如果您为一家企业管理IT运营和/或网络安全,那么您很有可能不得不关注一套或多套合规性法规。如果您从事的是医疗保健等传统监管行业,情况就更是如此,因为美国的《健康保险便携性和责任法案》(HIPAA)等长期法律要求您保护患者的敏感信息。向消费者销售产品或服务可能会使您受到欧盟《通用数据保护条例》(GDPR)等合规制度的审查,该条例要求您采取广泛措施保护消费者的私人数据。
随着政府和行业主管部门不断更新法规,以应对不断变化的IT和网络安全挑战,保持合规性以避免经济处罚、声誉损害和其他制裁的工作变得越来越艰巨。例如,欧盟正在引入《网络与信息系统安全指令》第二版(即NIS 2)。
欧盟成员国必须在2024年10月之前完成其地方法规的更新,这将要求企业实施新的措施,以提高其网络防御能力,并在网络攻击得逞时更快速有效地恢复。同样,HIPAA也将在今年进行一系列承诺已久的更新,这将要求医疗服务提供商更好地帮助患者访问和控制个人医疗保健数据。全球许多行业和国家的法规也计划进行类似的更新。
这些法规更新是由以下几个主要趋势推动的:
网络犯罪分子组织严密,效率更高
网络犯罪已经发展成为一个效率更高的行业,到2023年,每天都会产生27万个新的恶意软件。现在,网络犯罪分子的运作规模与全球2000强SaaS公司相当,他们模仿这些公司的分销和软件开发技术,以日益复杂的攻击方式攻击更广泛的目标。
人工智能降低了准入门槛
恶意软件制作者和作为其传播者的低技能犯罪分子现在都在利用ChatGPT等自动化和生成式人工智能工具来扩大规模并提高其运营效率。GenAI工具尤其有助于使网络钓鱼电子邮件变得更加紧迫和令人信服,并能以数十种语言实现完美的语法和拼写。深度伪造的音频和视频越来越多地被用于冒充攻击,窃取数千万美元。
- 云应用程序和存储、物联网(IoT)设备以及全球供应链的复杂互连的使用日益增加,为网络犯罪分子提供了新的攻击面。
- 先进的持续性攻击曾经是国家间谍组织的领地,现在已经转移到网络犯罪领域,他们使用隐身、持续性、权限升级、横向移动和其他复杂技术,完全是受利益驱动。
这些因素导致全球网络犯罪猖獗,预计到2027年,全球网络犯罪造成的损失将从2022年的8.4万亿美元上升到23万亿美元以上。因此,合规机构更新法规以应对快速变化的威胁环境也就不足为奇了。欧盟的NIS 2就是这种演变的典型代表,它对2016年的原始版本做了如下修改:
扩大范围
其范围已从电力和水利等关键基础设施部门扩大到制造业和食品生产等其他行业。与以前相比,它还包括了许多规模较小的企业:如今,如果企业有50名员工或年收入超过1000万欧元,就必须遵守规定。因此,许多不必担心NIS 1.0的企业现在必须满足NIS 2.0合规标准。
更加强调风险管理和治理
企业应制定更正规的计划来识别、评估和降低网络风险,并且必须确定主要管理人员来管理这些计划,包括在计划失败时承担法律和财务责任。现在要求对所有员工进行定期安全意识培训。
更加重视事件响应
企业应制定、记录和定期测试事件响应计划,并明确网络事件的升级、控制和恢复程序。相关的业务连续性计划和灾难恢复计划也被确定为要求。
明确的技术指导
合规机构对企业应采用的技术的要求变得更加明确和具体,包括采用最低权限策略和多因素身份验证的访问控制;传输中和静态数据加密;以及更好地监控可疑活动、违规行为和异常情况。
对供应链安全、事件报告和安全审计的期望
供应链安全首次受到严格审查。企业应评估和管理来自其技术供应商、服务提供商和软件开发实践的网络风险。
该法规还要求企业定期进行安全审计和差距分析,包括漏洞评估和渗透测试,以测试其网络防御能力。
最后,企业在向政府部门报告可疑事件和实际事件时必须遵守更严格的新要求,并鼓励企业参与信息共享平台,与其他组织交流有关威胁、漏洞和最佳实践的信息。
这只是一个例子,世界各地的合规机构都在对其法规进行类似的修改。企业,尤其是规模较小、网络安全资源较为有限的企业,如何才能跟上步伐呢?
以下是七种最佳实践值得借鉴:
1.不要等到新版法规出台才开始行动
您的企业可能需要几个月的时间来实施技术、制定策略和增加人员技能,以实现全面合规。规模较小的企业可能比大型企业有更多的回旋余地,因为合规机构往往会在早期针对知名的全球品牌处以巨额罚款和其他违规处罚,为其他企业树立一个惨痛的榜样。但指望这一点是有风险的,因为屡次违反某些法规可能会让企业损失惨重。
- 利用网络安全框架
互联网安全中心(CIS)的《关键安全控制》和美国国家标准与技术研究院(NIST)的《网络安全框架》(CSF)为评估企业当前的网络防御和响应机制提供了一个有用的模型,并免费提供了许多有用的工具和最佳实践的文件。针对上述趋势,NIST最近更新了NIST CSF 2.0。
- 考虑更新电子邮件安全堆栈,作为分流措施
通常,在所有成功的网络攻击中,70%到90%的攻击都以基于电子邮件的网络钓鱼作为其第一个切入点,而新的人工智能工具正在使这一攻击载体变得更加有效。减少进入用户收件箱的恶意电子邮件数量是首先要采取的高收益措施。
- 如果您尚未部署EDR,现在正是时候
EDR是某些合规法规中的一项要求。许多小型企业一直在努力获取必要的安全专业知识,以有效地部署这些工具,而这些工具大多是为人员配备更好的大型企业设计的。考虑使用EDR工具,这些工具明确设计用于在自动化和人工智能的帮助下解决小型企业的技能短缺问题。
- 将漏洞扫描和补丁管理流程自动化
企业从收到供应商提供的补丁到安装,企业平均需要花费90多天的时间。缩小网络犯罪分子利用这些漏洞的时间窗口是一项简单的常识性措施。通过将自动化应用于漏洞扫描和补丁管理流程,可以缩短企业暴露于已知漏洞的时间。
- 重新审视企业当前的备份和灾难恢复策略和技术堆栈
新的监管更新都更加强调网络攻击成功后的恢复能力,这些仍然是恢复关键(可能受监管)数据和快速恢复关键业务系统的重要工具。如果您之前认为实施灾难恢复过于复杂、太昂贵而不愿意实施,那么可以考虑基于云的灾难恢复服务。其中许多服务都是为小型企业设计的,价格合理,易于管理。
- 提出网络保险问题,为尽早采取行动提供商业依据
保险行业也在为希望获得或续保网络保险的企业发布更严格的网络安全和恢复标准,这些要求通常看起来非常相似。网络保险公司目前希望企业拥有EDR、MFA、自动漏洞管理、更好的备份和正式的事件响应计划。实现合规性将有助于企业获得网络保险单或续保资格,并在谈判中获得更优惠的费率。