引言:最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞,秘密進(jìn)入并長期收集和竊取有價值的數(shù)據(jù),用最少的代價賺取最大的經(jīng)濟(jì)利益。
最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。雖然仍有某些攻擊者炫耀自己破壞最強(qiáng)大的加密機(jī)制的能力,但大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞,其目的是秘密進(jìn)入并長期收集和竊取有價值的數(shù)據(jù),用最少的代價賺取最大的經(jīng)濟(jì)利益。
安全團(tuán)隊的一個重要責(zé)任是保證攻擊者難以進(jìn)入企業(yè)網(wǎng)絡(luò)和訪問內(nèi)部敏感數(shù)據(jù)。不幸的是,有時幾乎不可能阻止攻擊的發(fā)生,但安全團(tuán)隊需要有一套計劃可以使影響最小化。有時,如果由于一個小錯誤或一個被忽視的策略而導(dǎo)致了攻擊,那么認(rèn)識到這些問題的可避免性就顯得非常重要。為使安全團(tuán)隊更好地理解如何才能培育安全第一的文化氛圍和清除潛在的漏洞,在此提出幾個可以避免的安全錯誤。
軟件廠商在發(fā)現(xiàn)軟件漏洞后,在第三方幫助發(fā)現(xiàn)漏洞后,如不及時發(fā)布更新或補(bǔ)丁,就有可能導(dǎo)致攻擊。
這種更新可能來自很多方面,其中包括反病毒軟件,或來自操作系統(tǒng)自身。無論來自何種途徑,用戶及時安裝更新以防止病毒找到進(jìn)入系統(tǒng)的方法是很重要的。同樣的觀念也適用于智能手機(jī)、平板電腦以及其他設(shè)備。如果公司有專業(yè)的IT團(tuán)隊,就應(yīng)積極地查找更新和補(bǔ)丁,并盡可能地及時安裝,但是訓(xùn)練員工經(jīng)常檢查更新以保護(hù)自己和公司的利益是大有裨益的。
安全團(tuán)隊不能指望員工不犯錯誤,而且,你不能指望常識,因?yàn)樵谏婕暗郊夹g(shù)問題時,并非每個人都能理解為什么要那樣處理問題。這正是要求雇員遵循策略的一個原因,但是如果策略并不強(qiáng)健也不易實(shí)施,就不會對企業(yè)帶來任何好處。
安全團(tuán)隊要確保雇員經(jīng)常改變口令,并且給予他們最少的復(fù)雜性要求;要確定哪些類型的信息可以通過雇員的自有設(shè)備訪問,并且建立文件共享的具體指南;要向員工解釋為什么敏感信息不能通過電子郵件發(fā)送,以及內(nèi)部的公司數(shù)據(jù)絕對不能通過個人郵件發(fā)送的原因;要建立身份和文件管理的規(guī)則,使雇員可輕松登錄系統(tǒng),同時還要使IT能記錄其訪問軌跡。還有很多其他的例子,但關(guān)鍵是考慮到公司每天面臨的風(fēng)險,并且制定好策略,以使這些風(fēng)險最少化。
準(zhǔn)備好策略是問題的一方面,但如果用戶并沒有完全理解與沒有在第一時間準(zhǔn)備好策略的有關(guān)風(fēng)險,策略最終僅僅是紙上的文字。只要企業(yè)理解和認(rèn)識到風(fēng)險,就可以決定如何應(yīng)對風(fēng)險:接受風(fēng)險、由第三方解決方案、準(zhǔn)備行動計劃,或是修復(fù)計劃。但企業(yè)發(fā)現(xiàn)了威脅,卻認(rèn)識到自己并沒有什么行動計劃進(jìn)行應(yīng)對。如果企業(yè)并不知道風(fēng)險是什么,就不能以最高效的方式來應(yīng)對風(fēng)險。這才是真正的弱點(diǎn)。
如果公司并不理解潛在風(fēng)險并確定其優(yōu)先次序,就可能導(dǎo)致優(yōu)先處理了最不重要的問題,卻忽視了最關(guān)鍵的風(fēng)險。另外,在需要外部幫助時,由此還可能使用錯誤的資源進(jìn)行響應(yīng)和確認(rèn)。如果將注意力放在了漏洞的錯誤方面,則可能使問題更嚴(yán)重,或造成全新的問題。關(guān)鍵在于,要知道如果一種安全風(fēng)險超出了管理者的能力,就要尋求風(fēng)險管理專家的建議,幫助其看到威脅狀況,并且制定強(qiáng)健的易于實(shí)施的有效計劃。
知道何時尋求第三方的幫助也可以擴(kuò)展到全面的IT領(lǐng)域。云計算和其他面向外包技術(shù)的出現(xiàn),公司就有可能不再關(guān)注傳統(tǒng)IT的重要性。即使對于外包,內(nèi)部人員完全理解內(nèi)部系統(tǒng)和基礎(chǔ)架構(gòu),并快速響應(yīng)潛在的安全問題。如果公司容易面臨某些安全問題,就需要確保雇員得到相應(yīng)培訓(xùn)。
如果企業(yè)并不愿意花錢請熟練的IT專家,就應(yīng)尋求能提供其專業(yè)技術(shù)甚至提供全天候監(jiān)視的管理服務(wù)供應(yīng)商。但無論選擇哪種方法,都需要確保有足夠的人員處理足夠的業(yè)務(wù)。如果發(fā)生攻擊,人員短缺只會使問題惡化,或者打開新漏洞。
企業(yè)不僅需要使員工理解風(fēng)險,還要為員工建立基礎(chǔ),使其樹立安全第一的思想。有些公司采取的方法是召開安全教育會議,就企業(yè)中最重大的安全威脅向員工講授最新課程。
有時,企業(yè)仍需要為內(nèi)部的某些雇員提供較多的信息。如果雇員經(jīng)常與敏感信息打交道,那么這些員工就應(yīng)該得到正確的培訓(xùn),甚至在特定的安全協(xié)議中保證能夠安全工作。例如,對于金融機(jī)構(gòu)而言,這意味著要理解PCI的合規(guī)。如果員工遵循了如何正確地處理數(shù)據(jù)的規(guī)則,就不太可能將數(shù)據(jù)置于風(fēng)險中。
很多公司并未充分實(shí)施加密用以保護(hù)自身。加密不但可以確保在外部攻擊者進(jìn)入后不能訪問某些文件,而且對于外部通信和數(shù)據(jù)傳輸來說更加重要。例如,電子郵件就需要安裝加密工具,其目的是為防止別有用心的人嗅探數(shù)據(jù)。企業(yè)在選擇產(chǎn)品時,能夠與廠商和服務(wù)供應(yīng)商進(jìn)行交流以確保其是否提供類似的加密工具是很重要的,因?yàn)槠髽I(yè)不可能總是依賴雇員自己加密數(shù)據(jù)。
認(rèn)證是一個不斷演變的極重要的安全措施,然而很多公司并未充分利用。例如,實(shí)際上存在一些USB密鑰,可插入到計算機(jī)中并用于認(rèn)證引擎。只需簡單的觸碰或一個口令,就可以安全地訪問所有的應(yīng)用和賬戶。
當(dāng)然,企業(yè)還可能犯別的錯誤,如未要求雇員使用內(nèi)建于移動設(shè)備中的安全特性。其實(shí),用戶可以使用一些很明顯的安全工具或深入挖掘一些隱藏的功能。