最近笔者的邮箱充斥着各种IT供应商的信件声称自己的产品是防止类似索尼数据泄露事故的“灵丹妙药”,但现实是,并没有灵丹妙药。但这并不意味着你没有办法防止你的公司沦为网络罪犯的受害者。重要的需要认识的是,有些数据泄露事故可能几乎不可能阻止,但这只是少数。
首先,你要知道的是,虽然你不能通过技术完全解决数据泄露问题,你还是应该继续使用现有的技术(包括防火墙、电子邮件筛选设备、反恶意软件和类似产品)来保持控制。这些技术确实有所帮助。通过利用最好的产品,你至少可以阻止大部分恶意攻击,让你可以专注于其他方面。
其次,虽然几乎所有数据泄露事故都是因为可信员工或承包商犯错误的结果,但你不能认为他们很愚蠢,而无法预防泄露事故。
KnowBe4首席执行官Stu Sjouwerman表示,“他们只是在另一个领域训练有素的人,但企业不能简单地认为这些安全问题是愚蠢的用户无法避免的问题,“要知道,愚蠢的用户可能是CFO。”
他的观点是,企业中很多员工并没有接受过IT方面的培训;或者安全方面的培训,他们不一定会认识到安全威胁。
战略与国际研究中心的副主任Denise Zheng称:“没有办法对愚蠢的用户打补丁。”Sjouwerman并不认同。事实是,对于在如何响应网络威胁方面犯错误的用户,企业是可以打补丁的,即培训,这并不需要太困难或者昂贵。只是需要连续培训。Sjouwerman的建议也得到很多安全专家的认同,他们认为,为了确保安全计划的有效性,这需要涉及使用网络的人。
虽然很明显,你企业的员工是安全薄弱点,但我们也有办法来减小(如果不能消除的话)这个问题,并且,这并不意味着你需要解雇所有员工。这就是说,企业应该开展基本的一对一安全培训,让企业每个员工都了解安全威胁是什么样。他表示,这并不是茶话会式的年度安全讲座。
这需要员工与IT人员坐下来,了解实际网络钓鱼电子邮件长什么样,他们可以如何发现安全威胁在透支其银行账户。而且,还需要实际操作。这种一对一安全培训应该对每个新员工开展。
Sjouwerman解释说:“你至少可以在员工入职时进行安全意识培训,然后进行定期模拟网络钓鱼攻击。”他表示,这种网络钓鱼模拟攻击可以使用真正的网络钓鱼邮件,而将原有恶意链接替换为通知IT的链接(当有人点击时)。这样一来,员工就知道网络钓鱼攻击是怎么回事,这可以帮助他们在未来避免这种攻击。
另外值得一提的是,还需要得到管理层的支持。虽然有效的安全培训并不一定要花费很多时间,但这确实需要一定的时间和费用,因此,这需要管理层的关注。
重要的是,所有员工都应该得到最初的安全培训,然后重复的培训。网络罪犯通常瞄准高层管理人员,因为他们能够访问罪犯最想要窃取的数据。而在攻击的最开始,他们通常会瞄准最容易攻击的对象,即那些没有得到很好培训的人员。