时间就是金钱,对于一般的企业来说,时间是远远不够的。本文中安全专家将分享他们使用最小的资源来减轻信息安全风险的好方法。
保护我们的中小企业的最好的方法是什么?
不像大企业,它们雇用擅长于某一方面特定安全规则的IT专家。小公司的安全角色经常需要一些能够扮演“全能安全专家”的人。这种粗糙的方法必然最大化了安全风险,所以一个小组可以真正和有效的为一整个组织风险管理安全,也许是兼职的。
不像大的公司,中小企业很少有员工专注于信息安全,大部分完全依靠顾问或者厂商。中小企业平均花费很少资源来保证安全。“我们遇到的典型的小公司告诉我们它们花费IT预算的3%到5%在安全上,”CJ Desal说,他是Symantec的高级产品经理。比较而言,根据Forrester Research的报告,企业平均花费它们IT预算的8%在安全上。
就像以上数据表明的那样,许多中小企业缩减安全预算。Small Business Technology Institute的研究表明,1/5的小公司(1-100个雇员)没有足够的恶意软件保护措施,大部分没有任何安全策略,许多公司只是在灾难发生后才制定相应计划。然而中小企业和大公司面对恶意软件攻击的危险性是一样的。
考虑到各种各样的危险,包括可用时间,资源和安全专家的不足,中小企业需要一个行动计划,它强调了他们今天需要集中面对的安全风险,使用已经存在的人力,时间和资源来减少威胁的数目。
安全专家分享了他们的十个方法来达到更快,更便宜也更容易控制的安全计划。
1. 用自动保护阻止恶意软件
保护中小企业的第一道防线是阻止和减少病毒,蠕虫,间谍软件和其他恶意软件,包括木马下载和击键记录器,无论是端点还是网关上的。相应的,为e-mail网关安装预防恶意软件和过滤软件,阻止恶意软件和垃圾邮件(它经常携带恶意软件)到达用户端的PC。为了处理这些,许多中小企业购买了所谓的统一的威胁管理程序,它在一个设备上采用多个安全技术。
但是只有网关保护是不够的。就像Randy Abrams,ESET技术教育的管理者,一个安全软件的提供者说的,“太在意目标就会错过一些东西,”所以确保在每个笔记本,桌上电脑,服务器,有可能的话包括移动设备上都安装杀毒软件套装。这样的套装也包括个人防火墙和基于主机入侵防御措施。
使用PC上的管理员权限来阻止用户删除他们的安全套装,“所以如果IM不工作,雇员不能关掉防火墙,”Ron Teixeira,国家密码安全联盟(NCSA),一个协同安全,非营利,学术和政府安全工作的组织的执行经理说。
也使用尖端反病毒技术:晚上关掉所有的PC。这不仅会阻止消耗时间,当用户重启时,“他们的操作系统可以开始扫描任何可能有的恶意东西”,他说。
2. 尽快给你的漏洞打补丁
一个有效的安全计划需要保持操作系统和应用程序都是打了补丁的。“如果不是的话你可能会导致你的其他所有机制都无效”Abrams说。目的是迅速的给PC和服务器打补丁。
什么样才叫快?如果你一年前这么问,我会说一季度就合适了。但是我看到的更多的是每月都有变化,越来越多的厂商都是这样--不只是微软--每个月都发布补丁。但是,我们需要做决定,“你不能把一切都做好,你得实际点”。相应的,搜索外部资源,比如SANS 上最容易受攻击的20个网络安全攻击目标列表,以便决定哪个漏洞需要打补丁,以什么样的顺序打补丁。
3.密码:对“Fluffy”说不
今天许多登录仍然是以密码形式,所以,“确保雇员使用有效的密码,只要有可能,使用多种认证技术,因为不管你相不相信,小公司的雇员特别愿意使用他们的名字作为登录名和密码,这对黑客和在线鉴别贼来说是很容易算出的”Teixeira说,事实上,字典攻击—自动快速使用成千上万的已知单词去猜测密码—可能在几分钟之内猜出这种密码。
这是一个简单的解决方案:让使用者避免使用真正的单词,而是使用他们记住的一个长句子的每个单词的首字母。在创建一个更好的密码一文中可获得更多相关信息。
4.定义“好的行为”(Define “Good Behavior”)
什么是可接受的行为?无论是从可行性还是法律来衡量都不可能很容易的实现,除非已经很明确的规定。
进入安全策略和规程。“用户会做愚蠢的事情,你必须有能够实施的策略,至少能够抑制一些用户准备要做的事情”。Abram说。事实上,规程告诉职员什么是需要的(每隔30天改变密码)或者是禁止的(观看成人网页)。
设置策略不需要很大代价,花费时间或者很难。例如,SANS组织的安全策略项目在网上提供30个免费的模型策略,还有一些收钱的。“Information Security Policy Made Easy”这本书和CD-ROM提供超过1350种方法。但是,不要只是添加公司的名字到空白地方。而是,在策略方面训练雇员,把策略放在共享网络驱动或内部互联网的一个显著位置,并且经常访问它们。#p#
5.小心警惕应用软件
为了用最少的时间最大化安全性能,作为“可接受使用(acceptable use)”策略的一部分,要禁止使用者在PC上安装没有经过认证的软件。“然后实施和确保你是唯一合适使用了商业上需要的软件的人”Abrams说。
这种简单的方法改进了安全性,节省了时间。因为第三方软件很容易成为恶意软件的躲藏处,从而引起安全漏洞,并且它需要额外的时间来打补丁。此外,如果PC感染了恶意软件—它通常是很难根除的—使用标准磁盘镜像来清除和重恢复PC可以更加快捷,而不用安装额外的应用程序。
6.要准备计划
如果有些地方出了问题—在安全方面—雇员会知道怎么处理吗?“当没有IT人才每天24小时在岗的时候(这是很多中小企业的一种典型情况),人们需要相应的处理步骤,至少要有一个协调和交流的观点”Webroots Eschelbeck说。
事先计划和考虑需要时间,对于中小企业来说,这无可否认是一种很罕见的安全奢侈行为。即使这样,“制定一个紧急应对计划:预测一个成功的攻击,知道当攻击发生时怎么处理它”Abrams建议。特别的,雇员在他们的安全软件报告它们已经被恶意软件感染时他们应该向谁求助?
在计划紧急情况时,要尤其注意到法律的要求。例如,如果一个公司收集顾客的个人信息,全国有超过一半的州已经通过了一项称为数据破坏通知法案(data breach notification laws)要求公司在信息丢失,被窃,或怀疑已经被破坏时要通知所有的州居民。
7.备份是个优点
盗窃,飓风,龙卷风,破坏性的恶意软件,爆裂的管子,破坏的硬盘,电火花,生气的员工:假设数据已经备份,这些都和数据完整性无关了。当然每个人都知道他们应该备份,但是很少有人去做。因此,是由IT人士去保护这些数据。
考虑安装一个自动备份软件,为了防范物理灾难,确保最后的备份不是存储在站点上。如果要获得更方便的使用—虽然代价不低—聘请一项自动在线备份服务。
8.审核:仔细观察记录
“如果杀毒软件报警了,但是没有其它注意到这个,这是不是真正的病毒呢?”ESET的Abrams问“你必须审核你的记录并确认自己被攻击了吗?因为你的IDS报告你正在偏转这一切东西,那么你就会想知道,因为攻击者会不断转移攻击直到攻击成功”
即使那些没有入侵检测系统的中小企业仍会研究杀毒软件的记录来监视攻击,并保持对基本服务器安全设定的关注。“黑客会改变安全设定来确保他回来的时候更容易点,注意到有安全设定的变化通常是你发现攻击的第一个信号”他说。#p#
9.在预算方面的安全教育:要有创造性
在所有的公司里,有效的安全需要对人,过程,技术都加以注意—“但是安全中人这方面通常被忽视”Forrester 研究分析员Khakid Kark警告说。
为了解决这个,保持一个识别安全程序。一个好的开始是对所有的新雇员进行短期培训课程,了解规则:帮助桌面从来不需要密码,小心免费的Wi-Fi热点因为一些人可以监听所有的通信;使用旅馆的PC或者是机场的公用电话会很明显留下一份所有数据和连接的备份;而且千万不要打开任何看起来可疑的e-mail链接。
开展的教育不需要很贵;考虑以一种幽默而全面的方式达到安全的目的。以下是一些不规则的例子(对那些富有的大公司是显著的):为了让开发者制作更干净,更安全的代码,不只是谈了谈,一些志愿者组织了一系列的称为“Testing on the Toilet”的喜剧。相关的Google Testing Blog这样解释:“我们写下关于一切的文章,从插入依赖到代码覆盖,然后经常用有趣的插曲给所有Google上的浴室(bathroom)刷石灰,几乎500个世界各地的摊位”。操作模型很简单:“你需要它在一个你能看到的地方,你不能忽视它”。当反应从可笑(“这经常是由于我总是忘记把我的Linux Nerd2000的备份带到浴室”)到不好笑(“我正在使用我的浴室,你能不能让我单独待会?”),信息就泄漏出来了。
教导使用者,今天的顶部攻击(top attacks)通常不会犯下一些低级错误。当你只需要礼貌的要求就可以进入得到你想要的东西的时候,你为什么还要攻击进去呢?最近的一个例子是国税局的钓鱼攻击,它用一封内容为IRS正在进行顾客满意度调查的电子邮件作为开始,如果接受者点击了它上面的连接,弹出的页面只是要求他们的名字和电话号码,许若只要完成一个电话调查就给你80美元。但是,问题就是如果某些人打了这个电话,“IRS”需要一个信用卡号码来把所谓的钱放到里面,Abrams说“这就是他们怎样得到有用的信息”。
10.加密:设定它然后忘记它
保护丢失和被窃的信息不被滥用的最好方法是什么?考虑整个磁盘加密软件,它保证硬盘数据对没有合适认证的任何人都是无效的。“笔记本丢失总是在发生,笔记本被偷后,你最不想发生的事情就是偷了笔记本的那个人把顾客的信息在网上出售”NCSA的Teixeira说。
考虑在国家的数据破坏通知法案规定下,如果公司丢失了包含有居民敏感信息的机器,但是数据是加密的,通知就不是必要的了。根据Ponemon Institute规定,假设数据破坏要通知的平均开销是每个丢失客户记录为$182(不是每个客户),整个磁盘加密可以节省大量经费。
如果论证对控制金钱的那些人太抽象,尝试提到高规格数据破坏(highprofile data breaches),例子有TJX或者CardSystems(它自己是个小公司)。如果一个公司丢失了客户信息,预计至少有些客户会丢失。但是如果一个中小企业失去了信息,并尝试掩盖它或者反应很慢,一旦公开,法律和管理结束后,就像CardSystems表明的那样,不会再有生意了。
【编辑推荐】
