2015年企業(yè)如何避免索尼式的安全悲劇?
責編:admin |2014-12-31 14:15:22最近筆者的郵箱充斥著各種IT供應商的信件聲稱自己的產(chǎn)品是防止類似索尼數(shù)據(jù)泄露事故的“靈丹妙藥”,但現(xiàn)實是,并沒有靈丹妙藥。但這并不意味著你沒有辦法防止你的公司淪為網(wǎng)絡罪犯的受害者。重要的需要認識的是,有些數(shù)據(jù)泄露事故可能幾乎不可能阻止,但這只是少數(shù)。
2015年企業(yè)如何避免索尼式的安全悲劇?
首先,你要知道的是,雖然你不能通過技術完全解決數(shù)據(jù)泄露問題,你還是應該繼續(xù)使用現(xiàn)有的技術(包括防火墻、電子郵件篩選設備、反惡意軟件和類似產(chǎn)品)來保持控制。這些技術確實有所幫助。通過利用最好的產(chǎn)品,你至少可以阻止大部分惡意攻擊,讓你可以專注于其他方面。
其次,雖然幾乎所有數(shù)據(jù)泄露事故都是因為可信員工或承包商犯錯誤的結果,但你不能認為他們很愚蠢,而無法預防泄露事故。
KnowBe4首席執(zhí)行官Stu Sjouwerman表示,“他們只是在另一個領域訓練有素的人,但企業(yè)不能簡單地認為這些安全問題是愚蠢的用戶無法避免的問題,“要知道,愚蠢的用戶可能是CFO。”
他的觀點是,企業(yè)中很多員工并沒有接受過IT方面的培訓;或者安全方面的培訓,他們不一定會認識到安全威脅。
戰(zhàn)略與國際研究中心的副主任Denise Zheng稱:“沒有辦法對愚蠢的用戶打補丁。”Sjouwerman并不認同。事實是,對于在如何響應網(wǎng)絡威脅方面犯錯誤的用戶,企業(yè)是可以打補丁的,即培訓,這并不需要太困難或者昂貴。只是需要連續(xù)培訓。Sjouwerman的建議也得到很多安全專家的認同,他們認為,為了確保安全計劃的有效性,這需要涉及使用網(wǎng)絡的人。
雖然很明顯,你企業(yè)的員工是安全薄弱點,但我們也有辦法來減小(如果不能消除的話)這個問題,并且,這并不意味著你需要解雇所有員工。這就是說,企業(yè)應該開展基本的一對一安全培訓,讓企業(yè)每個員工都了解安全威脅是什么樣。他表示,這并不是茶話會式的年度安全講座。
這需要員工與IT人員坐下來,了解實際網(wǎng)絡釣魚電子郵件長什么樣,他們可以如何發(fā)現(xiàn)安全威脅在透支其銀行賬戶。而且,還需要實際操作。這種一對一安全培訓應該對每個新員工開展。
Sjouwerman解釋說:“你至少可以在員工入職時進行安全意識培訓,然后進行定期模擬網(wǎng)絡釣魚攻擊。”他表示,這種網(wǎng)絡釣魚模擬攻擊可以使用真正的網(wǎng)絡釣魚郵件,而將原有惡意鏈接替換為通知IT的鏈接(當有人點擊時)。這樣一來,員工就知道網(wǎng)絡釣魚攻擊是怎么回事,這可以幫助他們在未來避免這種攻擊。
另外值得一提的是,還需要得到管理層的支持。雖然有效的安全培訓并不一定要花費很多時間,但這確實需要一定的時間和費用,因此,這需要管理層的關注。
重要的是,所有員工都應該得到最初的安全培訓,然后重復的培訓。網(wǎng)絡罪犯通常瞄準高層管理人員,因為他們能夠訪問罪犯最想要竊取的數(shù)據(jù)。而在攻擊的最開始,他們通常會瞄準最容易攻擊的對象,即那些沒有得到很好培訓的人員。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧