们正在力求通过数字孪生技术在网络空间中构建一个与物理...
根据Financial Express最新消息,印度财政部长Anurag Singh Thakur表示,由于任...
在无数个向厂商提交漏洞的日子里, 以下的场景你是否似曾相识? 被厂商白嫖:这根...
央行又成立一家科技子公司 1月27日,中国人民银行旗下成方金融信息技术服务有限...
1.原来,一个人真的会变成自己曾经最反感的样子。 2.是你让我知道,想要保护那些...
1.爱上你就想爱上了一盆仙人掌,随时都有可能被它刺伤。 2.世界上最痛苦的事就...
3月29日,印度移动支付服务商MobiKwik 8.2TB 数据在暗网出售,泄露的数据涉及350...