首席安全官因內部安全而恐懼
員工無意犯下的錯誤、筆記本電腦被偷、承包商未經授權訪問信息、滿腹牢騷的員工、密碼管理不當……所有這些因素意味著收入大幅減少、承擔法律責任、工作效率降低以及品牌形象受損。
下面介紹幾種主要的內部安全威脅以及如何避免的方法。
一、內部員工中了網絡釣魚的招
魚叉式網絡釣魚(spear phishing)是一種企圖利用電子郵件來實施欺詐活動的伎倆,針對某家特定的組織,企圖擅自訪問機密數據。據弗雷斯特研究公司的高級分析師Paul Stamp聲稱,雖然這種攻擊談不上是一種新出現的現象,但變得越來越狡猾。
Stamp說:“過去,網絡釣魚攻擊往往來自某個被廢黜的尼日利亞國王的請求。如今,網絡釣魚攻擊幾乎到了以假亂真的水平。”
造成后果:蒙在鼓里的員工向不懷好意的入侵者泄露了從密碼到財務數據的各種機密信息。由于這些內部員工無法識別欺詐性網站和偽造的電子郵件消息,實際上向犯罪分子敞開了公司原先緊閉的大門。
難怪魚叉式網絡釣魚攻擊出現了數量激增的勢頭。賽門鐵克探測網絡(Symantec Probe Network)在今年上半年共檢測到了166248封不同的網絡釣魚郵件,比去年上半年增加了6%。賽門鐵克還阻擋了超過15億封的網絡釣魚郵件,比去年上半年增加了19%。
解決辦法:對付網絡釣魚的策略包括部署可顯示網站實際域名的反網絡釣魚工具條,另外維護知名網絡釣魚網站名單,供員工查詢。美國系統管理、網絡和安全學會(SANS Institute)的研究主任Alan Paller表示,但是許多公司可能會忘了培訓IT人員、開展公司安全意識活動。他建議,而是應當“針對內部員工開展善意的魚叉式網絡釣魚演習活動….. 除此之外,沒有其他解決辦法。”
二、筆記本電腦不受控制
你不小心把筆記本電腦落在酒店、結果給清潔工撿到,帶來的不僅僅是麻煩。據軟件安全公司賽門鐵克聲稱,筆記本電腦或其他數據存儲介質被偷或丟失占到了與身份失竊有關的所有數據泄密事件的54%。
而這還不是全部。筆記本電腦被偷或丟失會導致公司遭受重大經濟損失。計算機安全學會聯合聯邦調查局開展的計算機犯罪與安全調查顯示,筆記本電腦被偷和專利信息被偷是導致調查對象遭受經濟損失的第三大和第四大根源。不過,多達47%的調查對象在去年遇到了筆記本電腦/移動設備被偷事件。
筆記本電腦并不是惟一的安全風險。iPod播放器、“黑莓”手機和閃存棒等便攜式設備擁有前所未有的磁盤存儲功能,同時它們也帶來了危險。這些小型工具不但讓用戶可以繞過防火墻之類的邊界防線,還讓員工可以把專利信息帶到公司外面。更糟糕的是,Gartner公司估計,只有大約10%的企業針對可移動存儲設備制訂了相關的安全政策。
解決辦法:公司應當要求員工使用啟動密碼來保護筆記本電腦,那樣即使筆記本電腦被偷,至少數據對竊賊來說也毫無用處。要養成這種習慣:及時從所有便攜式設備清除舊的電子郵件、文本消息、通話記錄以及不需要的文件。
員工充分利用設備的內置加密功能和密碼保護特性,這始終是個好主意。比方說,金士敦公司的絕密版銳盤(Data Traveler Elite Privacy Edition)這款USB閃存盤就能通過基于硬件的128位AES加密技術,動態保護全部數據的安全;如果密碼連續輸入25次、每次都失敗,就會把潛在用戶拒之門外。
三、不是存心的訪問和滿腹牢騷的前任員工
為一家公司工作有許多好處,其中之一就是你可以訪問從電子郵件系統到人力資源工資系統的多個計算機系統。不過正是這種訪問權,可能會危及到關鍵任務型應用軟件的安全性。盡管如今的用戶配置系統很先進,但許多IT管理員實在沒有太多時間來主動更新用戶的訪問權限。
實際上研究表明,可能在員工離開公司4個月之后才會取消前任員工的用戶權限。在這個時間段內,你無法知道滿腹牢騷的員工可能會給公司的關鍵業務系統帶來什么樣的破壞。
解決辦法:現在市面上有許多廠商承諾可以簡化用戶配置過程。比方說,Entrust公司提供的解決方案就能夠自動執行安全政策、并且授予用戶配置管理權限,這有助于保持安全級別,同時管理數量眾多的用戶。另一個例子是Courion。Courion公司的AccountCourier是一款自動化的用戶配置解決方案,可以立即授予、取消或修改訪問任何操作系統、應用程序、門戶網站或其他IT資產的權限,而不需要人工干預。
四、未及時打上安全補丁
這是一個讓人遺憾的現實。面對新發現的安全漏洞,許多安全廠商并非總是能夠迅速提供必要的保護。實際上,賽門鐵克聲稱,它研究調查的所有操作系統廠商都存在補丁開發時間過長的問題。
然而使問題進一步復雜化的是,許多IT管理員實在不堪重負,無力確保安裝了最新更新程序、打上了最新補丁。結果就是,眾所周知的病毒屢屢成功闖入如今的一些大企業。
賽門鐵克安全響應中心主管Oliver Friedrichs說:“如果你沒有安裝最新的安全更新程序和最新的反病毒檢測機制,肯定會遭到一些最新威脅的攻擊。”
解決辦法:補丁管理軟件和服務大大減輕了如今管理員們肩上的負擔。Ecora公司的補丁管理器(Patch Manager)可以自動發現系統、自動評估補丁,并且自動把補丁安裝到工作站和服務器上。Novell公司的ZENworks補丁管理產品非常適用于異構的IT環境,能夠向管理員通知每個服務器、臺式機和筆記本電腦上到底存在哪些補丁和安全漏洞。另外還有AdventNet公司的 SecureCentral PatchQuest,這款自動化補丁管理軟件可用于在Windows、Red Hat和Debian Linux等各系統組成的網絡上,分發及管理安全補丁、熱修復程序(hotfix)和更新程序。
五、對電子郵件不重視
剛發到你收件箱里面的玩笑性質的電子郵件可能一點也不好玩。Stamp警告說:“我們目睹的許多安全威脅往往與電子郵件有關。”出站電子郵件引起的數據泄漏是最讓人擔心的威脅之一。據波耐蒙研究所報道,69%的組織聲稱,嚴重的數據泄漏事件是由惡意的員工活動或非惡意的員工失誤引起的。但即便最無辜的郵件也會帶來麻煩。
如惹得某個員工咯咯發笑的某封電子郵件可能嚴重冒犯另一個員工,結果承擔法律責任。更不用說電子郵件還能充當罪證了。比方說,幾封內部電子郵件導致制藥業巨頭美國家庭產品公司(American Home Products Corporation)被判處35億美元的巨額罰金,原因就是集體訴訟指控該公司生產芬-芬(Fen-Phen)和右芬氟拉明(Redux)這兩種減肥藥。
解決辦法:嚴格的使用政策可以禁止員工通過不安全的電子郵件發送敏感信息。電子郵件內容掃描技術也能助一臂之力。比方說,IBM公司的Expresses管理安全服務就能夠在電子郵件到達網絡之前進行掃描及監控,從而確保電子郵件里面不含任何危害性或破壞性的內容。而MessageLabs公司的邊界加密(Boundary Encryption)服務讓公司可以在自己與合作伙伴之間建立起一個安全、專用的電子郵件網絡,從而確保加密郵件的端到端傳送。
【編輯推薦】
