企业如何从网络安全风险中消除人为错误

原文标题：How to remove human error from the cyber risk equation

原文作者：Republished by Henry Harrison, CTO, Garrison

译文出自：云子可信官方论坛

译者：云子可信汉化组 (本文在原文翻译的基础上略有修改)

为了巩固企业的网络资产，我们把很多注意力放在了人为错误上。毕竟绝大多数黑客都是利用企业员工来攻破企业的防御系统，他们认为这些员工无法“看到”隐藏在看似无害的网络链接、电子邮件或屏幕弹框消息中的威胁。

企业的领导者们意识到了这一点，并且越来越担心——这是有原因的。Shred-it的研究显示，在遭遇网络入侵的公司中，近一半的高管认为是员工或内部人员的人为失误或意外造成损失。

为了解决这个问题，一些企业试图提高员工的技能，希望他们能发展“高度的网络安全意识”。但事实证明，此类举措是徒劳的。我们当然可以教育员工基本的网络安全常识。但除此之外的任何事情都可能远远达不到目标，让终端用户为违规行为负责是不负责任的。

Gartner预测，到2020年，由于IT安全团队无法有效应对数字威胁，60%的数字业务将遭受重大服务故障。这一预测提出了一个相当明显且令人不安的问题:如果连安全团队都将被日益复杂的网络威胁所击败，企业怎么可能指望它们的非安全专业人士跟上?

那么，我们是否应该屈从于一个黯淡的现实，即重大网络攻击是一个“何时而非如果”的命题?或者我们要探索其他途径来加强保护?

我建议后者，因为有可用的、经过验证的技术实践和工具，它们可以保护操作环境，同时显著降低(如果不是完全消除)人为错误的风险。以下是其中的两个:

网络隔离

网络隔离也称为远程浏览，它将用户置于一个隔离的环境中，用户可以在此环境中浏览可能存在风险的网站。如果恶意软件破坏了环境，那么损害可以最小，因为隔离环境确保了恶意软件无法访问系统或敏感数据，并且用户的实际端点能保证安全。从概念上讲，网络隔离建立在用户浏览器提供的沙盒之上——但是如果执行正确，将建立一个更高级别的安全级别。

为了使用网络隔离来响应基于恶意软件的钓鱼攻击，安全团队通常可以采用以下两种方法之一:

入站邮件网关：邮件网关通常提供链接重写功能，以确定应该如何处理链接。使用一些网络隔离解决方案，可以在入站电子邮件中重写链接，以便在单击链接时在网络隔离环境打开链接。许多邮件网关允许对发件人或域进行白名单操作，并且始终使用本机端点的浏览器打开已知和可信的链接。

代理或安全的网络网关：当然了，邮件网关只会重写电子邮件中的链接。攻击者将利用聊天或文件传输等其他渠道向用户发送钓鱼链接。要解决此风险，请考虑部署基于代理(或其他受保护的网络网关)的解决方案。在这种情况下，团队在代理中构建一个域名白名单，这样任何非白名单的域名都需要通过网络隔离来访问。

定义此白名单的方法可能有所不同。一些企业正在强制执行非常严格的白名单要求，仅限于能够提供安全文档和审计报告的已知和可信的云服务。

另一种更灵活的方法是记录用户在过去一两个月访问过的所有域，并根据此创建白名单。即使对于最大的组织，这个白名单也可能只覆盖不到1%的网站。但它可能会覆盖99%以上的下个月可能会浏览的网站。

考虑到这一点，用户几乎不会注意到区别——超过99%的浏览将与以前完全一样。但几乎可以肯定的是，任何钓鱼链接都不会出现在白名单上，因此，如果被打开，它们将被隔离在网络环境外。

Hardsec

虽然网络隔离的想法很好，但是如果网络隔离解决方案本身可能就会被破坏，那么它将毫无用处。为了避免这种风险，解决方案是使用基于硬件的方法。

几十年来，我们一直受益于在CPU上运行的软件的惊人灵活性。但灵活性也是当今IT环境的致命弱点——难以实现的复杂系统，其中简单的错误也可能导致影响无限大的漏洞。仅通过提供正确的指令，我们就能开发出任何可以想象的强大的功能，也是使攻击者可以替换其指令并破坏计算平台整个功能的强大功能。

这也是所有安全软件的弱点，其结果就是精心设计的保护工具实际上可能使企业暴露得更多。实际上，许多端点安全产品都存在非常严重的漏洞，如果一开始就不使用它们，可能会更安全。

Hardsec已经成为一个可行的、可替代的架构。在大约十年前，Hardsec起源于英国政府的安全团队，并自那以后不断发展，它使用硬件来应对日益复杂的网络安全威胁，而不是通常的软件和基于监控的方法。它采用现场可编程门阵列(FPGA)集成电路代替CPU，这些集成电路只能使用特定的物理FPGA引脚进行编程。这使安全团队可以通过物理硬件设计和实施来限制可以重新编程FPGA的人员，使其能够访问受良好保护的特权管理环境。攻击者无法这样做，因为他们无法将数据物理传输到引脚。

与复杂而灵活基于软件的工具(这些工具为网络黑客提供了大量的利用机会)相比，hardsec的控制相对简单和容易。正如我们常说的那样，他们“太笨拙而无法破解”。

有了hardsec，我们实现两全其美：硬件安全性的优势已从传统的图灵机计算机逻辑中移除，因此不会遭受软件漏洞的影响；因为不用担心软件的易攻击性；软件的灵活性，允许通用基础硬件平台根据其编程方式发挥多种作用。

云子可信

云子可信终端管理是北京启明星辰自主研发的一款网络安全管理产品，以公有云和私有云版并行的优势，全栈式服务大中小微型企业机构，帮助客户全面提升其 IT 基础设施的安全性和生产效能。提供上网行为管理、软件禁用/卸载、U盘管控、远程桌面、软硬件资产统计、定时开关机、杀软推送、脚本执行、补丁更新、杀毒软件监测、密码检测等终端管理相关功能，让企业机构的网络安全、终端安全基线以低成本高成效地方式建立起来。

随着我们进入互联网企业时代，对更敏捷、更普及的网络安全的需求越来越高，我们需要尝试采用可靠的安全手段，利用无线、软件定义和云技术等一些新方法，来应对网络威胁。

那么如何安装云子可信？