日前,在今年第四个也是***一个美国国家网络安全宣传月( NCSAM)期间,安全风险信息解决方案提供商Rapid7讨论了云,以及如何避免云风险等问题。
此前,Rapid7的话题涵盖钓鱼、BYOD和密码保护。
本周Rapid7的主题是云,旨在帮助员工使用云服务时避免一些安全风险。
“一些机构会为其员工选择制定完整的没有云服务的政策并有足够的资源去执行,但对于绝大多数的安全团队而言,防止数据泄漏到云的唯一途径是正确教育员工认识固有风险,”Matt Hathaway公司高级产品经理表示。
没有人期望你是一个安全专家,但希望你能保持警惕,熟悉公司的政策,如果有疑问一定要联系安全团队。切记,尽管云应用看起来非常***和专业,但你根本无从知晓此时公司已经暴露了什么级别的风险。在此有一些基本的技巧来减少这种风险:
Ø 与IT/安全团队合作:当你开始考虑使用一个新的云应用程序时,务必考虑与IT和安全团队协作。他们会基于你的预算和需求筛选出潜在选项,然后为你审查程序。IT和安全人员清楚地了解你想要达到的目的,能***程度地确保你得到全部利益且规避许多额外的风险。
Ø 不要未经许可在线储存信息:当你使用一个云解决方案时会发现,你认为将数据存储到公有云是理所当然的。但是可曾考虑过存储什么样的数据?或者供应商是如何存储和保护这些数据的?我们有责任保护数据安全,但第三方供应商或许不会认为他们也应分担这份责任。向IT人员征求意见会知道在线存储数据是否安全。
Ø 不要用私有云储存工作文件:能够在家使用在线服务存储多媒体文件确实非常诱人。拥有一个访问公司信息的帐户,这样无论身处何处都可以工作。使用你的个人帐户似乎是一个最简捷的办公途径,但事实并非如此。向IT求助,我们会被告知一些能够得到企业认可的方法,之后可启动并运行。
Ø 不要共享公司文件的权限:在公司里严格限定访问特定类型信息的员工身份是一个标准的做法,这有助于保护信息安全。同样,共享访问存储在云的文件时,应与公司经理或IT人员事先商议。
Ø 不要共享密码和其他访问凭证: 共享云服务的访问凭证在企业团队中是非常常见的。这本质上是一种不安全的行为,同样不安全的行为还包括电子邮件认证,随手写下密码,或者使用非常弱且容易被猜到的密码。这些行为增加了使用云服务的风险,应该坚决予以避免。
