评论
近年来,澳大利亚采取了一些关键举措来改善国家的安全态势。 2020年,国家 投资1.67亿澳元 (1.1 亿美元)作为 2020 年网络安全战略的一部分。
尽管做出了这些努力,澳大利亚政府的“2022-2023 年网络威胁报告报告了 58 起被归类为广泛妥协的事件,以及 195 起被归类为孤立妥协的事件。港口经营者 迪拜环球港务集团澳大利亚 11 月因网络攻击而暂停运营。 SA健康, 澳大利亚服务及 新界健康 继 2022 年 XNUMX 月的事件之后,去年遭到入侵的医疗保健提供商只是其中的一小部分 医疗银行 影响近 10 万人的违规行为。
作为回应,澳大利亚更新了其水平 基本八 成熟度模型,为试图保护自己免受网络攻击的企业提供的国家综合指南。基本八项框架于 2010 年创建,旨在帮助企业抵御网络安全威胁,现已更新多次,最引人注目的是它添加了成熟度模型,以帮助不同规模的公司确定要采取的适当安全行动,最近一次更新是在 2023 年 XNUMX 月。
然而,随着网络犯罪在澳大利亚猖獗,是时候问问“八要素”是否为澳大利亚组织提供了正确的方向,以及是否应该作为其他国家的榜样。
八项基本内容
《八要素》自 2010 年发布以来一直保持完整。它提供了有关修补、备份和应用程序控制的指导。除此之外,2023 年的更新建议限制 Microsoft 宏,并包含有关用户应用程序强化的指令。
尽管所有这些问题都很重要,但他们未能认识到向云的过渡,特别是软件即服务 (SaaS) 应用程序的使用。八项基本要素确实包括关于限制管理权限的部分,这是一项关键的 SaaS 安全原则。
然而,通读成熟度级别后,很明显,其指导仍然针对本地网络。成熟度级别 2 包括诸如“首次请求时验证对系统、应用程序和数据存储库的特权访问的请求”和“特权用户使用单独的特权和非特权操作环境”等指南。
在与管理权限相关的三个成熟度级别的 29 项管理权限建议中,只有一项涉及在线帐户(“明确授权访问在线服务的特权帐户严格限于用户和服务履行其职责所需的内容”)。
八要素确实包括多重身份验证 (MFA)。这是确保在线服务安全的关键一步。然而,MFA 只是云和 SaaS 安全性的一部分。仅限于 MFA 的指导会对依赖八项基本要素来确保其整个数字足迹安全的企业和政府实体造成损害。
当今工作环境中的八个重要失误
不幸的是,八个基本要素及其成熟度模型错过了当今的计算机环境。它不包含“云”或“SaaS 应用程序”一词。由于疏忽,它未能认识到 SaaS 应用程序在当今商业世界中所扮演的角色以及存储在云中的数据。
如今,SaaS 应用程序包括 占所有软件的 70% 被企业使用。这些应用程序中的每一个都包含关键业务数据或在必须受到保护的操作中发挥作用。 MFA 是用于限制授权用户访问的重要工具,但它远远达不到保护 SaaS 和云实例所需的措施。
更新现代工作场所的八项基本要素
八要素缺少四个关键的以云为中心的安全指令:配置管理、身份安全、第三方应用程序集成管理和资源控制。
-
配置管理: 不能解决错误配置问题的安全框架缺少一个关键的安全指南。 A 成立研究 报告发现,800 年将有 2022 亿条记录因配置错误而被泄露。这是一个严重的问题,需要自动监控,以确保应用程序和云管理员不会意外调整向公众公开数据的设置。
-
身份安全: 身份安全态势管理 (ISPM) 是八项基本要素中另一个明显的遗漏。 SaaS 和云消除了传统的网络边界。身份是应用程序和威胁行为者之间的唯一障碍。虽然 MFA 确实解决了用户身份验证问题,但它无法解决与取消配置的用户、外部用户、用户权限、管理风险和其他基于用户的风险相关的问题。
-
第三方应用集成管理: 第三方应用程序有助于改进核心应用程序功能并简化工作流程。它们还引入了新的风险途径。简单的 OAuth 集成通常需要侵入性范围,为应用程序授予写入权限,其中包括删除文件夹、文件和整个驱动器以及管理电子邮件权限的能力。
-
资源控制: SaaS 和云应用程序存储数百万的公司资产和资源。其中包括文件、文件夹、规划板、专有软件代码和产品计划。这些资产必须受到强大的安全措施的保护,而不是任何通过互联网浏览器链接或可搜索的人都无法访问。
让企业做好应对当今威胁的准备
澳大利亚以及向澳大利亚寻求指导的中东和非洲网络安全组织必须更新其安全框架,以应对现代网络基础设施的要求。
八要素的下一步应该是引入与错误配置管理、ISPM、第三方应用程序以及保护存储在 SaaS 应用程序中的公司资产相关的安全措施。
- :具有
- :是
- 10 百万美元
- 1
- 10
- 13
- 14
- 16
- 195
- 2020
- 2022
- 2023
- 29
- 58
- 67
- 7
- 9
- a
- 美国广播公司
- 对,能力--
- ACCESS
- 无障碍
- 账户
- 行动
- 演员
- 添加
- 地址
- 地址
- 管理员
- 行政
- 管理员
- 影响
- 非洲
- 驳
- 所有类型
- 还
- 其中
- an
- 和
- 另一个
- 任何人
- 应用
- 应用领域
- 应用领域
- 适当
- 保健
- AS
- 问
- 办公室文员:
- 澳元
- 澳大利亚
- 澳大利亚人
- 认证
- 授权
- 自动化
- 大道
- 备份
- 屏障
- BE
- 很
- 背后
- 作为
- 之间
- 亿
- 违反
- 浏览器
- 商业
- 企业
- 但是
- by
- 圆
- 机密
- 清除
- 云端技术
- 码
- COM的
- 公司
- 公司
- 公司资产
- 全面
- 一台
- 配置
- 包含
- 包含
- 控制
- 核心
- 国家
- 国家
- 创建
- 危急
- 网络
- 网络安全
- 网络攻击
- 网络攻击
- 网络犯罪
- 网络安全
- data
- 确定
- 不同
- 数字
- 方向
- 指令
- 不
- 不会
- 不
- 驱动器
- 两
- 每
- 东部
- 工作的影响。
- 八
- 邮箱地址
- 授权
- 确保
- 整个
- 实体
- 环境
- 环境中
- 必要
- 明确地
- 裸露
- 广泛
- 外部
- 失败
- 失败
- 下降
- 远
- 少数
- 档
- (名字)
- 以下
- Footprint
- 针对
- 发现
- 四
- 骨架
- 止
- 功能
- 政府
- 政府实体
- 指导
- 指南
- 有
- 医疗保健
- 帮助
- 但是
- HTTPS
- ICON
- 身分
- if
- 重要
- 改善
- in
- 包括
- 包括
- 基础设施
- 积分
- 网络
- 介绍
- 侵入
- 孤立
- 问题
- 问题
- IT
- 它的
- JPG
- 只是
- 只有一个
- 键
- (姓氏)
- 去年
- Level
- 各级
- 喜欢
- 极限
- 有限
- 限制
- 友情链接
- 看
- 宏
- 制成
- 管理
- 颠覆性技术
- 标记
- 到期
- 成熟度模型
- 措施
- 外交部
- 微软
- 中间
- 中东
- 百万
- 百万
- 错过
- 错过
- 失踪
- 模型
- 模型
- 现代
- 监控
- 最先进的
- 移动
- 多因素身份验证
- 必须
- 国家
- 几乎
- 净
- 网络
- 网络
- 全新
- 下页
- 特别是
- 十一月
- OAuth的
- of
- 经常
- on
- 一
- 在线
- 仅由
- 操作
- 运营
- 操作者
- or
- 组织
- 其他名称
- 输出
- 部分
- 修补
- 员工
- 权限
- 片
- 地方
- 规划行程
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 扮演
- 原理
- 特权
- 权限
- 产品
- 所有权
- 保护
- 保护
- 供应商
- 提供
- 优
- 国家
- 出版
- 宁
- 阅读
- 最近
- 最近
- 承认
- 建议
- 建议
- 记录
- 依靠
- 保持
- 遗迹
- 报告
- 报道
- 要求
- 必须
- 需要
- 资源
- 资源
- 响应
- 限制
- 右
- 风险
- 风险
- 健壮
- 角色
- 运行
- s
- SaaS的
- 部分
- 安全
- 担保
- 保障
- 保安
- 保安措施
- 分开
- 严重
- 特色服务
- 设置
- 几个
- 短
- 应该
- 简易
- 简化
- 自
- 尺寸
- 软件
- 一些
- 特别是
- 看台
- 步
- 商店
- 存储
- 策略
- 暂停
- 产品
- 量身定制
- 采取
- 比
- 这
- 其
- 他们自己
- 博曼
- 他们
- 事
- 第三方
- Free Introduction
- 那些
- 威胁
- 威胁者
- 威胁报告
- 威胁
- 三
- 通过
- 次
- 时
- 至
- 今晚
- 工具
- 对于
- 传统
- 过渡
- 试图
- 承担
- 更新
- 更新
- 使用
- 用过的
- 用户
- 用户
- 验证
- 井
- 为
- 什么是
- 什么是
- ,尤其是
- 是否
- 这
- 而
- 话
- 工作
- 工作流程
- 世界
- 写
- 年
- 年
- 和风网