隨著網絡罪犯部署越來越複雜的攻擊方法,組織必須加倍努力來保護他們的數據並避免代價高昂的財務和聲譽損失。隨著每天都有新的威脅出現,這些風險不能掉以輕心。對於公司法律團隊和律師事務所來說尤其如此,鑑於他們持有大量敏感的客戶信息,他們是網絡攻擊者的主要目標。
根據 IBM 的 2022 年數據洩露的成本,英國數據洩露的平均綜合總成本為 336 萬英鎊,高於 2022 年的 237 萬英鎊2015 年。鑑於數據洩露可能造成的財務和聲譽損害,法律團隊和律師事務所不能將網絡安全視為勾選框練習。然而,人們傾向於陷入網絡安全的一個關鍵誤區:“只要我們通過了年度安全審計,我們就做得很好。”
雖然安全審計對於證明問責制至關重要,但它們應該不是“成為所有人”。審計需要成為更廣泛戰略的一部分。畢竟,網絡安全是一個持續不斷的過程,而不是一個可以到達的目的地。
以下是您可以採取的一些重要步驟,以超越審計並幫助確保律師事務所和法律團隊獲得適當級別的保護:
繪製全網地圖
升級安全措施的第一步是從網絡入手。公司不應從審計的基本要求入手,而應創建一個連接到網絡的所有事物的綜合地圖。
這包括:
路由器、交換機、防火牆和 WAF 打印機以及連接的互聯網設備事物(智能電視、恆溫器、相機等)移動設備雲/SaaS–軟件訂閱和密碼
查看網絡的全貌允許您應用分段。這樣做很重要,因為無法同時關注網絡中的所有內容,因此分段可以將網絡中易受攻擊的部分與最關鍵的數據分開。
了解弱點所在
網絡映射後,重要的是製定計劃來評估和修補漏洞。根據 Forrester 的應用程序安全狀態報告,應用程序漏洞是最常見的外部攻擊手段,使得補丁管理變得至關重要。 Ponemon Institute 的研究還顯示 57% 的網絡攻擊受害者報告說,他們的漏洞本可以通過安裝可用的補丁來避免,令人擔憂的是,34% 的受害者知道該漏洞,但沒有採取行動。
這就是為什麼公司需要製定計劃來評估和修補漏洞並強調網絡分段的重要性。如果公司有遺留系統,他們可能無法修補它們,但可以使用網絡分段將它們與敏感信息分離。
部署漏洞掃描器有助於讓公司及時了解補丁所在的位置需要並優先考慮風險最大的網段。
建立用戶意識計劃
唯一比修補漏洞更緊迫的威脅是與企業內部人員相關的風險。來自信息專員辦公室 (ICO) 的最新統計數據據透露,英國法律部門超過三分之二 (68%) 的數據洩露是由內部人員造成的,而只有三分之一 (32%) 是由外部威脅(例如外部惡意行為者)造成的。
一個單獨的 Verizon 報告顯示,80% 的黑客相關違規行為使用了重複使用、被盜或弱密碼。自 2017 年以來,被盜憑據增加了近 30%,鞏固了它作為過去四年來獲得公司訪問權限最可靠的方法之一。
黑客知道團隊正在投資在網絡安全方面。他們進入網絡的最佳機會是獲得有權訪問網絡的人的憑據。因此,無論網絡保護得多麼好,如果員工的憑據被盜,都會帶來巨大的風險。
為了降低這種風險並確保員工遵循最佳實踐,有一些提示可以幫助遵循:
每月發送一份安全通訊:公開談論存在的威脅,並藉此機會一次教授一個組件。教育用戶如何保護他們的個人數據: 在對更廣泛的企業進行教育時,將網絡安全問題與員工個人生活中存在的真正威脅聯繫起來,以便他們能夠聯繫起來。當他們接受有關保護自己和家人的最佳做法的教育時,他們將在工作中養成更好的習慣。執行網絡釣魚活動:人類的好奇心會導致人們點擊鏈接,從而導致問題。一些公司有自己的虛假網絡釣魚活動來測試和培訓他們的員工。目標是製造一點健康的偏執狂,讓用戶在點擊任何鏈接之前會猶豫。投資密碼保險庫:弱密碼和被盜密碼是網絡安全的重要組成部分。使用密碼保險庫可以讓員工擁有強大的密碼,而不會因為忘記密碼而感到沮喪。 評估您的供應商
“您可以通過他或她所擁有的公司來衡量一個人”這句格言也適用於公司。供應商可以直接影響公司的安全狀況。對於關鍵任務解決方案,公司需要選擇真正通過可繼承的安全控制和獨立的合規性驗證來加強運營的供應商。當您與現有供應商合作並考慮新供應商時,使用這些要點來評估他們作為您公司的供應商合作夥伴提供的安全強度:
供應商是否擁有成熟的安全基礎架構?他們是否遵循國際公認的安全控制標準?供應商是否接受由認可的第三方進行的定期、獨立的安全審計,以驗證他們是否符合這些國際標準?他們是否與客戶和相關方共享這些審核的結果?供應商是否共享有關其信息安全系統的當前有用信息,以便客戶能夠了解和理解供應商正在使用的安全控制和程序?供應商是否有員工和專門幫助供應商客戶滿足客戶盡職調查要求的程序?
持續主動的方法
不可否認,年度安全審計對於確保基線保護水平是必要且有用的。然而,IT 部門不應陷入通過審計就意味著一切都安全的陷阱。
從內部威脅到惡意軟件,網絡安全威脅無處不在。為了有機會減輕風險,公司法律部門和律師事務所需要確保他們對網絡安全採取積極主動的方法。這意味著建立一個持續的評估和改進過程,並採用正確的工具來建立堅實的防禦。
圖片來源: r.classen/Shutterstock
David Hansen 是 NetDocuments 的合規副總裁。 NetDocuments 成立於 1999 年,是一個基於雲的內容服務和生產力平台。 NetDocuments 為文檔和電子郵件的組織和管理提供了一個完整的端到端平台,包括屢獲殊榮的安全和研究功能、強大的協作和搜索技術,以及與專業人員日常使用的其他工具的無縫集成。它最近推出了 PatternBuilder,這是一款新產品,它使法律專業人士能夠複製和自動化他們獨特的模板和流程,從而提供更快、更高價值的客戶服務