信息來(lái)源:secdoctor
現(xiàn)在我們?cè)絹?lái)越依賴于技術(shù)�,網(wǎng)絡(luò)安全泄露事故導(dǎo)致數(shù)據(jù)盜竊或系統(tǒng)中斷的可能性也越來(lái)越大�。IT專業(yè)人員和執(zhí)法團(tuán)隊(duì)正努力應(yīng)對(duì)使用最新攻擊技術(shù)的網(wǎng)絡(luò)罪犯。
根據(jù)調(diào)查顯示�,在過(guò)去一年中,32%的企業(yè)遭受網(wǎng)絡(luò)攻擊�。每年企業(yè)共計(jì)損失3880億元來(lái)應(yīng)對(duì)安全泄露事故,單用于修復(fù)計(jì)算機(jī)病毒的費(fèi)用每年達(dá)到約550億美元�。雖然網(wǎng)絡(luò)罪犯受到很多關(guān)注,也經(jīng)常成為新聞?lì)^條,但其實(shí)企業(yè)內(nèi)部威脅(無(wú)論是否惡意)可能更大�。
缺乏安全培訓(xùn)導(dǎo)致內(nèi)部威脅快速增長(zhǎng)
在Harvey Nash/KPMG調(diào)查中,來(lái)自世界各地的4500名首席信息官和技術(shù)負(fù)責(zé)人表示內(nèi)部威脅是增長(zhǎng)最快的安全風(fēng)險(xiǎn)�。員工和承包商對(duì)企業(yè)構(gòu)成重大威脅,他們通常沒有接受過(guò)適當(dāng)?shù)娘L(fēng)險(xiǎn)管理培訓(xùn)�。
盡管有些員工對(duì)企業(yè)有惡意行為�,但大部分網(wǎng)絡(luò)安全漏洞是由于疏忽或無(wú)意的錯(cuò)誤。事實(shí)上�,60%的企業(yè)承認(rèn)自己的員工不了解安全風(fēng)險(xiǎn)。那些沒有向員工傳達(dá)潛在風(fēng)險(xiǎn)以及如何防范這些風(fēng)險(xiǎn)的企業(yè)可能會(huì)面臨由于人為錯(cuò)誤導(dǎo)致的安全風(fēng)險(xiǎn)�。
根據(jù)IBM發(fā)布的2016年網(wǎng)絡(luò)安全情報(bào)指數(shù)顯示,60%的攻擊由內(nèi)部人員執(zhí)行�。在這些攻擊中,四分之三涉及惡意攻擊�,而四分之一為無(wú)意。這種安全泄露事故可能包括意外粘貼公司敏感信息到公司面向公眾的網(wǎng)站;發(fā)送受限信息到錯(cuò)誤的人或者不小心泄露機(jī)密記錄�。
例如,在2016年�,聯(lián)邦存儲(chǔ)保險(xiǎn)公司(FDIC)的員工下載敏感信息到個(gè)人存儲(chǔ)設(shè)備,導(dǎo)致44000位客戶的數(shù)據(jù)面臨危險(xiǎn)�。認(rèn)為錯(cuò)誤也可能包括員工忽視安全協(xié)議。
在2013年的調(diào)查中�,谷歌報(bào)告稱,2500萬(wàn)Chrome警告在70.2%的時(shí)間內(nèi)被忽視�。在某些情況下,警告被忽視是由于用戶缺乏技術(shù)知識(shí):這些員工根本不了解這些警告中使用的技術(shù)語(yǔ)言。
黑客利用員工安全意識(shí)差展開攻擊
根據(jù)網(wǎng)絡(luò)安全專家表示�,90%外部網(wǎng)絡(luò)攻擊的發(fā)生是因?yàn)閱T工無(wú)意中向黑客提供了其訪問權(quán)限。網(wǎng)絡(luò)罪犯利用不了解網(wǎng)絡(luò)釣魚技術(shù)的內(nèi)部人員�,通常通過(guò)假冒網(wǎng)站或感染惡意軟件的鏈接等形式來(lái)竊取公司的敏感信息。
為了保護(hù)網(wǎng)絡(luò)�,企業(yè)必須通過(guò)企業(yè)范圍的信息安全風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別潛在的漏洞。企業(yè)必須意識(shí)到自己網(wǎng)絡(luò)的狀況以抵御網(wǎng)絡(luò)泄露事故�。企業(yè)領(lǐng)導(dǎo)應(yīng)該了解哪些數(shù)據(jù)必須受到保護(hù)、這些數(shù)據(jù)位于網(wǎng)絡(luò)的位置以及誰(shuí)可以實(shí)時(shí)訪問這些數(shù)據(jù)�。
在確定重要和敏感數(shù)據(jù)后,訪問應(yīng)該限于已經(jīng)經(jīng)過(guò)適當(dāng)審查并熟悉安全協(xié)議的員工�。當(dāng)聘請(qǐng)技術(shù)員工和承包商時(shí),企業(yè)應(yīng)該請(qǐng)專業(yè)第三方安全服務(wù)來(lái)進(jìn)行徹底全面的背景調(diào)查�,才能讓他們?cè)谄髽I(yè)的基礎(chǔ)設(shè)施內(nèi)部進(jìn)行工作。
在聘用這些人員后�,企業(yè)還應(yīng)該提供強(qiáng)制且頻繁的培訓(xùn),以提醒員工網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及違反安全協(xié)議的后果�。培訓(xùn)可能包括數(shù)據(jù)泄露事故可能對(duì)企業(yè)帶來(lái)的破壞以及員工如何因疏忽而受到懲罰。安全培訓(xùn)應(yīng)該包括對(duì)安全風(fēng)險(xiǎn)的討論�,包括通過(guò)筆記本電腦或個(gè)人存儲(chǔ)設(shè)備(可能存放在汽車和家中時(shí)被盜)將機(jī)密信息帶出辦公室。還應(yīng)該討論機(jī)密信息的處理和分享問題�。
離職員工更要立即隔離權(quán)限
最后,當(dāng)員工離開公司時(shí)�,應(yīng)立即禁止其對(duì)系統(tǒng)的訪問權(quán)限。理想情況下�,當(dāng)員工離職時(shí)應(yīng)觸發(fā)自動(dòng)數(shù)據(jù)擦除�,以防止他們重新登錄到系統(tǒng)以及訪問企業(yè)數(shù)據(jù)�,特別是在不需要頻繁驗(yàn)證身份的云服務(wù)。
面對(duì)迅速變化的網(wǎng)絡(luò)犯罪趨勢(shì)�,靜態(tài)評(píng)估、陳舊的員工培訓(xùn)和協(xié)議無(wú)法跟上網(wǎng)絡(luò)安全的變化�。培訓(xùn)和系統(tǒng)評(píng)估必須持續(xù)進(jìn)行以應(yīng)對(duì)不斷變化的環(huán)境。
