你的企業(yè)真的安全嗎?經(jīng)常被忽視的6個(gè)安全風(fēng)險(xiǎn)
企業(yè)總在為業(yè)務(wù)安全奔波勞碌。但是,你確保你的安全措施足以保護(hù)公司、客戶和員工嗎?安全領(lǐng)域從沒(méi)有“足夠安全”這個(gè)說(shuō)法。
技術(shù)的發(fā)展永不停息,相應(yīng)的,企業(yè)面臨的安全威脅也在不斷變遷。這就造就了一種局勢(shì):某些安全公司總試圖指出企業(yè)的安全措施缺陷,并哄騙企業(yè)去購(gòu)買那些可能永遠(yuǎn)用不上的服務(wù)。這導(dǎo)致許多公司忽視了一些更明顯的安全風(fēng)險(xiǎn)。
以下是一些顯而易見(jiàn)卻往往被忽視的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
1. 心懷不滿的員工
如果你的員工(或前員工)覺(jué)得待遇不公,他們很可能會(huì)尋求報(bào)復(fù)。這會(huì)為公司帶來(lái)極大的安全風(fēng)險(xiǎn)。如果該員工擁有管理員訪問(wèn)權(quán)限或者是內(nèi)部IT團(tuán)隊(duì)的成員,這將釀成災(zāi)難。
建議:為了解決這個(gè)問(wèn)題,你最好能經(jīng)常檢查系統(tǒng)網(wǎng)絡(luò),以停用過(guò)期的特權(quán)帳戶。理想情況下,當(dāng)員工離職時(shí),你應(yīng)該第一時(shí)間限制或停用這些賬戶。
2. 缺乏培訓(xùn)的雇員
如果公司沒(méi)有對(duì)員工進(jìn)行安全風(fēng)險(xiǎn)教育,那就是自討苦吃。公司應(yīng)當(dāng)確保員工知曉閱讀私人郵件、點(diǎn)擊鏈接、或通過(guò)公司網(wǎng)絡(luò)訪問(wèn)未經(jīng)批準(zhǔn)的網(wǎng)站的風(fēng)險(xiǎn)。并且,公司還需強(qiáng)調(diào)一些簡(jiǎn)單的事故可能蘊(yùn)含的風(fēng)險(xiǎn),比如丟失或亂放存有公司賬戶、密碼的手機(jī)、筆記本電腦或平板電腦。
建議:確保在你的所有員工獲取公司網(wǎng)絡(luò)訪問(wèn)許可前,他們已經(jīng)接受了適當(dāng)?shù)幕ヂ?lián)網(wǎng)和網(wǎng)絡(luò)安全培訓(xùn)。不幸的是,許多員工不了解業(yè)務(wù)安全和個(gè)人安全的區(qū)別,認(rèn)為一切都安全無(wú)虞。他們不明白強(qiáng)密碼的重要性,也不會(huì)費(fèi)心去創(chuàng)建或經(jīng)常改變強(qiáng)密碼。你也可以加密你的商業(yè)網(wǎng)絡(luò),以防止任何未被授權(quán)的系統(tǒng)訪問(wèn)可以獲得信息。
3. 個(gè)人設(shè)備(BYOD)
人們慣于隨身攜帶個(gè)人移動(dòng)設(shè)備,有些公司還為員工提供了辦公專用的制式筆記本電腦、平板電腦或手機(jī)。也就是說(shuō)各色移動(dòng)設(shè)備將接入公司網(wǎng)絡(luò),而約70%的泄密事件正是由移動(dòng)設(shè)備引起的。員工只是下載了一個(gè)嵌入病毒的應(yīng)用,然后公司的網(wǎng)絡(luò)系統(tǒng)就被入侵了。
建議:最好設(shè)置一些網(wǎng)絡(luò)入侵預(yù)防和檢測(cè)系統(tǒng),這些系統(tǒng)能識(shí)別、評(píng)估潛在威脅,并隔離和消除它們。不管公司怎樣管理移動(dòng)設(shè)備,不管員工是否樂(lè)意使用公司提供的設(shè)備,他們還是會(huì)攜帶并使用自己的設(shè)備,所以每個(gè)公司都應(yīng)該建立一套系統(tǒng)加以防范。
4. 云服務(wù)
任何基于云的應(yīng)用都有很多安全隱患。這些應(yīng)用無(wú)論在何時(shí)何地都可以被滲入,而這讓它們格外危險(xiǎn)。如果員工使用云服務(wù)來(lái)存儲(chǔ)文件或數(shù)據(jù)以便于遠(yuǎn)程工作,公司的網(wǎng)絡(luò)就有可能被置于危險(xiǎn)之中。一旦有人將病毒或其他惡意軟件傳到設(shè)備上或附在文件里,它就可以通過(guò)云擴(kuò)散到所有接入的設(shè)備上。
建議:加密是最好的解決方法。256位AES加密是最理想的情況,但是即便你的加密安全性沒(méi)這么強(qiáng),有總比沒(méi)有好。
5. 過(guò)期或未打補(bǔ)丁設(shè)備
路由器、打印機(jī)、內(nèi)部服務(wù)器等部分網(wǎng)絡(luò)設(shè)備需要使用固件或軟件操作。這意味著這些設(shè)備需要更新來(lái)消除漏洞和提高性能。許多安全措施都建議禁用所有自動(dòng)更新。然而,許多公司不能及時(shí)有效地手動(dòng)檢查更新。這意味著由于過(guò)時(shí)的安全協(xié)議,網(wǎng)絡(luò)設(shè)備將很容易被入侵。
建議:不建議開(kāi)啟自動(dòng)更新功能,你可以使用補(bǔ)丁管理軟件來(lái)監(jiān)控所有的網(wǎng)絡(luò)設(shè)備。這個(gè)軟件將在新更新可用時(shí)通知您,并下載和應(yīng)用已許可的更新。更好的方法是,讓員工或部門創(chuàng)建一個(gè)時(shí)間表,按照時(shí)間表檢查每一個(gè)網(wǎng)絡(luò)系統(tǒng)的更新文件。如果某一網(wǎng)絡(luò)設(shè)備在一定的時(shí)間(通常為60-90天)內(nèi)沒(méi)有更新,你應(yīng)將該設(shè)備從網(wǎng)絡(luò)斷開(kāi)并刪除,直到新的安全補(bǔ)丁可用。
6. 業(yè)務(wù)外包
很多公司將部分業(yè)務(wù)外包給第三方(比如銷售網(wǎng)點(diǎn))。雖然這樣做好處多多,但也帶來(lái)了很多風(fēng)險(xiǎn)。這些服務(wù)提供商需要遠(yuǎn)程運(yùn)行大量的系統(tǒng),這意味著一個(gè)代理往往要管理至少數(shù)百個(gè)賬戶。這導(dǎo)致服務(wù)提供商傾向于自動(dòng)存儲(chǔ)你的公司和設(shè)備所使用的用戶名和密碼。另一種可能是,服務(wù)提供商用了統(tǒng)一的密碼來(lái)運(yùn)作各個(gè)賬戶。一旦他們使用的設(shè)備丟失、被盜、被入侵,企業(yè)的個(gè)人信息就門戶大開(kāi)了。
建議:你應(yīng)當(dāng)確保你的第三方服務(wù)商使用的是當(dāng)前最可靠的遠(yuǎn)程操作技術(shù),并且再三確認(rèn)服務(wù)商系統(tǒng)是否安全,以及你的信息是否被妥善保管。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
