DefCon和BlackHat大會的創(chuàng)始人Jeff Moss為初創(chuàng)企業(yè)帶來了如何防止被黑的建議。
公司剛成立的時候,與客戶建立關(guān)系,完善產(chǎn)品或服務(wù)應(yīng)當(dāng)是第一要務(wù)。但你也需要考慮另一件不是那么常見的事情,那就是安全策略。它也是公司不可分割的一部分,而且,為了讓它成為最有效的,它應(yīng)當(dāng)在公司初創(chuàng)時就成為你公司計劃的一部分。
信息安全屆兩個最重要的大會:BlackHat和DefCon大會的創(chuàng)始人、美國國土安全部顧問咨詢委員會咨詢師Jeff Moss對媒體表示,安全不應(yīng)該是僅交給IT員工的事,而應(yīng)該成為全公司層面上的議題。
以下是Moss先生給小企業(yè)的建議,幫助他們更好地減少企業(yè)和客戶數(shù)據(jù)面臨的欺詐及其它風(fēng)險。
1. 別把雞蛋放在一個籃子里
僅靠一個銀行賬戶來滿足你的所有需求是一種商業(yè)上的愚蠢。如果你進行支付的賬戶上存著你的所有資金,當(dāng)有人拿到這一賬戶的號碼時,你有可能很快出局。Moss的建議是設(shè)立一系列賬戶:持有、支付和支票賬戶,分別用于公司業(yè)務(wù)的不同方面。他還建議使用一個控股賬戶來存儲你的所有經(jīng)營現(xiàn)金,包括你所需要的錢。這個賬戶號碼只有你自己知道;這樣,就“沒有人能夠僅通過給你寫一張支票或者得到你的一次轉(zhuǎn)賬來搞清楚這個銀行賬戶號。”
2. 別給任何人權(quán)限
Moss強烈建議小企業(yè)主凍結(jié)資金,而不是把資源投向賬戶監(jiān)測服務(wù)。凍結(jié)一個賬戶只需要花費10美元,而且在保證沒有人能夠進來偷你的資金方面非常有效。之后,你只需要再投入10美元,對一個特定的實體解鎖,比如本地的銀行,而它將成為唯一能夠從你的賬戶上開出來支票的實體。
“別讓其它人以你的名字開銀行賬戶,這樣是最好的保護自己的方式。你是要自己保護自己,還是花錢監(jiān)測自己的賬戶?這就像是每月僅花10到15美元來完成賬戶監(jiān)測,而不是花上30或40美元。而且,通過這種方式,根本就不會發(fā)生盜竊行為。
Moss也表示,小企業(yè)主應(yīng)當(dāng)考慮屏蔽自動交換ACH中心 (Automated Clearing House, ACH) ,以防賬戶遭到非法訪問。
3. 對客戶數(shù)據(jù)的態(tài)度要明智
Moss在客戶數(shù)據(jù)方面認為,“如果你沒法保護它,就不要進行收集”。Moss建議小企業(yè)主在收集敏感信息之前先問自己是否真的需要這些數(shù)據(jù),以及到底要保存這些數(shù)據(jù)多久。“如果這樣說:’我們被入侵了,但是黑客只得到了一星期的信息’,不是比說’我們被入侵了,黑客得到了過去十年里所有的數(shù)據(jù)’好得多嗎?”
Moss表示,最關(guān)鍵的是,許多數(shù)據(jù)泄露本可以通過更小心地思考來避免:你為什么需要這個數(shù)據(jù)集合?它是如何被存儲的?“我一直很喜歡移動磁盤和移動U盤。我只是把它們放在保險箱里了而已。如果你擁有的東西不在線上,當(dāng)你需要它的時候,你至少會知道它沒有被篡改過。”
對于成長中的企業(yè)而言,Moss建議在一些企業(yè)級硬盤上進行投資,并尋找Synology和ownCloud這樣提供連接到網(wǎng)絡(luò)的服務(wù)器及私有云選項的企業(yè)。