多数企业都会花一笔钱,组成一个小小的团队来确保自己的网络安全。然而,很多类似的努力却因为忽略了一些常见的错误而没有起到保护安全的作用。其结果,轻则是让自己尴尬,重则可能是毁灭性的。但安全专家们说,这种危险是很容易避免的。
这里所列的所有措施企业都可以做到,而无须多花一分钱。
此处列出了专家们认为最应避免的十大最常见的安全地雷。
1.小小的手误就有可能泄露公司机密。
很多最常见的安全问题实际上都是由于不良的习惯造成的,因此是可以避免的。
例如,很多无心之失的数据泄露事件都是可以消除的,只要告诉使用者在Outlook和其他邮件系统中关掉邮件地址的“自动填写”功能即可。
赛门铁克高级营销兼产品总监SteveRoop说,“在员工们快速处理邮件时,可能会在匆忙中无意选中了错误的收件人名字。员工会以为他只是要把一封邮件发给同一企业的朋友Eric,但是自动填写功能却有可能将此邮件发送给了敌人Eric.”Roop说。“我们大家都干过这事。如果该邮件包含有关于拟议中的并购事项的敏感数据的话,那么秘密就泄漏出去了。”
差不多90%的信息泄露事件都和收发邮件时无意识的不良习惯有关,其中就有未关闭自动填写功能,处理加密时出错,或者错误地理解了邮件使用策略。Roop说,只要采取简单地关掉类似“自动填写”等功能,就可为企业省下不少冤枉钱。
2.人们往往会不加思索地拱手交出他们的密码和其他私密信息。
很多时候,其实是企业内部的使用者,而非外部入侵者,要对泄露密码及个人信息导致外来攻击承担责任。
虽然很多人对网络钓鱼、间谍软件和黑客网站早有耳闻,可他们依然会心甘情愿地交出自己的个人信息,无不会想起要检查一下他们的信息是否会被用于欺诈的目的。McAfee的安全研发与通信经理DaveMarcus说,“人们总是以为呈现在眼前的网站是合法的,而这在Web世界中恰恰是个最要不得的误解。盗取某人在线身份的最简单的办法就是要求他们提供这些信息。”
3.千万别以为合伙伙伴处理你的数据时是非常可靠的。
另一个常见的安全错误就是用户们认为把敏感信息(如人力资源数据)发送给商业合作伙伴或者外包服务商是不会有问题的。然而Roop说,如果信息未加密就发送出去,那么就有可能触发安全地雷。
“这个地雷就是错误地以为人力资源外包商不会再把这些信息发送给其他任何人或存储在不安全的笔记本电脑上。”Roop说。“只要敏感数据是通过e-mail和第三方共享的,那么这个地雷就有可能被触发。”
4.Web应用可能成为泄密和失窃的门户。
导致大量安全问题出现的一个常见行为就是允许员工通过企业网络使用比如Webmail或者访问音乐下载和文件共享服务网站。
此类Web应用可以绕过企业的安全过滤网关,或者会打开一条对外的通道,让各种携带病毒或恶意软件的程序进入你的组织。
如果员工在家工作,那么此类风险还会放大。假如他们使用企业的电脑,又在网上做一些个人的事情,那么这些电脑就有可能被入侵。如果他们还把企业的数据带回家——通过e-mail或U盘——那么这些数据就将面临泄密或被窃的危险。
所有这些安全问题都是容易避免的,只要能够执行相应的策略便可,比如要求员工必须通过VPN或其他加密隧道使用安全的邮件客户端,或者不允许他们在工作电脑上安装Web程序,不要拷贝数据到移动存储介质等。此类安全问题可以利用安全策略和系统管理应用来加以管理。不过还是有一个通道是比较难以控制的,那就是员工自己给自己发邮件传送数据,虽然加密技术能够帮上一些忙。
5.要想坏事不发生就不要把事情做坏。
Mandiant公司的CEOKevinMandia忠告说,没有人会故意泄露数据,但是你的行为必须正确才行。Mandiant专门提供数据泄密后的分析服务和软件工具。一切组织或机构都可以采取一些步骤以减少数据泄密一旦发生后所产生的影响。但不幸的是,大多数企业却一直没有采取任何行动,一旦出现了问题再去测试或者创建他们的响应策略,那就太晚了。
每家企业都应该跟踪数据的流动,记录谁在何时接入何种系统使用了什么数据。但实际上很少有企业在这么做。Mandia说,“毫无疑问,最常见的错误就在于没有记录下发生了什么。一旦有人雇佣我们,我们要问的第一件事就是有没有相关记录。而通常的情况是,人们在处理TB级的数据,但却没有正规的记录。所以几乎在每次泄密事件中,当我们进入企业,询问他们到底发生了什么时,得到的总是闪烁其词的回答。”
6.回避或推卸责任的领导方式会让事情更糟。
由于企业通常没有指定一位专门的领导或专门的团队来负责对事件的响应和对重要细节的跟踪,所以严重影响了企业对于泄密事件的响应能力。
在多数企业中,对事件的调查往往会演变为一场推卸责任的游戏,在调查泄密事件的责任时由于牵涉到的人会有很多,所以他们往往会阻碍进行相关的调查。
“虽然我们经常需要做出响应,但却没人真正负责,也没人想负责,结果呢,没人知道事件所涉及的资源到底有多少钱、有多少工具或技术,也没有一个人能算清楚在处理重大事件时到底需要多少资源。”Mandia说。
“而在另一个极端,有些企业会让太多的人来参与决策,却还想做出及时的响应。我们的经验是,假如你需要马上向12个人通报情况的话,那么其中的10个人都是不管事的。”
7.处理泄密事件时不小心为罪犯通风报信。
企业中另一个典型的常见问题就是没有建立一套处理泄密事件的“保密”程序,结果导致进行事件调查时非常困难,因为员工们担心卷入事件,一般都会试图保护自身的利益。
如果泄密事件牵涉到内部人员,那么这些人便会通过各种渠道获悉调查的进展情况,就有可能拒绝说出有利于调查的事情,还会经常掩盖他们的行迹。
8.可信赖的“银弹”技术其实暗藏着真正的危险。
当涉及IT和数据安全的管制措施持续增多时,企业要投入大量的技术解决方案来弥补各种漏洞。然而企业普遍以为安装某种特殊技术,或能够满足某一方面监管的解决方案就是一颗“银弹”(指能解决问题的高招)。其实不然。
“我遇见的最大的问题就是人们普遍认为像部署防病毒软件、补丁、漏洞扫描等简单功能就以为没事了。他们根本没有从风险管理的立场去对待安全问题——而只是在检查系统而已。”SecurityIncite的分析师MikeRothman说。
企业往往就是这样的一个傻瓜天堂,他们以为除了对其有限的安全系统做做审计,确认有没有及时升级之外就无事可做了。“人们常常以为,只要他们进行主动的审计,就万事大吉了。”Rothman说。“于是坏人就会向他们证明,他们做的远远不够。”
9.在不该投入的地方浪费了对付重大危险所需的资源。
和法规遵从相关的另一个安全陷阱就是很多企业经常会对重要性完全不同的安全等级投入相同的人力和物力,Rothman说。
“一些人的错误就在于,对所有的安全问题都一视同仁,在所有客户都使用的某个在线应用上花费的安全支出,和在只有5个人使用的旧的应用上花费的同样多。”
这种方式不但浪费金钱,而且还会把很多重大的问题拖到以后再去处理——一旦预算用光,也可能就此再也不去解决了。“安全人员往往不知道究竟什么事情应该优先考虑,”Rothman说。“他们真应该试试看如果某事做坏了会产生什么结果,然后就知道该把钱花在哪里了。”
10.不要存储不必要的数据。
还有一种较常见的情形是安全和法规遵从导致的灾难,很多企业在处理信用卡和借记卡时会无意中遗漏存有账户信息的交易日志系统。而这种日志就可能导致客户数据的外泄,以及PCI(支付卡行业)审计的失效。
“他们自然意识不到,就在他们存储数据时,黑客或者心怀恶意的员工就可以复制假信用卡。”赛门铁克的Roop说。“这是PCI法规遵从的基础性错误。在最近的案例中我们实际上已看到过这种例子。它是个大地雷,极有可能导致无效的PCI审计。”
Roop认为,企业其实没必要收集支付卡信息,只须存储对他们的业务有用的信息便可。他建议说,把所有信息都抓在手里就有可能被攻击者滥用,没必要储存的信息只会带来麻烦。如果必须保留此类信息的话,那就必须构建一种能够有效保护信息的办法。