為什么企業內部員工是防止數據泄露的優秀屏障
根據風險安全機構Risk Based Security發布的調查報告,與去年相比,今年的數據泄露量大幅增加,增長了54%。其后果是破壞業務、敏感和財務數據受損,以及對個人和企業造成災難性影響。
今年早些時候,美國較大的銀行之一Capital One銀行被黑客入侵,導致該銀行超過8萬個銀行賬號、14萬個社會保險號碼和數百萬張信用卡號碼被盜,其損失超過3億美元。
防火墻安全性的弱點使得網絡攻擊者可以訪問托管在AWS云平臺上的服務器。電信廠商Verizon公司、GoDaddy公司,甚至美國國防部在云計算系統上保存的信息也已遭到攻擊和泄露。
根據Synergy Research 集團的調查,AWS、Microsoft和Alphabet公司旗下的谷歌公司主導了全球50%以上的云計算市場,其中AWS公司無疑是云計算市場的領先者。
技術高超的黑客可以輕松發現配置錯誤的服務器。當基于云計算的安全控制可能很難弄清并且容易被忽略時,這個問題就會更加突出。黑客將其目標對準未正確設置的服務器,從而使他們輕松訪問敏感數據。
Office365等基于云計算的系統沒有多因素授權,或者未打補丁的基于Web的系統會導致可以利用的漏洞。
此外,有時防火墻等硬件的配置可能不正確,或者個別設備上的安全性設置較差,可能導致漏洞被利用。
當今,很多安全都是基于已知的不良模型,該模型基于反應性原理,識別威脅,然后將其阻止。
盡管網絡安全仍然是一個有效和關鍵的方面,但當黑客找到入侵網絡的新方法時,企業需要考慮所有威脅,而不僅僅是已知的威脅,這是至關重要的。
黑客只需要獲得對一個用戶帳戶的訪問權限,然后獲得控制權并訪問其進行破壞的網絡和數據。
一種被稱為“已知良好”模型的方法在某種程度上起作用:偏離既定正常基線的異常被識別,并突出顯示為潛在威脅和網絡攻擊。
業務領導者因未能保護他們的消費者數據而受到廣泛批評,并被追究責任,特別是考慮到他們可以支配的龐大IT和培訓預算,然而,一線員工的日常工作才能揭示在組織內的真正優勢和劣勢。
如果員工和用戶沒有為不斷變化的安全挑戰做好積極的準備,那么組織將面臨黑客和網絡罪犯不斷發展和微妙復雜技術的危險。
最重要的是,眾所周知,超過90%的數據泄露是由人為錯誤引起的。這意味著,由于缺乏理解、配置不當的服務器或對釣魚電子郵件不當點擊,可能會影響購買最新信息安全工具的數萬美元甚至數十萬美元的投資。
美國聯邦調查局(FBI)最近宣布,自2016年以來,企業電子郵件泄露(BEC)和電子郵件賬戶泄露(EAC)攻擊已使全球企業損失超過260億美元,是去年的兩倍多。
這主要是網絡釣魚電子郵件造成,尤其是看起來像受信任的來源(內部人員或受信任的供應商)的電子郵件。
企業可以擁有技術先進的網絡安全工具,但是其網絡上巨大的漏洞實際上是人為因素,它可以摧毀組織的防御。如果通過有效的安全意識培訓和網絡釣魚模擬獲得正確的幫助,則企業內的工作人員將是較大的安全資產。
對于基于云計算的數據中心,考慮行為變化、培訓和教育員工和用戶提高安全警惕的重要性尤為重要。企業領導者需要認識到,網絡安全不僅是一個IT問題,也是一個嚴重的業務風險。
緩解這種情況的一種方法是讓員工成為第一道防線——人類防火墻。成功防御網絡攻擊的企業已經認識到,建立強大的網絡安全意識文化是關鍵。在員工進行培訓和教育的文化中,安全在每個決策點都是至關重要的。
在這一點上,教育變得最為重要,需要在企業的各個層面上進行:員工是較大的網絡安全漏洞之一,由于他們的疏忽和對所面臨的風險缺乏了解,因此被犯罪分子視為“軟目標”。
網絡犯罪分子通常不使用技術含量高、耗時長的黑客手段來破壞企業的系統,而是更傾向于攻擊員工本身,這被視為獲取信息和系統的最薄弱環節。
為了應對這種情況,網絡安全意識培訓是一種成本效益高、行之有效的增強公司抵御網絡攻擊能力的方法。
有許多類型的培訓可供選擇,但其理念是將參與式和交互式網絡安全意識培訓內容與軟件解決方案結合起來,該解決方案與企業的IT基礎設施攜手合作。
從本質上講,這個解決方案可以分析來自安全系統的警報消息,并根據這些警報調整訓練模擬,從而使網絡安全培訓與企業遭受的攻擊保持一致。
一個示例是運行模擬網絡釣魚攻擊,以根據員工對模擬的響應方式來對其進行培訓。
最后,企業風險和合規性報告也至關重要,因此企業可以證明并滿足其法律和法規合規性要求,以保護專有和個人數據、系統和財務。
組織還有許多途徑可以找到可用的優秀解決方案。例如獲得非營利性獨立機構特許信息安全研究所(CIISec)的幫助,對可提供的優秀培訓和解決方案進行認證。
企業需要提高員工網絡安全意識的重要性,并為內部員工提供知識、工具和支持,幫助他們成為企業數據安全的優秀屏障。
