图片来源:LabVantage Solutions, Inc。
随着1861年密码锁的发明和银行金库的普及,小偷们对爆炸物产生了浓厚的兴趣。相比之下,自20世纪80年代数字时代开始以来,网络盗窃和/或网络犯罪迅速增加。
随着数据存储和移动的不断发展,从个人电脑的出现到移动计算的爆炸式增长,再到云计算的出现,让数据面临风险的新方法已经出现。
评估从纸质到数字化和认真对待网络安全之间的必要平衡至关重要。毫无疑问,转移到数字平台的价值有多大;采用数字解决方案可以节省时间和提高性能,带来巨大的好处。
在制造业和科学研究领域,技术等实验室信息管理系统(LIMS)能产生巨大的回报。然而,收获利益和回报意味着责任的增加;对你的关系网的所有边缘保持警惕是至关重要的。
随着时间的推移,银行逐渐加强了防盗措施——从便携式保险柜转向内部保险柜,逐步淘汰密码锁,转而采用复杂的生物识别保护系统。
同样,网络安全专家也经常推出新的策略来挫败数字罪犯。任何存储和移动数据的机构——包括实验室——都不能忽视安全问题,必须对任何不断发展的威胁保持警惕。
大数据。大的成本。
在云、内部服务器和公司设备之间存储和移动的大量各种类型的数据中,安全变得至关重要。
相反,对于罪犯、掠夺性活动人士和有意识形态目的的“国家行动者”来说,窃取或在支付赎金之前阻止合法用户访问已成为一项有利可图的业务。
有多大?据认为,在美国,数据泄露的总成本已经从2006年的平均350万美元上升到2020年的平均860万美元。
据主要的网络安全新闻来源CSO Online称,数据泄露造成的平均损失中,近40%来自业务损失;包括增加的客户流失率,系统宕机导致的收入损失,以及由于声誉受损而增加的新业务收购成本。
据《福布斯》报道,研究公司IDC发现,发达国家80%的消费者如果因安全漏洞而导致信息泄露,就会放弃某项业务。大多数公司都无法从重大漏洞中恢复过来。
网络罪犯不断提高他们的能力,并在数据泄露时加大赌注。
2020年12月,总部位于加州马尔皮塔斯的17岁知名网络安全供应商FireEye遭遇数据泄露。黑客窃取了FireEye所谓的“红队”(red team)使用的工具:在网络安全领域,红队是一群内部高级IT专家,他们的任务是通过渗透战术或“笔测”,试图攻破公司自己的数据防御墙。
由于FireEye在行业中的领导作用和影响力,这支红色团队可能拥有行业中最好的笔测试工具。
更糟糕的是,火眼能够迅速确定,同样的攻击(据称是由位于美国境内的俄罗斯黑客发起的)利用了Orion软件的一个漏洞。Orion是由SolarWinds开发的一款产品,约有3.3万名客户使用该软件。据估计,有1.8万名用户受到黑客入侵的影响,FireEye甚至不是最受关注的受害者。
这项荣誉属于美国国家安全局(NSA),该机构负责保护联邦机构免受网络攻击。
加强防御
如果只考虑故事的一面,事情可能看起来很黯淡:
- 火眼和太阳风被黑造成的所有损失
- 据报道,每天会产生23万个新的恶意软件样本
- 有消息称,由于大流行,向远程工作的重大转变之后,公司网络的脆弱部分受到越来越多的攻击。
另一方面,与十年前相比,如今的组织更加重视网络安全。这些公司有:
- 通过雇佣首席信息安全官(ciso)来扩大他们的行政领导级别,而不是给内部IT部门增加更多的任务
- 将网络风险纳入应急计划
- 让久经沙场的老兵带领他们的红队对抗各种各样的坏人。
优秀的网络安全始于优秀的人。即使是在高调和低调的企业受到的攻击数量不断增加的十年之后,大多数入侵还是由人性主导的。
员工不断被电子邮件钓鱼诈骗骗;例如,打开看似来自公司内部的电子邮件,或无意中下载恶意软件到公司笔记本电脑上。
因此,为了应对这种情况,进步的组织已经启动了培训员工的项目,从而在整个企业传播网络安全文化。
在技术方面,正在继续开发新的方法,以产生一个更强大的系统,包括使用人工智能从暴露的软件和网络漏洞中学习。
包括高德纳(Gartner)推出的基于云的安全访问服务边缘(SASE,发音为“sassy”)在内的新技术,目前已被多家知名金融和医疗机构使用,在与恶意势力的持续战斗中继续受到欢迎。
好的网络安全很少是一个“设置好就忘了”的过程。资深的首席信息官是最前沿的人物,他们见识过各种类型的勒索软件、专门的拒绝服务和网络钓鱼诈骗。他们认为,最聪明的网络安全以及由此产生的最佳实践的保质期约为5年。
这一次已经过去了,无论是国家支持的还是独立的黑客,都开发了新的工具,发现了攻击企业网络漏洞的新方法。
全球大流行病等事件只会加速这一时间表,因为每个数字网络都将引入数千个新的移动终端。这导致制定更强有力的对策,如SASE。如果一家企业或其软件供应商不能领先黑客一步,那么网络安全竞赛每次都将失败。
经济学人智库(Economist Intelligence Unit)对多个行业的300名不同组织(包括制药行业)的高管进行了调查,结果显示,应对恶意数据泄露的两个主要优先事项是采取积极的战略和构建安全文化。
在你的伙伴中循环
防止数据泄露的一个关键趋势是在组织和软件供应商之间更好地共享信息。在网络安全的早期,控制通常由中央组织来维持。
当该公司考虑在其网络中添加软件时,安全参数被纳入到向潜在合格供应商分发的提案请求中。
最近,这一过程已经开始改变,因为CISOs已经证实有效的数据安全的一个重要元素是主动和与软件厂商合作,以确保适当的工具和协议时,启动实施和保持地方只要软件被利用。
他们越来越多地在寻找那些不仅认真对待网络安全,而且在整个企业都采用严格的网络安全文化的供应商。
在考虑供应商时,有几个关键因素需要考虑:
- 通过设计实现安全的合作伙伴。有效的安全始于代码级别,真正理解这一点的供应商正在利用SonarQube等工具来确保在漏洞泄漏到您的网络之前检测到它们。
- 合作伙伴测试。开发人员擅长测试代码以处理缺陷,但真正重视网络安全的软件供应商现在有了自己的红队或外部合作伙伴,用他们所拥有的一切打击他们的产品。笔测试和雇佣“白帽”黑客是确保解决方案不会在真正的攻击下崩溃的关键方法。
- 生活在网络安全之中的伙伴。供应商对安全的承诺不应只适用于他们所销售的产品。如果他们不在自己的队伍中培养最佳实践,他们怎么能被完全信任呢?
数字时代的安全需要承诺和持续的警惕。坏人总是会寻找新的方法来攻破网络,但是,像所有的小偷一样,他们会去找容易的目标。加强防御并与重视网络安全的供应商合作,将有助于防止企业成为易受攻击的对象。
LabVantage的优势:以网络安全文化为后盾
LabVantage是网络安全领域的先驱,在整个开发过程中培养网络安全最佳实践,并与客户密切合作,以满足不同的安全需求。
最新发布的LabVantage的旗舰LIMS (LabVantage LIMS 8.6)的设计特别关注网络安全,考虑了客户的意见和公司的内部研究。
LabVantage LIMS一直是非常安全的,具有可配置的安全协议和权限,符合美国健康保险可移植性和问责法和欧盟的一般数据保护条例。
加密已经被整合到多个阶段,包括云服务器和对基于订阅的SaaS版本LIMS至关重要的VPN隧道中的所有数据。LabVantage还非常积极主动地使用钢笔测试和其他活动,让用户在任何潜在的网络攻击前保持良好的网络安全。
在LabVantage 8.6中,系统安全占据了更大的优先地位,朝着能够识别数据脆弱性并知道如何有效应对的设计框架迈进。
图片来源:LabVantage Solutions, Inc。
持续检查
LabVantage已纳入SonarQube评估和扫描源代码的潜在漏洞。
作为一个开源平台,SonarQube提供了对代码质量的持续检查,通过静态分析来进行自动检查,以识别漏洞、代码气味和其他安全漏洞。
除了将SonarQube纳入开发过程之外,LabVantage还增强了其传统的编码操作程序,并将Atlassian的Jira软件引入到开发过程中。这使得LabVantage能够密切跟踪代码,同时增加了开发过程中潜在安全问题的可见性。
LabVantage还使用了“magic byte”检测:文件签名和数据列表,用于检测或验证文件内容,确保恶意文件无法上传,同时检查所有第三方库,以确保遗留库和必要的插件得到升级。
该公司对8.6进行了测试,让LabVantage最好的研发人员在这款产品上放松下来,在为期一周的黑客松中挑战两组“白帽”黑客来检测恶意代码或其他漏洞。
这些团队成员比任何人都更了解这个平台,而且他们有优势,可以依靠LabVantage客户安全团队提供的内部信息。
重点关注两个关键的可能差距;跨站脚本和跨站请求伪造,白帽黑客重创了LabVantage 8.6。黑客马拉松揭示了几个潜在的问题,该公司能够加强其产品来解决这些问题。
第三方验证
确保LabVantage 8.6和未来版本满足质量标准的努力不会就此停止。虽然有一个经验丰富和知识渊博的LabVantage研发资源的地方采取黑客在新的软件,也至关重要的是有第三方检查发现和发现任何其他潜在的缺陷。
因此,LabVantage与COMPASS网络安全公司合作,持续进行客观的笔测试。
结合SonarQube的持续使用,LabVantage确信其LIMS将成为任何客户技术栈中一个重要的防破坏附加物。LabVantage持续监控OWASP前10名,密切关注威胁基于web的应用程序(如LIMS)的关键风险。
该公司还在确保这种文化在整个团队中都得到落实,并引入了一些新的举措,以确保公司及其产品为任何活动做好准备。安全培训也不仅限于LabVantage人员,还延伸到其合作伙伴。
此外,该公司还将网络安全作为一个持续的内部午餐和学习会议的主题,并正在开发一项倡议,让内部员工接受认证道德黑客培训。
其目标是确保所有人员都经过培训,能够理解并避免跨站点脚本编写和SQL注入问题。
展望未来,公司将继续调查和采用新的标准操作程序、工作指导和指导,以确保员工遵守修订后的文化。
安全的下一步
与LabVantage LIMS 8.7预计到2021年年中,该公司仍将致力于成为网络安全领域的先锋。
即将发布的版本将引入React.js,这是一个JavaScript库,将启用“默认安全”——软件产品的默认设置是尽可能安全的。
LabVantage再次展示了其领导地位,不再将安全视为一个“附加组件”,而是在开发每一个产品元素时都考虑到终极保护。
LabVantage 8.7还将引入其他一些一流的网络安全方法,包括多因素认证。
这确保LabVantage软件为客户数据提供无与伦比的保护。LabVantage深知系统安全对任何企业的数字化转型都至关重要,公司仍致力于与客户密切合作,使其产品安装的每个网络都尽可能安全。
这些信息来源于LabVantage Solutions, Inc.提供的材料。欧洲杯足球竞彩
有关此来源的更多信息,请访问LabVantage解决方案公司。