行业新闻与博客

恶意行为者始终以 IT 和运营技术 (OT) 网络为目标。然而，这些系统的互联程度越来越高，攻击也越来越复杂和频繁。这推动了世界各地网络立法的兴起，澳大利亚的《关键基础设施安全法案》(SOCI)、欧盟金融机构的《数字运营弹性法案》(DORA) 和英国电信安全法案 (TSA) 等法规都在推动网络立法的发展。更好地保护重要系统。

NIS2 指令是  这些法律法规中最新的；虽然这是一项欧盟指令，但企业需要在 2024 年 10 月 17 日截止日期之前遵守其规定的标准，才能与欧盟成员国开展业务。供应链和第三方风险管理还扩大了受影响组织的范围以及可施加的最低处罚。

为 2024 年 10 月的最后期限做准备需要组织确定他们现在所处的位置，以查明哪些领域需要改进，并实施必要的策略来实现这一目标。 

评估组织的网络防御态势是一项艰巨的任务，涵盖多种职能。NIS2 就 10 个核心领域提供指导；我们概述了每一项中要考虑的事项：

1. 风险分析和信息系统安全策略。 组织必须针对信息安全的各个方面制定强有力的政策，并能够向监管机构证明这一点。政策链接到以下程序，必须进行测试并定期更新。虽然它们涵盖了各种各样的问题，但其核心是了解组织数据所面临的风险以及保护数据的能力。
2. 事件处理。 企业必须现实地考虑是否能够有效应对违规行为。处理事件包括快速恢复的能力以及根据需要通知监管机构的流程。
3. 业务连续性和危机管理。 在最坏的情况发生时，审查业务连续性计划是否到位与评估事件处理密切相关。例如，如果攻击者对组织的 ERP 系统使用的关键数据库进行加密，是否可以在不影响生产、物流供应链或上下游服务的情况下快速备份和恢复？
4. 供应链安全。 供应链的每个要素都需要评估其所带来的安全威胁，因此必须对向组织提供关键硬件、软件或服务的任何企业（无论规模大小）进行尽职调查。第三方检查需要了解每个供应商之间的关系，并且组织需要制定策略来确保这些第三方满足其安全要求。
5. 网络与信息系统采集。组织采购的任何新信息系统或网络应用程序的供应商也需要进行尽职调查，以确保每个元素都符合可接受的安全标准。这也适用于通过并购活动获得的基础设施，并且需要定期测试。
6. 网络安全风险管理有效性政策。 需要制定为每个组织定义技术安全要求的策略。但由于很大一部分攻击源自社会工程（商业电子邮件泄露、通过网络钓鱼传播恶意软件等），制定如何提高网络安全意识并向最终用户传达网络安全意识的政策也同样重要。
7. 网络卫生和网络安全培训。 综上所述，人为因素是任何组织的主要风险因素；管理它需要在整个企业范围内致力于对所有员工进行定期网络安全培训和测试（根据他们的角色和知识水平进行定制），以培养网络安全是每个人的责任的文化。良好的网络卫生还需要针对技术元素采用 DevSecOps 方法；安全开发原则应应用于构建的每个应用程序，无论是内部应用程序还是第三方构建的应用程序，以确保其在整个生命周期中始终保持安全。
8. 密码学和加密策略。 组织需要标准程序来确保采用加密来存储、传输和处理所有敏感数据和信息。什么应该加密，以及如何根据组织的性质、业务及其持有的数据来确定加密内容。
9. 人力资源保障。 人力资源在保护组织安全方面发挥着比许多人想象的更大的作用。企业需要清楚地了解每个用户以及他们为承担其角色而必须执行的活动。这需要制定有效的资产管理、身份和访问管理策略，以及加入者、移动者离开者流程，以限制有意或无意滥用资产的风险。 
10. 多重身份验证 (MFA)。 MFA 专注于验证任何人进入组织系统并访问其数据时交互的每一步 - 用户名和密码不再足够。这种零信任方法需要应用于整个环境。它需要验证人员的身份、用于访问的设备的安全性以及它们来自的网络环境，并制定相关的条件访问策略。

一旦某人通过身份验证，智能地限制他们对数据的访问也是一个核心要素。

组织方法

可以理解的是，网络安全防御评估可能是一项艰巨而艰巨的任务。然而，需要强调的是，合规性应被视为一条成熟度曲线；关键是差距分析——了解现在的情况以及最终需要的情况——这决定了组织通往更安全环境的路径。

还值得注意的是，立法不应被视为合规性“勾选框练习”；相反，它是关于了解组织中的风险所在，记住风险会随着时间的推移而演变，并旨在超过法规要求的最低标准。

最后，网络安全和防止黑客攻击通常被认为是“技术”问题。但现实情况是，其中很大一部分与文化和人类行为有关，因此采用涉及整个组织的更广泛的方法至关重要。