如何避免潛伏企業(yè)的十大網(wǎng)絡安全地雷

如何避免潛伏企業(yè)的十大網(wǎng)絡安全地雷

此處列出了專家們認為最應避免的十大最常見的安全地雷。1.小小的手誤就有可能泄露公司機密。很多最常見的安全問題實際上都是由于不良的習慣造成的，因此是可以避免的。例如，很多無心之失的數(shù)據(jù)泄露事件都是可以消除的，只要告訴使用者在Outlook和其他郵件系統(tǒng)中關(guān)掉郵件地址的“自動填寫”功能即可。賽門鐵克高級營銷兼產(chǎn)品總監(jiān)SteveRoop說，“在員工們快速處理郵件時，可能會在匆忙中無意選中了錯誤的收件人名字。員工會以為他只是要把一封郵件發(fā)給同一企業(yè)的朋友Eric，但是自動填寫功能卻有可能將此郵件發(fā)送給了敵人Eric.”Roop說?！拔覀兇蠹叶几蛇^這事。如果該郵件包含有關(guān)于擬議中的并購事項的敏感數(shù)據(jù)的話，那么秘密就泄漏出去了。”差不多90%的信息泄露事件都和收發(fā)郵件時無意識的不良習慣有關(guān)，其中就有未關(guān)閉自動填寫功能，處理加密時出錯，或者錯誤地理解了郵件使用策略。Roop說，只要采取簡單地關(guān)掉類似“自動填寫”等功能，就可為企業(yè)省下不少冤枉錢。2.人們往往會不加思索地拱手交出他們的密碼和其他私密信息。很多時候，其實是企業(yè)內(nèi)部的使用者，而非外部入侵者，要對泄露密碼及個人信息導致外來攻擊承擔責任。雖然很多人對網(wǎng)絡釣魚、間諜軟件和黑客網(wǎng)站早有耳聞，可他們依然會心甘情愿地交出自己的個人信息，無不會想起要檢查一下他們的信息是否會被用于欺詐的目的。McAfee的安全研發(fā)與通信經(jīng)理DaveMarcus說，“人們總是以為呈現(xiàn)在眼前的網(wǎng)站是合法的，而這在Web世界中恰恰是個最要不得的誤解。盜取某人在線身份的最簡單的辦法就是要求他們提供這些信息?！?.千萬別以為合伙伙伴處理你的數(shù)據(jù)時是非常可靠的。另一個常見的安全錯誤就是用戶們認為把敏感信息(如人力資源數(shù)據(jù))發(fā)送給商業(yè)合作伙伴或者外包服務商是不會有問題的。然而Roop說，如果信息未加密就發(fā)送出去，那么就有可能觸發(fā)安全地雷?！斑@個地雷就是錯誤地以為人力資源外包商不會再把這些信息發(fā)送給其他任何人或存儲在不安全的筆記本電腦上?！盧oop說?！爸灰舾袛?shù)據(jù)是通過e-mail和第三方共享的，那么這個地雷就有可能被觸發(fā)?！?.Web應用可能成為泄密和失竊的門戶。導致大量安全問題出現(xiàn)的一個常見行為就是允許員工通過企業(yè)網(wǎng)絡使用比如Webmail或者訪問音樂下載和文件共享服務網(wǎng)站。此類Web應用可以繞過企業(yè)的安全過濾網(wǎng)關(guān)，或者會打開一條對外的通道，讓各種攜帶病毒或惡意軟件的程序進入你的組織。如果員工在家工作，那么此類風險還會放大。假如他們使用企業(yè)的電腦，又在網(wǎng)上做一些個人的事情，那么這些電腦就有可能被入侵。如果他們還把企業(yè)的數(shù)據(jù)帶回家——通過e-mail或U盤——那么這些數(shù)據(jù)就將面臨泄密或被竊的危險。所有這些安全問題都是容易避免的，只要能夠執(zhí)行相應的策略便可，比如要求員工必須通過VPN或其他加密隧道使用安全的郵件客戶端，或者不允許他們在工作電腦上安裝Web程序，不要拷貝數(shù)據(jù)到移動存儲介質(zhì)等。此類安全問題可以利用安全策略和系統(tǒng)管理應用來加以管理。不過還是有一個通道是比較難以控制的，那就是員工自己給自己發(fā)郵件傳送數(shù)據(jù)，雖然加密技術(shù)能夠幫上一些忙。5.要想壞事不發(fā)生就不要把事情做壞。Mandiant公司的CEOKevinMandia忠告說，沒有人會故意泄露數(shù)據(jù)，但是你的行為必須正確才行。Mandiant專門提供數(shù)據(jù)泄密后的分析服務和軟件工具。一切組織或機構(gòu)都可以采取一些步驟以減少數(shù)據(jù)泄密一旦發(fā)生后所產(chǎn)生的影響。但不幸的是，大多數(shù)企業(yè)卻一直沒有采取任何行動，一旦出現(xiàn)了問題再去測試或者創(chuàng)建他們的響應策略，那就太晚了。每家企業(yè)都應該跟蹤數(shù)據(jù)的流動，記錄誰在何時接入何種系統(tǒng)使用了什么數(shù)據(jù)。但實際上很少有企業(yè)在這么做。Mandia說，“毫無疑問，最常見的錯誤就在于沒有記錄下發(fā)生了什么。一旦有人雇傭我們，我們要問的第一件事就是有沒有相關(guān)記錄。而通常的情況是，人們在處理TB級的數(shù)據(jù)，但卻沒有正規(guī)的記錄。所以幾乎在每次泄密事件中，當我們進入企業(yè)，詢問他們到底發(fā)生了什么時，得到的總是閃爍其詞的回答?！?.回避或推卸責任的領(lǐng)導方式會讓事情更糟。由于企業(yè)通常沒有指定一位專門的領(lǐng)導或?qū)ｉT的團隊來負責對事件的響應和對重要細節(jié)的跟蹤，所以嚴重影響了企業(yè)對于泄密事件的響應能力。在多數(shù)企業(yè)中，對事件的調(diào)查往往會演變?yōu)橐粓鐾菩敦熑蔚挠螒?，在調(diào)查泄密事件的責任時由于牽涉到的人會有很多，所以他們往往會阻礙進行相關(guān)的調(diào)查?！半m然我們經(jīng)常需要做出響應，但卻沒人真正負責，也沒人想負責，結(jié)果呢，沒人知道事件所涉及的資源到底有多少錢、有多少工具或技術(shù)，也沒有一個人能算清楚在處理重大事件時到底需要多少資源?！盡andia說。“而在另一個極端，有些企業(yè)會讓太多的人來參與決策，卻還想做出及時的響應。我們的經(jīng)驗是，假如你需要馬上向12個人通報情況的話，那么其中的10個人都是不管事的?！?.處理泄密事件時不小心為罪犯通風報信。企業(yè)中另一個典型的常見問題就是沒有建立一套處理泄密事件的“保密”程序，結(jié)果導致進行事件調(diào)查時非常困難，因為員工們擔心卷入事件，一般都會試圖保護自身的利益。如果泄密事件牽涉到內(nèi)部人員，那么這些人便會通過各種渠道獲悉調(diào)查的進展情況，就有可能拒絕說出有利于調(diào)查的事情，還會經(jīng)常掩蓋他們的行跡。8.可信賴的“銀彈”技術(shù)其實暗藏著真正的危險。當涉及IT和數(shù)據(jù)安全的管制措施持續(xù)增多時，企業(yè)要投入大量的技術(shù)解決方案來彌補各種漏洞。然而企業(yè)普遍以為安裝某種特殊技術(shù)，或能夠滿足某一方面監(jiān)管的解決方案就是一顆“銀彈”(指能解決問題的高招)。其實不然?！拔矣鲆姷淖畲蟮膯栴}就是人們普遍認為像部署防病毒軟件、補丁、漏洞掃描等簡單功能就以為沒事了。他們根本沒有從風險管理的立場去對待安全問題——而只是在檢查系統(tǒng)而已?！盨ecurityIncite的分析師MikeRothman說。企業(yè)往往就是這樣的一個傻瓜天堂，他們以為除了對其有限的安全系統(tǒng)做做審計，確認有沒有及時升級之外就無事可做了?！叭藗兂３Ｒ詾?，只要他們進行主動的審計，就萬事大吉了?！盧othman說?！坝谑菈娜司蜁蛩麄冏C明，他們做的遠遠不夠?！?.在不該投入的地方浪費了對付重大危險所需的資源。和法規(guī)遵從相關(guān)的另一個安全陷阱就是很多企業(yè)經(jīng)常會對重要性完全不同的安全等級投入相同的人力和物力，Rothman說?！耙恍┤说腻e誤就在于，對所有的安全問題都一視同仁，在所有客戶都使用的某個在線應用上花費的安全支出，和在只有5個人使用的舊的應用上花費的同樣多?！边@種方式不但浪費金錢，而且還會把很多重大的問題拖到以后再去處理——一旦預算用光，也可能就此再也不去解決了。“安全人員往往不知道究竟什么事情應該優(yōu)先考慮，”Rothman說?！八麄冋鎽撛囋嚳慈绻呈伦鰤牧藭a(chǎn)生什么結(jié)果，然后就知道該把錢花在哪里了?！?0.不要存儲不必要的數(shù)據(jù)。還有一種較常見的情形是安全和法規(guī)遵從導致的災難，很多企業(yè)在處理信用卡和借記卡時會無意中遺漏存有賬戶信息的交易日志