来自 安全 2022-06-08 01:10 的文章

服务器防护_海外高防云服务器租用_解决方案

服务器防护_海外高防云服务器租用_解决方案

随着网络安全威胁的增加,董事会将审查监督风险的选项。2018年6月11日至12日,30多名董事会成员和小组成员在达拉斯参加安永网络安全委员会峰会。此次活动的特色是对网络安全风险和监管进行深入讨论。与会的董事会成员共有约50个董事会,代表着不同行业、不同地区和不同规模的公司,其中包括许多《财富》500强公司。目标是更多地了解网络安全威胁、能够检测和缓解此类威胁的系统和控制,以及董事会从治理角度应发挥的监督作用。讨论内容包括对网络安全前景的概述、从最近的违规行为中吸取的经验教训、网络风险主管的观点、监管期望以及董事会监督的主要做法。峰会与会者还参观了位于达拉斯的安永网络安全中心(EY Cybersecurity Center),该中心是安永全球全天候运营的六个中心之一。在这里,我们提供了10个关键要点和课程各部分的总结。十大峰会外卖永远保持警惕,;网络安全威胁是动态和持续的。董事会的职责不是网络安全风险管理;这是网络安全风险监管。董事会可能需要重组其委员会并制定新章程,以充分监督网络安全风险管理。董事们希望并需要更多关于网络安全风险的教育。董事会需要聘请第三方独立客观地评估公司的网络安全风险管理计划和控制是否符合其目标。这些第三方应与董事会直接对话,以报告公司网络安全风险管理计划的有效性。董事会和公司需要为网络安全危机做好充分的计划,包括在危机发生之前与所有第三方专家达成协议。董事会和管理层需要定期实施网络安全响应计划。管理层应考虑提供董事会定期更新与关键的指标在关键的网络安全控制,以简单的英语交流。虽然改进的检测工作可能会增加网络相关事件的发生率,但值得注意的事件的发生率应随着组织改进其管理和遏制这些事件的方式而下降。

讨论中的重点我们做得好吗,还是只是运气好?几乎所有出席峰会的人都在他们的审计委员会任职,大多数人担任主席。大多数人同意,微软云ddos防御,他们对网络安全负有主要的董事会责任。然而,有些人对自己应该做什么以及做得有多好感到不确定。他们说,由于所有与复杂技术相关的不熟悉术语,网络安全在功能上感觉与其他监督职责不同,谷歌云服务器防御DDoS攻击么,他们正在寻找更多的知识来提供更好的判断。正如一位导演所说,"我们做得好吗,还是只是运气好?"另一位问,"我们做得够多了吗?"第三位这样说:"我如何才能更好地了解这个问题?"?我想问(管理层)正确的问题,并能够解释他们的答案,以更好地保护公司。"因此,峰会的一个中心主题是学习如何利用董事们广泛的业务和风险管理经验,更好地支持他们的监督角色,包括在网络相关技术知识可能存在差距的情况下获取必要信息的方法。一个相关主题是认识到独立性和客观性在评估公司网络安全风险管理计划和控制以及通过第三方验证增加董事会信任方面的重要性。负责这些控制的人不应该是进行评估或雇佣他人进行评估的人,因为在调查违规行为时,自我保护可能会妨碍他们。对话涉及广泛的话题,包括网络安全披露的参数;审计委员会或更专业的小组委员会是否是董事会监督网络安全风险的合适场所;以及用于确定成功或失败的指标。"我看不出有什么趋势,"一位董事会成员说我不知道什么是好的,免费ddos防火墙,什么是坏的。"网络景观概述在峰会开幕之夜的一次晚宴讨论中,微软企业网络安全集团全球总监乔纳森·特鲁尔(Jonathan Trull)带领与会者口头参观了网络环境。他解释了新技术的爆炸如何改变业务,但也导致风险急剧上升。根据特鲁尔先生的说法,无论你在这片土地上的复杂程度如何,你都必须保持谦虚,害怕你不知道的东西,cc攻击防御开启后,并认识到你永远不会知道一切。他这样描述自己的担忧:"我们错过了什么?"也就是说,你需要强大的控制,理想情况下,需要统一的硬件和流程——来检测攻击,补救攻击,并从破坏中恢复过来。作为最佳实践,他引用了SANS研究所的前20个CIS关键安全控制措施,以实现有效的网络防御(SANS 20)。在试图抵御攻击时,要担心技术上的缺陷和不足,但更要担心授权进入你试图建造的堡垒的人。"他们往往是薄弱环节,"特鲁尔先生说。无论是无意中还是有意,您的一些员工,或您与之打交道的第三方或供应链合作伙伴的员工,都会向不良行为者敞开大门。董事会成员应该询问他们的公司是否有适当的控制和流程来限制为适当的目的接触适当的人。此外,当涉及到安全问题时,他们应该考虑企业文化是否是许可的或严格的。确保供应链上下都有正确的控制和流程也是至关重要的。特鲁尔指出,有很多方法可以让大门紧闭。为处于敏感岗位的员工提供一个特权访问工作站,该工作站连接到公司网络,但不连接到互联网。使用欺骗技术诱捕攻击者,定期重新检查员工背景,部署"红色团队"积极搜寻系统弱点。但是记住要保持谦虚和警惕。当你关上一些门时,新的门就会打开,这得益于新技术,而这些门可能更难关上。例如,多亏了物联网,互联的智能设备(从石油钻塔上的敏感仪表到厨房里的烤面包机)正以数百万的速度激增。这些设备的许多制造商都是低技术公司——当他们进入高科技领域时,他们的风险水平也在上升,这也可能会提高你的风险水平。我们要做的就是永远保持警惕——网络威胁是动态和持续的。坏人永远不会离开。相反,他们不断地重新装备以保持领先你一步,而且他们只需要正确一次。今天早上你可能认为自己是世界上最安全的公司,但今天下午却发现世界变了。从网络破坏中吸取的教训在首脑会议的第二天,一名小组成员附和了晚宴上的一份说明。"首先要担心的是你的人员,"他说但在对重大违规行为进行事后调查时,管理层的错误决策显然是另一个大问题。"计划是起草好的,但没有落实到位,因此当出现违约时,反应很大程度上是即兴的。""这真的很糟糕,"小组成员说人们需要知道该做什么,而第一周很关键——你不想花这一周的时间让人们跟上进度。"另一个人补充道,"你需要在危机发生之前准备一份检查表,并且你需要定期实践应对计划。"事实上,你现在必须做很多事情来防止危机发生,并在危机发生时做好准备您的公司应该选择一个网络安全框架(引用最多的是美国国家标准与技术研究所提供的框架),然后进行成熟度和有效性评估,以推动路线图和投资。组织应该超越仅仅是一个工具的框架,实施额外的控制,如SAN 20。他们还应该将重点放在人员因素上,包括执行背景检查、终止后删除凭据、拔掉不再需要的已获得技术等等。峰会与会者被告知,我们正进入一个"零信任环境",在这个环境中,每个系统和每个人的身份都将不断受到检查。例如,根据过去的模式,使用此密码的人是否在奇数时间工作?访问不寻常的文件?一些公司已经在这样做了,并且在三到五年内会有更大的上升。为了检查您的计划的有效性,引入第三方进行独立评估至关重要。公司需要知道不惜一切代价保护哪些皇冠上的珠宝。通常,公司内部对此没有达成一致意见,或者重点是保险而不是保护。评估还应包含法律风险:您如何保护受法规管辖或属于外部各方的数据?评估通常在违约日进行。同样,不要等到危机来袭才开始寻求外部帮助。提前找到必要的专家(如法律、公共关系、业务连续性)并立即注册。出席会议的董事会成员被提醒,"如果周末发生危机,防御ddos收费,你需要他们的手机号码。"如果确实发生了重大突破,您还需要一个独立的团队,包括一名技术专家,来找出原因。团队不应向首席信息安全官报告