【美国华盛顿市】在企业内部安全性风险方面,需要注意两种类型的员工:一种是有预谋的进行侵犯活动,另一种是无心所导致的风险。但是这二者都是非常危险的。
在上周一举行的IT顺从性规则会议上,Dan Verton在其主题报告中说,一个IT组织在保护自身财产的时候都面临着一场升级的战斗,无论侵犯者是否是恶意的。老式的IT外围防护措施已经无法起到应有的作用。
Verton对观众们说,“你的安全性项目、政策以及程序等已经惨不忍睹了,而你却很可能还蒙在鼓里。你可能在外围防护方案上花费了数百万的美金,但是你根本没有任何的防护带而言。”
Verton是“内部问题:一个真实的故事”的作者,他说,公司们需要使用特定的技术对安全性程序进行强化,从而阻止内部恶意人士的攻击,并防备那些由于忠实员工的松懈而导致的安全性问题。
无知并不是福
恶意的内部员工的动机是很明显的,Verton说,他们就是想要窃取数据。
还有一些在安全性政策及程序的外围工作的员工,他们并没有恶意,但是却不了解风险情况,从而他们为了工作更加的高效,抑或是为了下载一些色情等东西,就把系统暴露在恶意代码的面前,从而产生了数据风险问题。
Verton认为,恶意的内部人士经常来自于公司的IT部门,这是任何CIO都不愿意听到的,但却是绝对不可以忽视的。
Verton说,“对于这种员工而言,有一定的心理方面的问题值得你认真考虑。他们可能会说,‘这家公司并不知道其所作所为。’他们认为自己掌握了你的网络系统。对于这种员工而言,如果你要减少规模或者临时解雇员工的话,他们是成熟的。如果他们在你的名单中的话,那么在你进行计划的时候,这个方面一个考虑的要素。”
Verton说,数据必须加强保护,即使它处于外围防护带(例如防火墙)之内的话。他说,公司们不能依赖于严格的数据访问控制。专家说,即使是一种非常强大的外围安全性策略也不可能完全的保证和维持安全性。
“你拥有一些普通的员工,他们是忠实的,但是他们可能采取了一种不合理的数据处理方式,从而使得整个企业都处于一种无保护的状态。”例如,他们可能使用基于网络的电子邮件以发送关于账户等的客户信息,即使公司的政策要求发送这种信息需要通过加密电子邮件。此时,对于那些可以穿透该公司外围安全性防护的病毒或者木马程序等就可以获取这种信息。
Verton说,“这就要求创建一种企业安全性文化。”
Verton说,公司部门需要采取有效的安全性政策。这意味着,需要鉴定关键数据资产,授权网络系统以及设备等。他们必须将这些政策和程序进行文件化,从而严管数据的访问以及接收。
他说,组织部门还必须按时的对欺诈性无线访问点以及未授权的软件进行扫描。他们必须严格有效的监控各种网络功能的使用,例如,网络电子邮件,FTP,即时消息工具,自动化病毒升级,漏洞扫描以及补丁修复等。他补充说,公司们还应该鉴别和关闭所有不必要的进程,并对安全性设置的变动进行自动化的检测。
美国的一家主要零售商的安全部门的IT行政者,他说,忠实的内部人员所产生的安全性风险正处于不断的增长趋势。他说,这种人员与恶意的内部员工同样的普遍。
这名行政者说,“现在情况是,技术已经牢固的嵌入商务之中,人们使用技术作为他们日常工作的一部分,他们对此并不进行认真的思考和防护,例如向某个厂家发送带有敏感信息的电子邮件时。”
分析人士说,关注和了解程度的增强可以大大减少非恶意的风险。他说,“从IT的立场来看,唯一的方法就是,设置清晰的政策,以区分正确的以及不合理的工作方式。这是我们公司所认为的值得坚持的一些比较好的策略方法。”