2015年企業如何避免索尼式的安全悲劇?
責編:admin |2015-01-04 21:21:19最近筆者的郵箱充斥著各種IT供應商的信件聲稱自己的產品是防止類似索尼數據泄露事故的“靈丹妙藥”,但現實是,并沒有靈丹妙藥。但這并不意味著你沒有辦法防止你的公司淪為網絡罪犯的受害者。重要的需要認識的是,有些數據泄露事故可能幾乎不可能阻止,但這只是少數。
首先,你要知道的是,雖然你不能通過技術完全解決數據泄露問題,你還是應該繼續使用現有的技術(包括防火墻、電子郵件篩選設備、反惡意軟件和類似產品)來保持控制。這些技術確實有所幫助。通過利用最好的產品,你至少可以阻止大部分惡意攻擊,讓你可以專注于其他方面。
其次,雖然幾乎所有數據泄露事故都是因為可信員工或承包商犯錯誤的結果,但你不能認為他們很愚蠢,而無法預防泄露事故。
KnowBe4首席執行官Stu Sjouwerman表示,“他們只是在另一個領域訓練有素的人,但企業不能簡單地認為這些安全問題是愚蠢的用戶無法避免的問題,“要知道,愚蠢的用戶可能是CFO。”
他的觀點是,企業中很多員工并沒有接受過IT方面的培訓;或者安全方面的培訓,他們不一定會認識到安全威脅。
戰略與國際研究中心的副主任Denise Zheng稱:“沒有辦法對愚蠢的用戶打補丁。”Sjouwerman并不認同。事實是,對于在如何響應網絡威脅方面犯錯誤的用戶,企業是可以打補丁的,即培訓,這并不需要太困難或者昂貴。只是需要連續培訓。Sjouwerman的建議也得到很多安全專家的認同,他們認為,為了確保安全計劃的有效性,這需要涉及使用網絡的人。
雖然很明顯,你企業的員工是安全薄弱點,但我們也有辦法來減小(如果不能消除的話)這個問題,并且,這并不意味著你需要解雇所有員工。這就是說,企業應該開展基本的一對一安全培訓,讓企業每個員工都了解安全威脅是什么樣。他表示,這并不是茶話會式的年度安全講座。
這需要員工與IT人員坐下來,了解實際網絡釣魚電子郵件長什么樣,他們可以如何發現安全威脅在透支其銀行賬戶。而且,還需要實際操作。這種一對一安全培訓應該對每個新員工開展。
Sjouwerman解釋說:“你至少可以在員工入職時進行安全意識培訓,然后進行定期模擬網絡釣魚攻擊。”他表示,這種網絡釣魚模擬攻擊可以使用真正的網絡釣魚郵件,而將原有惡意鏈接替換為通知IT的鏈接(當有人點擊時)。這樣一來,員工就知道網絡釣魚攻擊是怎么回事,這可以幫助他們在未來避免這種攻擊。
另外值得一提的是,還需要得到管理層的支持。雖然有效的安全培訓并不一定要花費很多時間,但這確實需要一定的時間和費用,因此,這需要管理層的關注。
重要的是,所有員工都應該得到最初的安全培訓,然后重復的培訓。網絡罪犯通常瞄準高層管理人員,因為他們能夠訪問罪犯最想要竊取的數據。而在攻擊的最開始,他們通常會瞄準最容易攻擊的對象,即那些沒有得到很好培訓的人員。