6個最大業(yè)務安全風險以及解決辦法
責編:admin |2015-01-23 19:08:45在2014年安全泄露事故依然接二連三地發(fā)生。盡管多年來安全泄露和分布式拒絕服務(DDoS)攻擊占據頭條新聞,安全專家也一再告誡企業(yè)(和個人)需要更好地保護敏感數據,但很多企業(yè)仍然沒有準備好或無法正確地抵御各種安全威脅。
事實上,根據Trustwave最新發(fā)布的《2014年度風險狀態(tài)報告》顯示,大多數企業(yè)沒有或者只部署了部分系統用于控制和追蹤敏感數據。該報告采訪了476名IT專業(yè)人士對安全問題的看法。
那么,企業(yè)應該怎樣更好地保護自己及其客戶的敏感數據免受安全威脅呢?對此,我們詢問了幾十位安全專家和IT專家來尋找答案。下面是安全泄露事故6個最有可能的來源或者原因,以及企業(yè)應該怎樣做來抵御這些風險。
風險No. 1:心懷不滿的員工
“內部攻擊是企業(yè)數據和系統面對的最大威脅之一,”Green House Data公司首席技術官Cortney Thompson表示,“心懷不軌的員工可能造成嚴重破壞,特別是IT團隊的成員,他們了解并可以訪問網絡、數據中心及管理員賬戶。”據傳言稱,索尼遭受的攻擊不是源自朝鮮,而其實是內部攻擊。
解決辦法: CyberArk公司執(zhí)行副總裁Adam Bosnian表示:“緩解特權賬戶利用風險的第一步是發(fā)現所有特權賬戶和登錄憑證,并立即終止那些不再使用或涉及已離職員工的賬戶。”
“下一步是密切監(jiān)測、控制和管理特權登錄憑證以防止被利用。最后,企業(yè)應該部署必要的協議和基礎設施來跟蹤、日志記錄特權賬戶活動,以及創(chuàng)建警報,以在攻擊周期的早期階段快速應對惡意活動和減小潛在的損害。”
風險No. 2:粗心大意或不知情的員工
SafeLogic公司首席執(zhí)行該Ray Potter表示:“粗心大意的員工將自己未加密的iPhone遺忘在出租車上,這與泄露信息給競爭對手的心懷不滿的員工一樣危險。”同樣地,沒有學習過安全最佳做法的員工,他們使用低強度密碼訪問未經授權的網站,和/或點擊可疑電子郵件中的鏈接或打開電子郵件附件,這也會給企業(yè)系統和數據帶來巨大的安全威脅。
解決辦法: “對員工進行培訓,讓他們學習使用安全最佳做法,并為他們提供持續(xù)的支持,”RoboForm公司市場營銷副總裁Bill Carey表示,“有些員工可能不知道在網上如何保護自己,這可能讓企業(yè)數據面臨風險。因此,企業(yè)應該提供培訓課程,幫助員工學習如何管理密碼以及避免網絡釣魚和鍵盤記錄等攻擊。并且,提供持續(xù)的支持以確保員工擁有他們所需要的資源。”
此外,確保員工在所有設備使用高強度密碼。密碼是第一道防線,所以要確保員工使用包含大寫和小寫字母、數字和符號的密碼。
同樣重要的是,在每個注冊的網站使用單獨的密碼,并每隔30到60天更改密碼。密碼管理系統可以自動化這個過程,而不需要員工記住多個密碼。
加密也是必不可少的。
“只要你已經部署了經驗證的加密作為安全戰(zhàn)略的一部分,就還有希望,”Potter繼續(xù)說道,“即使員工沒有部署個人防護措施來鎖定其手機,IT部門可以撤銷用于解密企業(yè)數據的密鑰,從而進行選擇性的數據擦除。”
BeyondTrust公司產品經理Rod Simmons表示,為了加強安全性,企業(yè)可以部署多因素身份驗證,例如一次性密碼(OTP)、RFID、智能卡、指紋讀取器或視網膜掃描,以確認用戶的身份。這可以幫助緩解密碼導致的數據泄露事故。
風險No. 3:移動設備
“當員工使用移動設備(特別是他們自己的設備)共享數據、訪問公司信息或沒有定期更改移動密碼時,非常容易發(fā)生數據盜竊,”BT Americas公司首席技術官兼安全部門副總裁Jason Cook表示,“根據BT的研究顯示,在過去12個月中,移動安全泄露事故影響著全球三分之二(68%)的企業(yè)。”
Yottaa公司產品營銷副總裁Ari Weil表示:“隨著越來越多的企業(yè)擁抱BYOD趨勢,員工設備進入企業(yè)網絡(防火墻背后,包括通過VPN),當應用程序安裝惡意軟件或其他木馬軟件可訪問設備的網絡連接時,可能給企業(yè)帶來很大風險。”
解決辦法: 確保你有一個全面的BYOD政策。“通過BYOD政策,員工可以更好地學習如何正確使用設備,而企業(yè)則可以更好地監(jiān)控電子郵件以及下載到企業(yè)或員工設備的文件,”賽門鐵克公司全球產品營銷高級主管Piero DePaoli表示,“有效監(jiān)控可以讓企業(yè)了解其移動數據丟失風險,當移動設備丟失或被盜時,讓他們可以快速找出風險。”
同時,企業(yè)應該部署移動安全解決方案來保護企業(yè)數據以及對企業(yè)系統的訪問,同時通過容器化來保障用戶的隱私權。通過分離用戶設備中的企業(yè)應用程序和企業(yè)數據,容器化可以確保企業(yè)內容、登錄憑證和配置保持加密,在IT控制中,這增強了防御。通過權件oli
Code42公司首席執(zhí)行官兼聯合創(chuàng)始人Matthew Dornquast表示,你還可以通過混合云[注]來緩解BYOD風險。“隨著未經批準的消費者應用程序和設備不斷進入工作場所,IT應該考慮使用混合和私有云[注]來緩解這種趨勢帶來的潛在風險。這兩種方法都可以提供公共云的容量和彈性來管理海量設備和數據,同時,還提供增強的安全性和隱私性(例如無論數據存儲在什么位置,加密密鑰都保存在內部)來管理企業(yè)內的應用程序和設備。”
風險No. 4:云應用
解決辦法: “對于云威脅,最好防御是使用高強度加密技術在數據層面來加強保護,例如256位AES加密,這被專家成為加密黃金標準,同時,企業(yè)應該專門保存密鑰以防止第三方訪問數據,”CipherCloud公司創(chuàng)始人兼首席執(zhí)行官Pravin Kothari表示,“正如2014年的安全泄露事故表明,沒有很多公司在使用數據水平的云計算[注]加密來保護敏感信息。”
風險No. 5:未安裝補丁或不可修補的設備
“這些是網絡設備,例如路由器、服務器和打印機,它們在其操作中使用軟件或固件,然而,對于其中的漏洞,并沒有創(chuàng)建或發(fā)送修復補丁,或者其硬件不能對發(fā)現的漏洞進行更新,”CyActive公司聯合創(chuàng)始人兼首席技術官Shlomi Boutnaru表示,“這讓你的網絡中存在可利用的設備,等待攻擊者來利用它以訪問你的數據。”
數據泄露事故“候選者”:即將不受支持的Windows Server 2003。
在2015年7月14日,微軟將不再支持Windows Server 2003,這意味著企業(yè)將不再接收該軟件的補丁或安全更新。
目前超過1000萬臺物理Windows 2003服務器在使用中(+微信關注網絡世界),還有數百萬臺虛擬服務器,預計這些過時的服務器將會成為攻擊者滲透網絡的主要途徑。
解決辦法: 構建補丁管理程序來確保這些設備和軟件總是保持最新狀態(tài)。
“第一步是部署漏洞管理技術來檢查你的網絡,看看那些不是最新狀態(tài),”Force 3公司安全做法主管Greg Kushto表示,“然而,真正的關鍵是部署政策,如果某臺設備沒有在特定時間內更新或修復,它將被停用。”
為了避免Windows Server 2003帶來的問題,企業(yè)應該發(fā)現所有Windows Server 2003實例;整理每臺服務器的所有軟件和功能;基于風險和重要性對系統進行優(yōu)先排序;創(chuàng)建遷移政策并執(zhí)行它。如果你無法執(zhí)行這些步驟,則可以聘請專業(yè)人士來幫助你。
風險No. 6:第三方服務提供商
“隨著技術日益專業(yè)化和復雜化,企業(yè)越來越多地依賴于外包商和供應商來支持及維護系統,”Bomgar公司首席執(zhí)行官Matt Dircks表示,“例如,餐廳加盟商通常會外包PoS機的維護和管理工具到第三方服務提供商。”
然而,這些第三方通常使用遠程訪問工具來連接到企業(yè)的網絡,而并不總是遵循安全最佳做法。例如,他們會使用相同的默認密碼來遠程連接到所有的客戶。如果攻擊者猜出這個密碼,就可以立即訪問所有客戶的網絡。
實際上,2014年很多高知名度的數據泄露事故(例如家得寶、Target)是因為承包商的登陸憑證被盜。根據最新的一些報告,大部分數據泄露事故(76%)是因為攻擊者利用遠程供應商訪問通道,即使是沒有惡意企圖的承包商都可能給你的系統帶來威脅或者讓你易受到攻擊。
“這種威脅在成倍增加,因為企業(yè)在允許第三方訪問其網絡之前缺乏審查,”Dynamic Solutions International公司網絡安全專家Adam Roth表示,“潛在的數據泄露事故通常不會直接攻擊最有價值的服務器,而是從低層次的計算機開始,然后轉移到其他設備并獲得特權。”
企業(yè)做了相當多的工作來確保關鍵服務器免受惡意軟件的威脅,但大多數企業(yè)并沒有保持這些系統與其他更易受攻擊系統的分隔。
解決辦法: 企業(yè)需要確保第三方遵循遠程訪問安全最佳做法,例如強制執(zhí)行多因素身份驗證、每個用戶使用唯一憑證、設置最小權限以及全面審計所有遠程訪問活動。
特別是,企業(yè)應該盡快禁用不再需要的第三方賬戶;監(jiān)控失敗的登陸嘗試;對潛在攻擊進行紅色標記。
應對數據泄露事故的通用指南
RSA公司技術解決方案主管Rob Sadowsi稱:“大多數企業(yè)現在認識到,數據泄露事故不是關于‘是否’的問題,而是‘什么時候’的問題。”為了最大限度地減小安全泄露事故的影響,企業(yè)應該執(zhí)行風險評估來確定敏感數據的位置以及部署了哪些控制和程序來保護這些數據。
然后,創(chuàng)建一個全面的事件響應(和災難恢復/業(yè)務連續(xù)性)計劃,確定參與的人員,從IT、法律部門、人力資源部門到高管,并對計劃進行測試。