企業(yè)面臨的六大安全問題及解決方案

責(zé)任編輯:editor04

2015-04-15 21:37:39

摘自:ZDNet至頂網(wǎng)

本文中,IT安全專家討論安全漏洞的主要原因,并建議企業(yè)如何規(guī)避風(fēng)險(xiǎn)。解決方案: “減輕特權(quán)帳戶風(fēng)險(xiǎn)的第一步是要確定所有特權(quán)帳戶員工不再在公司那需立即終止,”CyberArk執(zhí)行副總裁Adam Bosnian說(shuō)。

本文中,IT安全專家討論安全漏洞的主要原因,并建議企業(yè)如何規(guī)避風(fēng)險(xiǎn)。

事實(shí)上,根據(jù)Trustwave的近期2014年風(fēng)險(xiǎn)報(bào)告,共調(diào)查476名 IT專業(yè)人士對(duì)安全薄弱環(huán)節(jié),大多數(shù)企業(yè)沒有或只有部分系統(tǒng)到位,用于控制和跟蹤敏感數(shù)據(jù)。

那么,公司可以做什么以更好地保護(hù)自己和客戶的敏感數(shù)據(jù)所受的安全威脅?以下是最有可能發(fā)生的六個(gè)安全漏洞的的來(lái)源,,或許企業(yè)CIO可以提前做點(diǎn)什么?

風(fēng)險(xiǎn)1:心懷不滿的員工

“內(nèi)部攻擊是數(shù)據(jù)和系統(tǒng)的最大威脅之一,” Green House Data的CTO說(shuō), “員工是IT團(tuán)隊(duì)中獲取網(wǎng)絡(luò),數(shù)據(jù)中心和管理帳戶的特別成員,可能會(huì)導(dǎo)致嚴(yán)重的傷害,”事實(shí)上,“有傳言稱,索尼黑客并沒有攻擊朝鮮,但其實(shí)內(nèi)部工作有。”

解決方案: “減輕特權(quán)帳戶風(fēng)險(xiǎn)的第一步是要確定所有特權(quán)帳戶員工不再在公司那需立即終止,”CyberArk執(zhí)行副總裁Adam Bosnian說(shuō)。

“下一步,密切監(jiān)測(cè),控制和管理特權(quán)憑證,防止注銷。最后,企業(yè)應(yīng)實(shí)施必要的協(xié)議和基礎(chǔ)設(shè)施來(lái)跟蹤,記錄特權(quán)帳戶活動(dòng)和創(chuàng)建警報(bào),允許快速應(yīng)對(duì)惡意活動(dòng)和攻擊周期的早期階段減少潛在的損害。“

風(fēng)險(xiǎn)2:粗心大意或不知情的員工

“一個(gè)員工不小心忘記了解鎖iPhone的密碼,像心懷不滿的用戶惡意泄漏競(jìng)爭(zhēng)對(duì)手一樣的信息一樣險(xiǎn),”SafeLogicCEO的Ray Potter 說(shuō)。同樣的,訪問未經(jīng)授權(quán)的網(wǎng)站或點(diǎn)擊可疑電子郵件、打開電子郵件附件鏈接的員工給公司的系統(tǒng)和數(shù)據(jù)帶來(lái)了巨大的安全威脅。

解決方案: “培訓(xùn)員工并提供持續(xù)的支持, RoboForm. 市場(chǎng)營(yíng)銷部副經(jīng)理 Bill Carey說(shuō)“有些員工可能不知道如何在網(wǎng)上保護(hù)自己,讓業(yè)務(wù)數(shù)據(jù)存在在風(fēng)險(xiǎn)”他說(shuō)。因此,網(wǎng)絡(luò)安全培訓(xùn)是必不可少的持續(xù)課程,幫助員工學(xué)習(xí)如何管理密碼,避免黑客通過(guò)釣魚和鍵盤記錄詐騙。然后提供持續(xù)的支持,以確保員工擁有他們所需要的資源。“

此外,“確保員工在所有設(shè)備上使用強(qiáng)密碼,”他補(bǔ)充道。“密碼是防守的第一道防線,因此要確保員工使用有大寫和小寫字母,數(shù)字和符號(hào)的密碼,”Carey 說(shuō)。

“同樣重要的是每個(gè)注冊(cè)的網(wǎng)站,使用一個(gè)單獨(dú)的密碼,并每隔30~60天改變它,”他繼續(xù)說(shuō),“密碼管理系統(tǒng),可以通過(guò)自動(dòng)化這個(gè)過(guò)程,省去了員工記住多個(gè)密碼的麻煩。”

加密也是必不可少的。

“只要你已經(jīng)部署了驗(yàn)證加密作為安全戰(zhàn)略的一部分,是有希望的,” Potter說(shuō)。“即使員工沒有采取個(gè)人防護(hù)措施,來(lái)鎖定自己的手機(jī),你的IT部門可以通過(guò)執(zhí)行吊銷專門用于公司數(shù)據(jù)的解密密鑰的選擇性擦拭。”

為了更加安全,“實(shí)施多因素身份驗(yàn)證,如一次性密碼(OTP),RFID,智能卡,指紋讀取器或視網(wǎng)膜掃描,以確保知道他是誰(shuí),BeyondTrust.的產(chǎn)品集團(tuán)總經(jīng)理Rod Simmons補(bǔ)充說(shuō):“這有助于減輕違反應(yīng)該密碼被泄露的風(fēng)險(xiǎn)。”

風(fēng)險(xiǎn)3:移動(dòng)設(shè)備(BYOD)

“員工使用移動(dòng)設(shè)備共享數(shù)據(jù),訪問公司信息,或忽視改變手機(jī)的密碼,這時(shí)最易發(fā)生數(shù)據(jù)盜竊” , BT Americas的首席技術(shù)官和副總裁Jason Cook解釋說(shuō), “根據(jù)BT的研究中,移動(dòng)安全漏洞已經(jīng)在過(guò)去12個(gè)月影響超過(guò)三分之二的全球性組織(68%)。”

事實(shí)上,“隨著越來(lái)越多的企業(yè)接受BYOD,他們面臨著來(lái)自企業(yè)網(wǎng)絡(luò)上的這些設(shè)備的風(fēng)險(xiǎn)(在防火墻后面,包括通過(guò)VPN)中的應(yīng)用程序安裝惡意軟件或其他木馬軟件,可以訪問該設(shè)備的網(wǎng)絡(luò)連接的情況下,” Yottaa. 產(chǎn)品營(yíng)銷副總裁Ari Weil。

解決方案:請(qǐng)確保有一個(gè)完善的BYOD政策。“有了BYOD政策,員工更好地在使用設(shè)備,企業(yè)可以更好地監(jiān)控電子郵件和正在下載到公司或員工自有設(shè)備的文檔學(xué)歷,”賽門鐵克的高級(jí)總監(jiān)Piero DePaoli, “如果移動(dòng)設(shè)備丟失或被盜,有效的監(jiān)控將提供可見性的移動(dòng)數(shù)據(jù)丟失的風(fēng)險(xiǎn),并讓他們能夠迅速找出風(fēng)險(xiǎn)。”

同樣,企業(yè)應(yīng)該“實(shí)施訪問企業(yè)系統(tǒng)時(shí)保護(hù)雙方數(shù)據(jù),同時(shí)還制定尊重用戶的隱私移動(dòng)安全解決方案,” Good Technology的 CTONNicko van Someren建議,“通過(guò)在用戶的設(shè)備安全分離業(yè)務(wù)應(yīng)用和業(yè)務(wù)數(shù)據(jù),確保企業(yè)的內(nèi)容,證書和配置保持加密和被控制下,增加防御。”

您也可以“緩解BYOD與混合云的風(fēng)險(xiǎn),Code42的CEO和聯(lián)合創(chuàng)始人Matthew Dornquast補(bǔ)充說(shuō):“由于未經(jīng)批準(zhǔn)的應(yīng)用程序和移動(dòng)設(shè)備繼續(xù)蔓延到職場(chǎng),IT應(yīng)該著眼于混合云和私有云為減輕這一職場(chǎng)趨勢(shì)所帶來(lái)的潛在風(fēng)險(xiǎn),”他說(shuō)。“兩個(gè)選項(xiàng)一般提供公共云的能力和彈性的管理設(shè)備和數(shù)據(jù),但增加了安全性和保密性,例如,在整個(gè)企業(yè)用于管理能力的應(yīng)用程序和設(shè)備,無(wú)論何處的數(shù)據(jù)被存儲(chǔ),都能保證及時(shí)的加密密鑰。”

[page]

風(fēng)險(xiǎn)四:云計(jì)算應(yīng)用

解決方案:“最好的防御對(duì)基于云的威脅是在數(shù)據(jù)層面使用強(qiáng)大的加密,如AES 256位,被專家稱為加密金標(biāo)準(zhǔn),防止任何第三方訪問數(shù)據(jù),即使它駐留在公共云, CipherCloud的創(chuàng)始人兼首席執(zhí)行官Pravin Kothari說(shuō).“由于很多2014年的違規(guī)行為表明,沒有足夠多的公司正在使用的數(shù)據(jù)級(jí)云加密來(lái)保護(hù)敏感信息。

風(fēng)險(xiǎn)五:未安裝修補(bǔ)程序或Unpatchable設(shè)備

“這些是網(wǎng)絡(luò)設(shè)備,諸如路由器,服務(wù)器以及采用軟件或固件在它們的操作,但還沒有創(chuàng)建或發(fā)送任一個(gè)補(bǔ)丁在其中的一個(gè)漏洞,或者它們的硬件不被設(shè)計(jì),使它們能夠及時(shí)發(fā)現(xiàn)漏洞進(jìn)行更新, CyActive的聯(lián)合創(chuàng)始人兼首席技術(shù)官Shlomi Boutnaru說(shuō)。

“在2015年7月14日,微軟將不再提供對(duì)Windows Server 2003的支持 -這意味著企業(yè)將不再接收補(bǔ)丁或安全更新這個(gè)軟件,互聯(lián)網(wǎng)安全中心 的程序高級(jí)副總裁notes Laura Iwan說(shuō)。

擁有超過(guò)1000萬(wàn)物理單位仍在使用Windows 2003服務(wù)器,還有數(shù)百萬(wàn)人在使用虛擬機(jī),根據(jù)Forrester,“希望這些過(guò)時(shí)的服務(wù)器成為所在網(wǎng)絡(luò)的主要目標(biāo)。”他說(shuō)。

解決方案:學(xué)會(huì)補(bǔ)丁管理程序,以確保設(shè)備和軟件,保持最新的時(shí)刻。

“第一步是部署漏洞管理技術(shù),看看您的網(wǎng)絡(luò)上,什么不是最新的,” Force 3的安全專家Greg Kushto說(shuō), “真正的關(guān)鍵,是有到位的政策,如果某臺(tái)設(shè)備不更新或修補(bǔ)不及時(shí),一定時(shí)間內(nèi)它被脫機(jī)“。

要避免再次Windows Server 2003中可能出現(xiàn)的問題,“識(shí)別所有的Windows Server 2003清單中的所有軟件和每臺(tái)服務(wù)器的功能; 優(yōu)先考慮基于風(fēng)險(xiǎn)和每個(gè)系統(tǒng);映射出的遷移策略,然后執(zhí)行它,“ Iwan 建議。如果無(wú)法執(zhí)行的所有步驟,雇人來(lái)解決。

風(fēng)險(xiǎn)六:第三方服務(wù)提供商

“隨著技術(shù)的日益專業(yè)化和復(fù)雜,公司正在更多地依靠外包商和供應(yīng)商,支持和維護(hù)系統(tǒng),Bomgar CEO notes Matt Dircks指出: “比如,餐廳的加盟商往往以第三方服務(wù)提供商外包他們的銷售點(diǎn)終端(POS)系統(tǒng)的維護(hù)和管理。”

但是,“這些第三方通常使用遠(yuǎn)程訪問工具連接到公司的網(wǎng)絡(luò),但并不總是遵循安全性的最佳實(shí)踐,”他說(shuō)。“舉個(gè)例子,他們會(huì)使用相同的默認(rèn)密碼,遠(yuǎn)程連接到所有的客戶。如果黑客猜測(cè)密碼,他馬上就通過(guò)這點(diǎn)連接這些客戶的網(wǎng)絡(luò)。“

事實(shí)上,“過(guò)去一年中think Home Depot,、Targe等等是由于承包商的登錄憑證被盜,”ObserveIT的產(chǎn)品營(yíng)銷經(jīng)理Matt Zanderigo,, “據(jù)最近的一些報(bào)道,大多數(shù)數(shù)據(jù)泄露( 76%) -都?xì)w因于供應(yīng)商的遠(yuǎn)程訪問通道的開發(fā),”他說(shuō)。“即使合同沒有惡意企圖可能會(huì)損壞您的系統(tǒng)或受到攻擊。”

“這種威脅是成倍成倍的,由于缺乏允許審查的第三方訪問他們的網(wǎng)絡(luò)之前由公司完成的, Dynamic Solutions International.的網(wǎng)絡(luò)安全專家Adam Roth補(bǔ)充說(shuō):“一個(gè)潛在的數(shù)據(jù)泄露通常不直接攻擊最有價(jià)值的服務(wù)器,但更多的是像飛躍青蛙的游戲,從低層次的計(jì)算機(jī)然后旋轉(zhuǎn)到其他設(shè)備并獲得特權(quán)去,是不太安全的”他解釋說(shuō)。

“公司做了相當(dāng)不錯(cuò)的工作,確保關(guān)鍵服務(wù)器避免惡意軟件從互聯(lián)網(wǎng)上被攻擊,”他繼續(xù)說(shuō)。“但大多數(shù)公司都相當(dāng)可怕的,在保持這些系統(tǒng)與其他系統(tǒng)更容易妥協(xié)分割。”

解決方案: “公司需要驗(yàn)證任何第三方遠(yuǎn)程訪問安全,如強(qiáng)制多因素身份驗(yàn)證,需要唯一的憑據(jù)為每個(gè)用戶設(shè)置最小權(quán)限和捕捉所有遠(yuǎn)程訪問活動(dòng)的全面審計(jì)線索,Dircks說(shuō)。

尤其是,“第三方賬戶登錄嘗試監(jiān)控失敗,有一個(gè)紅色的標(biāo)志提醒有攻擊。”

規(guī)避風(fēng)險(xiǎn)的一般指導(dǎo)

“大多數(shù)企業(yè)現(xiàn)在認(rèn)識(shí)到風(fēng)險(xiǎn)不是一個(gè)問題,” RSA技術(shù)解決方案總監(jiān)Rob Sadowski, 表示,為了最大限度地減少安全漏洞和泄漏的影響進(jìn)行風(fēng)險(xiǎn)評(píng)估,以找出重要數(shù)據(jù)的位置,并用程序控制來(lái)保護(hù)它。

那么,“打造出一個(gè)全面災(zāi)難恢復(fù)的業(yè)務(wù)連續(xù)性計(jì)劃,將涉及來(lái)自IT,法律,公關(guān),行政管理等,并對(duì)其進(jìn)行測(cè)試。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)