通过 Red Sift网络治理主管Rois Ni Thuama(如图)

IT主管正面临困境–包括网络安全在内的IT服务预算在2019年呈上升趋势[1],但是网络安全行业仍在继续神话:复杂,昂贵的解决方案是减轻无所不能的超级用户黑客威胁的唯一方法。然后,IT团队是否只是将大量预算分配给这些可解决这些未知威胁的解决方案?

前段时间,Ian Levy博士担任技术总监 美国国家科学委员会 表面上提出了超级用户神话,以颠覆这一观念[2] 持续性威胁的说明。相反,Levy嘲笑了这个短语,称黑客为‘足够有害的脚趾抹布’。关键是,网络犯罪分子不是多才多艺的人,而是文艺复兴时期的人,而仅仅是一招的傻瓜。至关重要的是,公司应优先解决他们将要面对的最重大威胁,而不是可能不会遇到的奇特威胁。对于忙碌的IT主管而言,要知道去哪儿以及何时您不信任许多兜售解决方案的公司是一个挑战,您可以信任谁?

首先与公正的专家交谈

英国的网络安全授权机构是GSCQ的NCSC,也是英国的网络安全授权机构。的 见解 之所以发布,是因为他们可以使用一些最复杂的功能。他们得出的结论是追求合理研究方法的结果,并且他们有数据来支持他们的结论,这与网络安全公司和顾问不同,他们(公平地说)所产生的见解质量可疑,公民意识较弱且更具自我服务。 美国国家科学委员会的总体目标是通过提高网络安全性和网络弹性来降低英国的网络安全风险。他们对倡导任何特定解决方案的商业兴趣为零。

此外,NCSC依靠行业洞察力和专业知识。相关数据(例如来自国家犯罪局(NCA)和“行动欺诈”(英国国家欺诈和网络犯罪国家报告中心)的数据已被整理,评估,并成为发现最重大风险的一部分。

他们的报告和见解可以并且应该被整个部门的决策者所依赖。就网络治理政策而言,这就是网络治理101。

主动发现并应对内部挑战

如果非技术业务负责人不了解NCSC报告中包含的最重要的网络威胁的见解,那么负责确保公司安全和网络完整性的技术团队将采取两种方法来做好工作:

 –确定确切的异议 –如果非技术业务主管拒绝英国领导机构的建议,则对公司了解其理由将很有用。 ipse dixit方法无可辩驳,任何明智的公司都不能容忍。鉴于研究出版商的信誉和权威,很难维持一个合理的论点,即不着手应对最重大的威胁。

 –参考您的监管机构和代表机构  通过强调此《对英国法律部门的网络威胁》报告是与法律部门自己的监管和代表机构相关联撰写的,从而加强了报告中的结论:

(i)SRA&

(ii)律师协会。

结合起来,以可靠的来源创建针对特定行业的建议

来自可信机构的网络威胁报告本身很难消除,而基于来自一系列可信来源的数据的针对特定行业的建议则很难通过持续的智能挑战来消除。

美国国家科学委员会与SRA,法律协会,NCA一起审查数据&行动欺诈将确定英国法律部门面临的最大风险是:

  • 网络钓鱼

  • 勒索软件

  • 数据泄露

  • 供应链妥协

法律服务的消费者可以合理地期望律师事务所会听取可信赖和独立专家的建议,并采取措施防范最重大的风险。

首先为网络防御奠定坚实的基础

网络安全预算不是无限制的,花费的合理性可能具有挑战性,因此从最重大的威胁开始首先是最有意义的。由于网络钓鱼是最重大的网络威胁,因此,遵循NCSC建议通过将电子邮件身份验证协议DMARC部署为第1层保护来抵御网络钓鱼攻击是合理的下一步。尽管没有任何网络安全解决方案能够提供“银弹”,但DMARC是一种全球行业标准,被广泛认为对保护公司的电子邮件,品牌和声誉至关重要。

因此,不仅法律界已经注意到网络钓鱼是律师事务所面临的最重大的网络威胁,而且他们知道或应该知道,网络钓鱼的第1层防御措施是实施DMARC。

研究解决方案以找到最适合您的解决方案

毫无疑问,进行研究以确认NCSC的发现或验证其指导是否符合全球行业标准没有任何不利之处。在极少数情况下,如果您得出的结论与英国领先的网络安全机构不同,并且您选择不遵守该指南,那么您将清楚地记录您的推理,以帮助董事会理解您的依据。

但是,无论您做什么,都无能为力。尽管法院将理解IT主管可能会很忙并且忽略了报告和指南,但这并不意味着它不是疏忽大意。人们经常在没有必要或不合理的情况下冒险。如果风险成真,他们可能必须支付罚款。’[3]

报告中提供了NCSC,SRA和律师协会的繁重工作,确定了最重大的风险和NCSC指导 国家网络安全中心(NCSC)对英国法律部门的网络威胁报告,为减轻忙碌的IT主管的管理负担再清楚不过了。剩下的就是让企业根据建议采取行动。

如果您想了解您的律师事务所在DMARC旅程中的位置, 跟随这个链接.

[1] //www.spiceworks.com/marketing/state-of-it/report/

[2] //www.theregister.co.uk/2017/02/03/security_threat_solutions/

[3] Re D'Jan of London [1993] BCC646 /霍夫曼法官

您可以在此处找到有关Rois和Red Sift的更多信息: //www.linkedin.com/in/dr-rois-ni-thuama-redsift/