信息來源:secdoctor
現(xiàn)在我們越來越依賴于技術(shù)���,網(wǎng)絡(luò)安全泄露事故導(dǎo)致數(shù)據(jù)盜竊或系統(tǒng)中斷的可能性也越來越大。IT專業(yè)人員和執(zhí)法團(tuán)隊(duì)正努力應(yīng)對使用最新攻擊技術(shù)的網(wǎng)絡(luò)罪犯��。
根據(jù)調(diào)查顯示��,在過去一年中��,32%的企業(yè)遭受網(wǎng)絡(luò)攻擊��。每年企業(yè)共計(jì)損失3880億元來應(yīng)對安全泄露事故��,單用于修復(fù)計(jì)算機(jī)病毒的費(fèi)用每年達(dá)到約550億美元���。雖然網(wǎng)絡(luò)罪犯受到很多關(guān)注,也經(jīng)常成為新聞頭條���,但其實(shí)企業(yè)內(nèi)部威脅(無論是否惡意)可能更大��。
缺乏安全培訓(xùn)導(dǎo)致內(nèi)部威脅快速增長
在Harvey Nash/KPMG調(diào)查中��,來自世界各地的4500名首席信息官和技術(shù)負(fù)責(zé)人表示內(nèi)部威脅是增長最快的安全風(fēng)險��。員工和承包商對企業(yè)構(gòu)成重大威脅���,他們通常沒有接受過適當(dāng)?shù)娘L(fēng)險管理培訓(xùn)��。
盡管有些員工對企業(yè)有惡意行為��,但大部分網(wǎng)絡(luò)安全漏洞是由于疏忽或無意的錯誤��。事實(shí)上���,60%的企業(yè)承認(rèn)自己的員工不了解安全風(fēng)險。那些沒有向員工傳達(dá)潛在風(fēng)險以及如何防范這些風(fēng)險的企業(yè)可能會面臨由于人為錯誤導(dǎo)致的安全風(fēng)險���。
根據(jù)IBM發(fā)布的2016年網(wǎng)絡(luò)安全情報指數(shù)顯示���,60%的攻擊由內(nèi)部人員執(zhí)行。在這些攻擊中���,四分之三涉及惡意攻擊���,而四分之一為無意��。這種安全泄露事故可能包括意外粘貼公司敏感信息到公司面向公眾的網(wǎng)站;發(fā)送受限信息到錯誤的人或者不小心泄露機(jī)密記錄���。
例如,在2016年��,聯(lián)邦存儲保險公司(FDIC)的員工下載敏感信息到個人存儲設(shè)備���,導(dǎo)致44000位客戶的數(shù)據(jù)面臨危險���。認(rèn)為錯誤也可能包括員工忽視安全協(xié)議。
在2013年的調(diào)查中���,谷歌報告稱,2500萬Chrome警告在70.2%的時間內(nèi)被忽視��。在某些情況下��,警告被忽視是由于用戶缺乏技術(shù)知識:這些員工根本不了解這些警告中使用的技術(shù)語言��。
黑客利用員工安全意識差展開攻擊
根據(jù)網(wǎng)絡(luò)安全專家表示���,90%外部網(wǎng)絡(luò)攻擊的發(fā)生是因?yàn)閱T工無意中向黑客提供了其訪問權(quán)限���。網(wǎng)絡(luò)罪犯利用不了解網(wǎng)絡(luò)釣魚技術(shù)的內(nèi)部人員��,通常通過假冒網(wǎng)站或感染惡意軟件的鏈接等形式來竊取公司的敏感信息���。
為了保護(hù)網(wǎng)絡(luò),企業(yè)必須通過企業(yè)范圍的信息安全風(fēng)險評估來識別潛在的漏洞��。企業(yè)必須意識到自己網(wǎng)絡(luò)的狀況以抵御網(wǎng)絡(luò)泄露事故��。企業(yè)領(lǐng)導(dǎo)應(yīng)該了解哪些數(shù)據(jù)必須受到保護(hù)���、這些數(shù)據(jù)位于網(wǎng)絡(luò)的位置以及誰可以實(shí)時訪問這些數(shù)據(jù)���。
在確定重要和敏感數(shù)據(jù)后,訪問應(yīng)該限于已經(jīng)經(jīng)過適當(dāng)審查并熟悉安全協(xié)議的員工��。當(dāng)聘請技術(shù)員工和承包商時��,企業(yè)應(yīng)該請專業(yè)第三方安全服務(wù)來進(jìn)行徹底全面的背景調(diào)查���,才能讓他們在企業(yè)的基礎(chǔ)設(shè)施內(nèi)部進(jìn)行工作��。
在聘用這些人員后��,企業(yè)還應(yīng)該提供強(qiáng)制且頻繁的培訓(xùn)���,以提醒員工網(wǎng)絡(luò)安全風(fēng)險以及違反安全協(xié)議的后果���。培訓(xùn)可能包括數(shù)據(jù)泄露事故可能對企業(yè)帶來的破壞以及員工如何因疏忽而受到懲罰。安全培訓(xùn)應(yīng)該包括對安全風(fēng)險的討論���,包括通過筆記本電腦或個人存儲設(shè)備(可能存放在汽車和家中時被盜)將機(jī)密信息帶出辦公室��。還應(yīng)該討論機(jī)密信息的處理和分享問題���。
離職員工更要立即隔離權(quán)限
最后,當(dāng)員工離開公司時���,應(yīng)立即禁止其對系統(tǒng)的訪問權(quán)限。理想情況下���,當(dāng)員工離職時應(yīng)觸發(fā)自動數(shù)據(jù)擦除��,以防止他們重新登錄到系統(tǒng)以及訪問企業(yè)數(shù)據(jù)���,特別是在不需要頻繁驗(yàn)證身份的云服務(wù)��。
面對迅速變化的網(wǎng)絡(luò)犯罪趨勢��,靜態(tài)評估��、陳舊的員工培訓(xùn)和協(xié)議無法跟上網(wǎng)絡(luò)安全的變化���。培訓(xùn)和系統(tǒng)評估必須持續(xù)進(jìn)行以應(yīng)對不斷變化的環(huán)境。
