员工无意犯下的错误、笔记本电脑被偷、承包商未经授权访问信息、满腹牢骚的员工、密码管理不当……所有这些因素意味着收入大幅减少、承担法律责任、工作效率降低以及品牌形象受损。
下面介绍几种主要的内部安全威胁以及如何避免的方法。
一、内部员工中了网络钓鱼的招
鱼叉式网络钓鱼(spear phishing)是一种企图利用电子邮件来实施欺诈活动的伎俩,针对某家特定的组织,企图擅自访问机密数据。据弗雷斯特研究公司的高级分析师Paul Stamp声称,虽然这种攻击谈不上是一种新出现的现象,但变得越来越狡猾。
Stamp说:“过去,网络钓鱼攻击往往来自某个被废黜的尼日利亚国王的请求。如今,网络钓鱼攻击几乎到了以假乱真的水平。”
造成后果:蒙在鼓里的员工向不怀好意的入侵者泄露了从密码到财务数据的各种机密信息。由于这些内部员工无法识别欺诈性网站和伪造的电子邮件消息,实际上向犯罪分子敞开了公司原先紧闭的大门。
难怪鱼叉式网络钓鱼攻击出现了数量激增的势头。赛门铁克探测网络(Symantec Probe Network)在今年上半年共检测到了166248封不同的网络钓鱼邮件,比去年上半年增加了6%。赛门铁克还阻挡了超过15亿封的网络钓鱼邮件,比去年上半年增加了19%。
解决办法:对付网络钓鱼的策略包括部署可显示网站实际域名的反网络钓鱼工具条,另外维护知名网络钓鱼网站名单,供员工查询。美国系统管理、网络和安全学会(SANS Institute)的研究主任Alan Paller表示,但是许多公司可能会忘了培训IT人员、开展公司安全意识活动。他建议,而是应当“针对内部员工开展善意的鱼叉式网络钓鱼演习活动….. 除此之外,没有其他解决办法。”
二、笔记本电脑不受控制
你不小心把笔记本电脑落在酒店、结果给清洁工捡到,带来的不仅仅是麻烦。据软件安全公司赛门铁克声称,笔记本电脑或其他数据存储介质被偷或丢失占到了与身份失窃有关的所有数据泄密事件的54%。
而这还不是全部。笔记本电脑被偷或丢失会导致公司遭受重大经济损失。计算机安全学会联合联邦调查局开展的计算机犯罪与安全调查显示,笔记本电脑被偷和专利信息被偷是导致调查对象遭受经济损失的第三大和第四大根源。不过,多达47%的调查对象在去年遇到了笔记本电脑/移动设备被偷事件。
笔记本电脑并不是惟一的安全风险。iPod播放器、“黑莓”手机和闪存棒等便携式设备拥有前所未有的磁盘存储功能,同时它们也带来了危险。这些小型工具不但让用户可以绕过防火墙之类的边界防线,还让员工可以把专利信息带到公司外面。更糟糕的是,Gartner公司估计,只有大约10%的企业针对可移动存储设备制订了相关的安全政策。
解决办法:公司应当要求员工使用启动密码来保护笔记本电脑,那样即使笔记本电脑被偷,至少数据对窃贼来说也毫无用处。要养成这种习惯:及时从所有便携式设备清除旧的电子邮件、文本消息、通话记录以及不需要的文件。
员工充分利用设备的内置加密功能和密码保护特性,这始终是个好主意。比方说,金士敦公司的绝密版锐盘(Data Traveler Elite Privacy Edition)这款USB闪存盘就能通过基于硬件的128位AES加密技术,动态保护全部数据的安全;如果密码连续输入25次、每次都失败,就会把潜在用户拒之门外。
三、不是存心的访问和满腹牢骚的前任员工
为一家公司工作有许多好处,其中之一就是你可以访问从电子邮件系统到人力资源工资系统的多个计算机系统。不过正是这种访问权,可能会危及到关键任务型应用软件的安全性。尽管如今的用户配置系统很先进,但许多IT管理员实在没有太多时间来主动更新用户的访问权限。
实际上研究表明,可能在员工离开公司4个月之后才会取消前任员工的用户权限。在这个时间段内,你无法知道满腹牢骚的员工可能会给公司的关键业务系统带来什么样的破坏。
解决办法:现在市面上有许多厂商承诺可以简化用户配置过程。比方说,Entrust公司提供的解决方案就能够自动执行安全政策、并且授予用户配置管理权限,这有助于保持安全级别,同时管理数量众多的用户。另一个例子是Courion。Courion公司的AccountCourier是一款自动化的用户配置解决方案,可以立即授予、取消或修改访问任何操作系统、应用程序、门户网站或其他IT资产的权限,而不需要人工干预。
四、未及时打上安全补丁
这是一个让人遗憾的现实。面对新发现的安全漏洞,许多安全厂商并非总是能够迅速提供必要的保护。实际上,赛门铁克声称,它研究调查的所有操作系统厂商都存在补丁开发时间过长的问题。
然而使问题进一步复杂化的是,许多IT管理员实在不堪重负,无力确保安装了最新更新程序、打上了最新补丁。结果就是,众所周知的病毒屡屡成功闯入如今的一些大企业。
赛门铁克安全响应中心主管Oliver Friedrichs说:“如果你没有安装最新的安全更新程序和最新的反病毒检测机制,肯定会遭到一些最新威胁的攻击。”
解决办法:补丁管理软件和服务大大减轻了如今管理员们肩上的负担。Ecora公司的补丁管理器(Patch Manager)可以自动发现系统、自动评估补丁,并且自动把补丁安装到工作站和服务器上。Novell公司的ZENworks补丁管理产品非常适用于异构的IT环境,能够向管理员通知每个服务器、台式机和笔记本电脑上到底存在哪些补丁和安全漏洞。另外还有AdventNet公司的 SecureCentral PatchQuest,这款自动化补丁管理软件可用于在Windows、Red Hat和Debian Linux等各系统组成的网络上,分发及管理安全补丁、热修复程序(hotfix)和更新程序。
五、对电子邮件不重视
刚发到你收件箱里面的玩笑性质的电子邮件可能一点也不好玩。Stamp警告说:“我们目睹的许多安全威胁往往与电子邮件有关。”出站电子邮件引起的数据泄漏是最让人担心的威胁之一。据波耐蒙研究所报道,69%的组织声称,严重的数据泄漏事件是由恶意的员工活动或非恶意的员工失误引起的。但即便最无辜的邮件也会带来麻烦。
如惹得某个员工咯咯发笑的某封电子邮件可能严重冒犯另一个员工,结果承担法律责任。更不用说电子邮件还能充当罪证了。比方说,几封内部电子邮件导致制药业巨头美国家庭产品公司(American Home Products Corporation)被判处35亿美元的巨额罚金,原因就是集体诉讼指控该公司生产芬-芬(Fen-Phen)和右芬氟拉明(Redux)这两种减肥药。
解决办法:严格的使用政策可以禁止员工通过不安全的电子邮件发送敏感信息。电子邮件内容扫描技术也能助一臂之力。比方说,IBM公司的Expresses管理安全服务就能够在电子邮件到达网络之前进行扫描及监控,从而确保电子邮件里面不含任何危害性或破坏性的内容。而MessageLabs公司的边界加密(Boundary Encryption)服务让公司可以在自己与合作伙伴之间建立起一个安全、专用的电子邮件网络,从而确保加密邮件的端到端传送。
【编辑推荐】