高級(jí)管理人員是惡意黑客和其他圖謀不軌者最喜歡的目標(biāo)之一,部分原因是他們更有可能持有有價(jià)值的信息——或者對(duì)這些數(shù)據(jù)擁有較高的訪問(wèn)級(jí)別。
這就是為什么組織必須確保高管和其他高級(jí)管理人員遵守最嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn),并盡可能使用合適的安全技術(shù),包括在他們要去高風(fēng)險(xiǎn)的地點(diǎn)時(shí)。
商業(yè)和技術(shù)咨詢公司W(wǎng)est Monroe Partners的首席網(wǎng)絡(luò)安全架構(gòu)師Wayne Lee表示:“高管成為目標(biāo)是因?yàn)樗麄冊(cè)诮M織內(nèi)的權(quán)限和影響力,特別是那些能接觸到敏感經(jīng)濟(jì)數(shù)據(jù)或個(gè)人身份信息的高管。”
信息安全論壇(Information Security Forum)的總經(jīng)理Steve Durbin表示,任何獲取潛在價(jià)值信息的人都有遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),該論壇是一個(gè)致力于調(diào)查和解決信息安全和風(fēng)險(xiǎn)管理關(guān)鍵問(wèn)題的獨(dú)立組織。
Durbin說(shuō):“當(dāng)然,這將包括常見(jiàn)的高管人員,但這不再限于董事會(huì)成員。個(gè)人助理、系統(tǒng)管理人員,幾乎任何有能力為決意尋找有價(jià)值的信息的網(wǎng)絡(luò)罪犯提供渠道的人現(xiàn)在都牽扯進(jìn)來(lái)了。”
組織可以采取以下步驟來(lái)保護(hù)高級(jí)管理人員及其直接聯(lián)系人,使他們不會(huì)成為重大安全漏洞的切入點(diǎn)。
讓高管明白他們將成為目標(biāo)
日理萬(wàn)機(jī)的高管們不想為自己成為網(wǎng)絡(luò)攻擊的下一個(gè)目標(biāo)而擔(dān)驚受怕。但這是他們需要思考的問(wèn)題。
瑪利斯特學(xué)院(Marist College)的IT副總裁兼首席信息官們Bill Thirsk說(shuō):“高管要內(nèi)化他們的目標(biāo)。網(wǎng)絡(luò)攻擊者在追尋高價(jià)值目標(biāo)之前,需要花時(shí)間觀察、規(guī)劃、實(shí)踐、磨練和強(qiáng)化自己的技藝。攻擊者享盡了天時(shí)地利——隱形、時(shí)間、欺詐,以及能發(fā)起指定的隨機(jī)攻擊的多重平臺(tái)——所有這一切都與正常的人類行為、好奇心以及對(duì)連通性的需求相抵觸。”
Thirsk說(shuō),人們必須了解高管的“數(shù)字足跡”,并且彌合作為實(shí)踐問(wèn)題的差距。他說(shuō),高管們應(yīng)該登記、確認(rèn)和監(jiān)督社交賬號(hào)。
但讓高管支持保護(hù)措施頗具難度。SoCal Privacy Consultants的副總裁兼首席安全顧問(wèn)Paul Boulanger表示:“我所看到的每一項(xiàng)統(tǒng)計(jì)數(shù)據(jù)都表明,高管們最不可能遵守他們期望他人遵守的政策。部分原因在于他們是非常愿意為了方便而犧牲安全的人。”
組織需要確保技術(shù)控制到位,而不是期望高管以安全的方式工作。Boulanger說(shuō):“例如,郵件服務(wù)器要強(qiáng)制智能手機(jī)啟用加密并啟用密碼鎖定才能允許人們?cè)L問(wèn)公司的電子郵件。如果高管或任何其他用戶禁用了密碼鎖定,則電子郵件訪問(wèn)權(quán)限會(huì)自動(dòng)取消。”
在某些情況下,約束對(duì)高管不起作用。Thirsk說(shuō):“我們發(fā)現(xiàn),對(duì)于我們的文武雙全的高管來(lái)說(shuō),施加任何約束都是行不通的。他說(shuō):“與各種各樣的人交往需要接觸和關(guān)注,所以在高管的詞典里沒(méi)有‘限制’一詞。”
超前于威脅的唯一方法就是通過(guò)智能的,主要是自愿承擔(dān)的,明智的行為修正來(lái)保證線上的安全。高管不能單靠別人來(lái)保護(hù)他們。Thirsk表示:“他們必須能輕易辨別偽造的電子郵件地址、惡意鏈接或其它會(huì)泄露秘密的‘令人不快的’情境。
認(rèn)真對(duì)待威脅——教育高管了解攻擊
釣魚(yú)攻擊,以及最近的勒索軟件是讓高管提供黑客需要竊取的重要信息的常見(jiàn)方式。Thirsk說(shuō):“涉及到最近對(duì)領(lǐng)導(dǎo)者及其組織形成毀滅性打擊的威脅,釣魚(yú)攻擊和勒索軟件沒(méi)有得到應(yīng)有的報(bào)道。董事會(huì)上往往沒(méi)有嚴(yán)肅地討論它們”
Thirsk說(shuō),高管們想接入最新的信息急流,這是再自然不過(guò)的事情,因?yàn)檫@種需求,他們有時(shí)很想點(diǎn)擊那些看似很重要或很有趣的信息。
同時(shí),高管要求擁有一臺(tái)接入所有信息渠道的設(shè)備——商業(yè)的和個(gè)人的。Thirsk說(shuō):“集不同的安全要求于一臺(tái)設(shè)備必然釀成災(zāi)難。
要不要讓高管相信這類攻擊的嚴(yán)重性并在事故發(fā)生之前說(shuō)服他們采取措施,這是由IT和安全性領(lǐng)導(dǎo)者決定的。Thirsk說(shuō):“只有在高級(jí)管理層確信個(gè)人的和運(yùn)營(yíng)的網(wǎng)絡(luò)防御必須經(jīng)過(guò)詳細(xì)認(rèn)真地討論,并執(zhí)意要修改行為時(shí),才能實(shí)現(xiàn)這一點(diǎn)。”
網(wǎng)絡(luò)釣魚(yú)可以采取各種形式針對(duì)高級(jí)管理人員。
Lee說(shuō):“鯨釣攻擊(whaling attack)的復(fù)雜性有所增加,這種攻擊針對(duì)的是憑證信息的收集或從公司賬戶中進(jìn)行電匯的要求。鯨釣用來(lái)描述專門針對(duì)高級(jí)管理人員、名人和公眾人物的網(wǎng)絡(luò)釣魚(yú)攻擊。
Lee說(shuō):“歷史上這些攻擊的成功率很高。高管因旅行積分釣魚(yú)攻擊(在他們的電腦上要求特權(quán)的那種攻擊)而受騙,這種篝火晚會(huì)式的故事并不少見(jiàn),每一個(gè)故事通常都以高管成為某種類型的網(wǎng)絡(luò)攻擊的受害者而告終,這在某些情況下會(huì)導(dǎo)致公司級(jí)別的數(shù)據(jù)攻擊。
Lee說(shuō),謹(jǐn)記,黑客可以利用領(lǐng)英、Instagram、臉書(shū)等社交媒體上的公共信息來(lái)擬構(gòu)攻擊目標(biāo)的資料,這很重要。他說(shuō),這個(gè)配置文件可以用來(lái)定制網(wǎng)絡(luò)釣魚(yú)攻擊或用來(lái)脅迫攻擊目標(biāo)。
安全使用電子郵件是重中之重
請(qǐng)記住,電子郵件是針對(duì)高管的最常見(jiàn)的攻擊來(lái)源之一。事件服務(wù)提供商Hargrove的信息系統(tǒng)和技術(shù)總監(jiān)Barr Snyderwine說(shuō):“我們遇到了針對(duì)高管和財(cái)務(wù)部門的頻繁的,日益復(fù)雜的電子郵件攻擊。
Snyderwine說(shuō):“這是一種典型的欺騙攻擊(spoofing attack),這種攻擊企圖欺騙某人向一個(gè)看似合法的網(wǎng)站或銀行打錢。最近這類攻擊用AP(應(yīng)付賬款)打電話,假冒高管發(fā)送要求打錢的電子郵件。這很有趣,因?yàn)榇螂娫捄芎臅r(shí)。高管還從攻擊者那里收到欺騙其他高管打錢的電子郵件。”
Snyderwine說(shuō),用端點(diǎn)保護(hù)去除惡意軟件附件是一個(gè)不錯(cuò)的做法。他說(shuō):“我們經(jīng)常更新,打補(bǔ)丁也很關(guān)鍵,一切都自動(dòng)打補(bǔ)丁。”
此外,還要制定這樣的政策——任何電子郵件都要求發(fā)件人通過(guò)面對(duì)面或打電話的方式驗(yàn)證,并得到另一位高管的確認(rèn)。Snyderwine說(shuō):“培訓(xùn)非常成功。我們的高管現(xiàn)在能識(shí)別欺騙郵件了。”
此外,每年要對(duì)高管和其他員工進(jìn)行多次測(cè)試,以確保他們遵守有關(guān)電子郵件的政策。
高管出差時(shí)的保護(hù)措施
高管在任何地方都有可能受到網(wǎng)絡(luò)攻擊的傷害,但是他們?cè)诤M獬霾顣r(shí)受到的威脅可能會(huì)特別大。
Lee說(shuō),對(duì)于離開(kāi)本國(guó)組織的電子設(shè)備和媒體,組織應(yīng)該擁有退登/登記程序和安全性指南。他說(shuō):“這包括在返回時(shí)對(duì)這些電子資源進(jìn)行隔離和檢查。”
Boulanger說(shuō):“高管到世界某些高風(fēng)險(xiǎn)地區(qū)時(shí),他們必須要有這樣一個(gè)期望:即旅途中攜帶的設(shè)備在跨境時(shí)必須得到復(fù)制。高管們應(yīng)該采用‘含刻錄機(jī)’的筆記本電腦,這些電腦只包含他們?cè)陔x線狀態(tài)時(shí)所需的東西,比如演示文稿。”
Boulanger說(shuō),他們要遠(yuǎn)程訪問(wèn)的任何數(shù)據(jù)應(yīng)由安全的通道提供——如遠(yuǎn)程桌面或虛擬專用網(wǎng)絡(luò)(VPN),或者存儲(chǔ)在無(wú)法禁用硬件加密的U盤上。
Boulanger說(shuō):“高管回來(lái)時(shí),應(yīng)假定他們的筆記本電腦和其它數(shù)據(jù)存儲(chǔ)設(shè)備安裝了惡意軟件,并在重新使用或連接到企業(yè)網(wǎng)絡(luò)之前進(jìn)行常規(guī)擦除。”
Hargrove有一個(gè)絕不使用公共Wi-Fi的標(biāo)準(zhǔn)政策,但這很難執(zhí)行,因?yàn)槌霾畹膯T工很多。Snyderwine說(shuō):“我們提供Mi-Fi蜂窩單元,并鼓勵(lì)員工使用自己的手機(jī)熱點(diǎn),并付費(fèi)使用它們。這很管用。”
無(wú)論是在賓館、飯店、機(jī)場(chǎng)、會(huì)議場(chǎng)所還是其它地方,Wi-Fi網(wǎng)絡(luò)確實(shí)都是有風(fēng)險(xiǎn)的。圖謀不軌者可以設(shè)置一個(gè)簡(jiǎn)單的假Wi-Fi熱點(diǎn),以獲得一個(gè)高管的筆記本電腦或移動(dòng)設(shè)備的訪問(wèn)權(quán),Lee這樣說(shuō)道。
增強(qiáng)IT基礎(chǔ)設(shè)施的安全性
不言而喻,擁有強(qiáng)大的安全計(jì)劃首先將有助于減少或避免網(wǎng)絡(luò)安全攻擊對(duì)個(gè)人造成的損害。但這是防止針對(duì)高管的數(shù)據(jù)泄露的關(guān)鍵組成部分。
Durbin說(shuō):“我們認(rèn)為不要從個(gè)人著手,而要從組織試圖保護(hù)的關(guān)鍵信息資產(chǎn)著手。這自然包括對(duì)可能易受大量攻擊(如魚(yú)叉式釣魚(yú)攻擊)的初級(jí)用戶進(jìn)行評(píng)估。
這使人們得以發(fā)現(xiàn)——會(huì)遭到技術(shù)漏洞利用的未打補(bǔ)丁的系統(tǒng)、可用掃描工具發(fā)現(xiàn)的安全性較差的系統(tǒng)、攻擊者可以訪問(wèn)的保護(hù)措施不足的無(wú)線網(wǎng)絡(luò)路由器,以及容易失竊或遭到復(fù)制的信息處置系統(tǒng),Durbin這樣說(shuō)道。
Durbin說(shuō):“無(wú)論你在考察哪一個(gè)領(lǐng)域,都要考慮到三種主要的威脅:對(duì)抗性威脅,偶然威脅和環(huán)境威脅,這很重要。確保信息及其用戶的安全所采取的方法將引導(dǎo)企業(yè)對(duì)適用于信息資產(chǎn)和用戶的安全控制措施進(jìn)行開(kāi)發(fā)和交流。”
例如,如果企業(yè)高度依賴散布在路途上的員工,那么實(shí)施全面禁用公共Wi-Fi的政策就毫無(wú)意義。
別忘了培訓(xùn)
高管和其他員工一樣,需要得到有關(guān)安全的重要性的提醒。Durbin說(shuō):“如果有人要求這些人訪問(wèn)敏感信息,他們最好著眼于加密、虛擬網(wǎng)絡(luò)解決方案,最重要的是教育和培訓(xùn)。但是要把所有這一切都與商業(yè)利益聯(lián)系起來(lái)——個(gè)人采取更安全的方法來(lái)使用和共享信息所帶來(lái)的商業(yè)利益。”
咨詢公司AsTech Consulting的首席安全策略師Nathan Wenzler表示,高管必須定期參與安全意識(shí)培訓(xùn),對(duì)指定的工作站、筆記本電腦和移動(dòng)設(shè)備進(jìn)行定期更新、打補(bǔ)丁,并在必要時(shí)使用VPN和其它安全通信技術(shù)。
Wenzler說(shuō):“安全團(tuán)隊(duì)?wèi)?yīng)該用額外的指導(dǎo)方針和為高管提供的細(xì)節(jié)來(lái)增強(qiáng)標(biāo)準(zhǔn)員工安全意識(shí)培訓(xùn),由于高管的職位更面向公眾的一面,安全團(tuán)隊(duì)要強(qiáng)調(diào)高管所面臨的更大的風(fēng)險(xiǎn)和信息曝光。鼓勵(lì)人們對(duì)高管如何以及為什么會(huì)成為具體的目標(biāo)形成更高的認(rèn)知,這將在社交工程攻擊還沒(méi)得逞之前加大它們被發(fā)現(xiàn)和受挫的可能性。”
Durbin說(shuō),約束可能會(huì)產(chǎn)生短期的影響,但是如果你不能得到高管的全力支持并表明限制所帶來(lái)的商業(yè)和個(gè)人利益,約束就會(huì)失靈,因?yàn)橛脩魰?huì)發(fā)現(xiàn)使他們得以完成工作的變通方法。
Durbin說(shuō):“現(xiàn)如今,有效的安全比以往任何時(shí)候都更需要了解信息如何在生命周期的所有階段、在一天中的任何時(shí)段以及在各個(gè)地點(diǎn)得到訪問(wèn)和利用。而最重要的是,它需要了解所有接口中最復(fù)雜的接口——用戶。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)