企業安全終端防護的四個要素
終端,例如臺式機和筆記本電腦是您實現大部分業務操作的工具。不幸的是,電腦終端面對安全威脅顯得越來越脆弱。這些安全威脅包括釣魚攻擊,垃圾郵件,病毒,蠕蟲,根工具包,按鍵記錄程序和其它惡意軟件。終端也已擴大了您的安全考慮范疇,這使得安全威脅防不勝防。事實上,終端很可能就是你安全防線最薄弱的環節。
四個終端安全的挑戰
終端安全主要面臨四個方面的挑戰:防御惡意軟件; 阻止已感染的終端向你的網絡傳播惡意軟件和未授權的軟件;防止通過端點軟件竊取數據和數據泄露;謹防端點用戶本身。
當然,你可以通過采取簡單鎖定你的網絡這樣極端的做法,來阻止遠程用戶進入你的網絡。這確實行之有效,但是在今天這樣的移動計算環境中此法不切實際。或者你可以制訂個規定,只允許小部分的用戶訪問。但這些客戶的應用軟件和信息都要納入你的網絡安全規定內,這樣一來,那計劃將既耗時又耗資金。更合理的方法是開發一個既能保障安全又能方便用戶的終端安全策略。以下就介紹些對你們有幫助的想法。
謹防攻擊
雖然您的網絡可免受惡意軟件攻擊,但是一個有效的,多層次的安全方法是告訴您所有的端點,包括那些位于防火墻后以及那些處于操作范圍外或徘徊于安全范圍內外的端點都需要保護。使用受雇于你網絡建設的相同技術,如病毒檢測,間諜軟件掃描和本地防火墻。
因為攻擊重點放在如何打敗主要品牌,所以許多安全專家建議“多廠商”的做法。盡管如此,為了簡化管理和控制,您可以使用一套集成安全工具組件。在任何情況下,周邊安全和端點安全都是必要的。
針對端點保護你的網絡
最后你需要的是將被感染的筆記本電腦或智能手機連接到您的網絡,繞過您的外圍防護。但是,你可以用它做什么呢?第一道防線是非常基礎的:強大的用戶授權和驗證功能。
簡單的密碼可以在幾分鐘內被經驗豐富的黑客破解(使用每秒數十萬次的猜測),因此請確認您的用戶都使用由大寫字母,小寫字母和阿拉伯數字組合成的高難度密碼,并且經常更改密碼。
即使高難度密碼,也可以被截獲或被盜。因此考慮實施雙重認證以保護虛擬專用網絡( VPN )的連接和其他活動。雙重身份驗證使用PIN碼或其他身份認證,如指紋識別,來授權硬件或軟件的標記,生成一個一次性的認證字符串。
憑借強大的身份驗證功能,你就可以識別用戶。但是,你仍然不知道這個特別裝置是否有適當的安全架構。這時你需要考慮網絡訪問控制(NAC)。這是個相對較新的技術,它有望消除大部分或全部的由遠程連接帶來的風險。事實上,為了遵守法規,像Sarbanes - Oxley法案, HIPAA(健康保險流通與責任法)等,某些形式的訪問控制已實現。
總的來說,NAC可同時驗證用戶和設備,并可實施檢查,以確保該設備運行的是一切適當的安全軟件,且該軟件是最新的。如果該軟件有任何內容沒有安裝或沒有正確安裝補丁,NAC就會拒絕網絡訪問。接著NAC會掃描裝置,尋找惡意軟件感染跡象。一旦發現感染,網絡訪問會被拒絕。NAC也可以用來修補設備,使其達到準入標準,在此期間NAC還會監測傳輸量。
NAC是一項快速發展的技術,它限制端點進入特定的網絡位置或應用程序,限制某些傳輸量類型或限制連接類型,是潛力巨大的有良好粒度的控制端點設備(包括非電腦設備,如智能電話,MP3和打印機)。
采用開放標準的做法已經取得進展,此法將確保各品牌的終端設備能夠連接通過各種品牌的網絡接入控制系統。最后,NAC技術可以逐步實施,并且,幾乎任何要確保其網絡端點安全的機構都可以負擔得起。
謹防偷竊數據和數據泄露
無論是惡意或不小心,即使授權和認證的終端用戶能夠對數據失竊或泄漏負責。事實上,導致信息被盜的主要原因是,受信任的用戶往筆記本電腦或其它便攜式設備復制信息后,簡單地將其帶出。隨后值得信賴的,但粗心大意的用戶在超出您網絡安全范圍的地方,為了方便工作使用帶出的敏感信息,卻最終丟失了筆記本電腦或導致信息被盜。
唯一防止端點數據被盜和數據泄漏的方法是限制對重要數據的訪問,并運用內容過濾限制文件傳輸。如上所述,NAC技術就包含了傳輸監控和障礙。如果不控制正在復制到端點設備資料,那端點安全策略就不完整。
最后,防止數據泄漏和盜竊造成損害的基礎保護是加密。這樣,即使數據落入壞人之手,也將是毫無用處的。現在的加密技術價格便宜但對也不影響系統運行,所以沒有理由不為你機構中最敏感的數據加密。
謹防端點用戶
端點安全面臨的第四個挑戰是終端使用者本身。粗心的Web瀏覽(點擊可疑鏈接,訪問惡意網站)和不負責任的電子郵件的行為(開啟惡意附件)是攻擊者安裝病毒,蠕蟲和特洛伊木馬的主要傳播媒介。
惡意攻擊日益復雜,無論怎樣你經常更新,您的反惡意軟件總有可能失效。在最近的測試中,《電腦世界》發現,最好的安全軟件只能檢測到四分之一的新型惡意軟件樣本。
防止惡意的問題,最有效的戰略是糾正用戶的行為。您的安全計劃應包括一個強有力的,持續的教育部分。用來教育終端用戶,為什么以及如何建立高強度密碼,如何處理電子郵件附件,以及如何識別欺詐行為,如釣魚式攻擊和可疑的網絡鏈接。
它還應明確哪些軟件是您的內部電腦允許的,并且警告濫用你的內部計算資源的行為。最后,讓每個人都知道,所有的網絡活動,包括網頁瀏覽,都被一一記錄和監測。您總不可能時時提醒員工的所有這些事情。
保護終端的幾個步驟
對所有客戶端設備使用市場領先的安全工具,即防病毒軟件,間諜軟件掃描器,根工具包檢測,以及防火墻。并讓他們及時更新。考慮使用軟件套裝或提供一個更綜合,更容易管理的保護裝置。
為整個機構的電腦安裝軟件補丁,迅速和持續更新安全軟件。
對所有敏感信息加密,包括閑置的數據。
確保所有用戶都接受了足夠的,關于怎樣識別和避免可疑附件,鏈接和釣魚欺詐行為的培訓。
通過閱讀不斷變化的威脅,包括主要安全廠商和出版物中豐富的網站摘要( RSS )。頻繁更新您所有的終端用戶。
規范貴公司的智能手機和個人數字助理( PDA )。實施安全保護,包括防病毒軟件。
建立一個明確的公司政策,定義怎樣的信息可存儲在端點設備。
終端的保護是一個重要的環節,我們應當繼續加強對信息系統邊界的安全保護,強調操作系統的安全機制在信息系統安全中的基礎地位,強調網絡安全、軟件缺陷與惡意代碼對信息系統安全的關鍵作用。
【編輯推薦】
