就像詹姆斯·邦德系列电影中的情节一样,哪怕是像军情六处特工这样“复杂高端”的人物,有着近乎无穷无尽的预算和一大票高科技小玩意,也必须在想要渗透进建筑物或系统时提前了解部署的安全措施。
尽管网络犯罪团伙并没有邦德的资源,他们仍旧是复杂高端而资金充沛的,这意味着你必须继续努力,缩小企业的威胁平面(Threat Surface)。
在你为2016年着手进行计划时,以下是7条建议,可以让你的企业向军情六处级别的安全性能靠拢,却不需要国家级的预算:
001. 为新员工配备自动到期的身份凭据
我们希望企业的招工过程不会像雇佣特工那样竞争激烈,但在一天结束的时候,也并不是每个报名的人都会获得工作。为了减少未授权访问的风险,应当部署政策,要求系统管理员总是给新员工发放有期限的凭据。如果进行临时雇佣,这是最好的做法,但如果你的企业提供了入职考察期,应当考虑在期限结束的时候发放凭据,以防万一。如果事情出了岔子,重新发放证书总比急急忙忙撤销证书来得好。
002. 双因素认证阻止隐藏行为
对高安全需求的系统而言,部署多形式的认证几乎已经成了公认的标准,它并不是政府机构的专利。如果员工的凭据被钓鱼或者失窃,对面向互联网的应用部署双因素认证将防止它们受到滥用。大多数人并没有意识到的是,政府或类似机构配备的高级双因素认证系统足够保护当今的大多数信息,而且它们比人们通常认为的更加容易部署。
003. 只对双眼加密
由于通过密文或自毁消息进行日常沟通相当低效,而且很可能存在危险,你的最佳选项是部署一个系统,在过滤并扫描邮件后进行自动加密,这会防止公司的数据丢失。对更加“顶级机密”的任务而言,考虑投资一些基于托管的解决方案,它们必须能够实现加密、发送、返回到发送者、删除包含不安全内容的邮件。由于采取了托管,就不需要对硬件、证书或者其它昂贵的一年期更新证书进行投资。你只需要支付每月的费用,就能获得军用级别的加密。
004. 对所有人进行蒙克顿堡式的培训
英特尔安全(Intel Security)最近发布的一项报告称,96%的用户无法每次都正确分辨出真实的电子邮件和钓鱼邮件。网络攻击成功的主要原因在于它们利用了人为的错误:忽略更新警告、不小心点击链接。虽然不需要把员工都送到蒙克顿堡,你仍然需要定期在企业内进行检查,发现有哪些人需要更多的安全意识培训。你可以考虑给员工发送假钓鱼邮件进行测试,看看有哪些人犯错误。此外,还可以考虑额外的训练,将非公司品牌的U盘放在办公室里,看看谁会把它们插到笔记本电脑上;事先在U盘中存上一份文档,解释将U盘插到笔记本电脑上可能会感染他们的设备,甚至是企业网络。这些测试的目的不是惩罚员工,而是检测他们在真正的威胁面前会不会很容易犯错误。
005. 身份和访问管理,防范双重间谍
间谍并不是唯一担心自己受到出卖的群体。Intermedia公司新近的调查显示,28%的IT专家都曾登陆过离职员工的电脑,五分之一的80后表示会从公司拿走对自己有用的数据。多亏了先进的身份和访问管理工具,企业不仅可以监控并禁用应用的具体功能,还可以对特定的动作进行截屏,在用户登录后详细跟踪记录其行为。
006. 单点登录,简化手头的任务
有前瞻性的企业正不断为员工寻找新的工具和应用,使他们的工作更加富有成效。这使得如今的员工日常往往需要登录十来种云服务,哪怕是詹姆斯·邦德本人也很难记住它们的密码。部署单点登录方案可以让用户使用单一密码进行一站式登录。此外,高级版方案可以自动为每个用户创建独立的、按周期变化的强密码,而这一过程完全不需要用户操心。单点登录可以提高安全性和效率,你的员工只需要记住马提尼是不是需要用摇壶调制就可以了。
007. 第三方供应商,你的同袍弟兄
中情局、军情五处、军情六处、联邦调查局等等机构会时不时地合作完成某项任务,企业和供应商之间的关系也应当如此。我们经常说到来自第三方供应商的风险,但很多企业并没有意识到合作的供应商也可以带来帮助。如果你计划将企业数据存储在云端,与安全信誉很好的云供应商进行合作,可以在迁移数据的同时提供无缝的保护。