NIS2 并未定义如何满足这些措施。相反,它引用了 ISO、CIS、NIST 或 IEC 等其他标准以及零信任原则作为组织应遵循的指南,以实现合规性。
这些标准优先考虑身份安全——例如,ISO27002信息安全、网络安全和隐私保护标准为推进访问控制、身份管理、安全身份验证和其他与NIS2相符的功能提供了有用的指导。NIS2还推荐了NIST的零信任七项原则,这些原则也强调了身份安全控制。
通过遵循这两种方法,受影响的组织将拥有全面的方法来实现 NIS2 合规性并保护自己免受最频繁和最具破坏性的网络攻击。
“不要浪费一次好的危机”
有句老话说,组织永远不应该浪费一次好的危机,NIS2 就是这种情况,它迫使组织评估其安全协议的各个方面,并专注于零信任原则和适用于其业务的相关标准。在此过程中,组织不应将 NIS2 视为一项勾选练习:如果他们花时间评估其网络安全态势,那么他们应该投资于防御最频繁和影响最大的攻击的能力。
在大多数情况这往往是身份问题
2023年 Verizon 数据泄露调查报告发现,“攻击者访问组织的三种主要方式是窃取凭证、网络钓鱼和利用漏洞。”此外,使用被盗凭证“成为去年最受欢迎的入侵切入点”;报告发现,49% 的所有数据泄露都涉及凭证。
身份不仅是大多数攻击中受到攻击的领域。IBM 的《2023 年数据泄露成本报告》发现,最常见的初始攻击媒介是网络钓鱼;它也是最昂贵的攻击之一,平均给组织造成 476 万美元的损失。
身份平台超出 NIS2 要求
虽然所有安全领域都很重要,但身份,尤其是在混合工作环境中,在保护组 泰国电报 织安全方面起着关键作用。组织应指定一家专注于身份的安全合作伙伴进行 NIS2 评估,并推荐最佳的自动化身份情报、身份验证、访问管理以及治理和生命周期解决方案组合,以使您能够保护 NIS2 指令规定的所有资源、身份和环境。
组织将发现统一的身份平台将是确保完整、全面的端到端审查的最简单方法,并且可以建立一套解决方案来超越所有 NIS2 要求并随着业务和安全要求的发展而扩展以满足未来的需求。
要了解更多信息
请联系 RSA开始您的 NIS2 身份安全评估。今年年初,RSA预测全球将 生成凭证”下拉列表中选择 遭遇更多勒索软件攻击。这在很大程度上是因为 2023 年底的情况已经很糟糕:自 2022 年 9 月以来,人为操作的勒索软件攻击“增长了200%以上”,仅去年美国的赎金就达到了创纪录的10 亿美元以上。
如果非要说的话,我们的预测还是太保守了。因为尽管勒索软件在 2024 年继续猖獗(据报道,仅联合健康集团就因 Change Healthcare 攻击损失了30 多亿美元),但还有更多的威胁载体会在 2024 年加剧网络安全危机。
今年,将有 60 多个国家举行全国大选。1 月份的“数 电报号码 据泄露之母”披露了 LinkedIn、Twitter、微博、腾讯和其他平台的 260 亿条记录(或 12 TB)。5 月份,Ticketmaster 和 Live Nation丢失了 1.3 TB 的数据,包括 PCI 信息。随着而且与身份相关的攻击 网络钓鱼即服务圈的蔓延,安全和技术供应商本身也遭到了入侵。