阻止一個目的明確,富有經驗的對手入侵,這或許不太可能,但基本的安全工作可以阻止大多數的入侵,這一點在本周波士頓學院網絡安全小組會議上得到一致認可。
如果他們只是鎖好自己網上的門窗,那么大多數企業就可以消除超過75%的網絡入侵風險。
這是星期三在2017年網絡安全波士頓會議上就網絡風險問題的小組討論中主要結論之一,該會議由美國聯邦調查局和波士頓大學伍茲高等研究學院聯合發起的。
該會議議題為“您管控好自己的網絡風險了嗎?來自法律方面和CISO角度的挑戰”,該會議由Cynthia J. Larose主持,她是Mintz Levin律師事務所隱私與安全實務工作的合作伙伴和主席,該小組會議成員來自多個工業部門、教育部門和政府機構。
人們普遍認為,雖然在工作場所人們對網絡風險有更高的認識,復雜的技術和人類弱點所構成的綜合挑戰意味著,太多的企業仍然是攻擊者“唾手可得”的目標。
E.J. Yerzak是“Ascendant合規管理公司”的合伙人,他與多家金融行業公司合作,包括投資顧問公司,他說,他經常遇到“落后于當今形勢”的公司。
“在網絡安全策略和計劃方面,他們無任何書面文件,”他說,“這是一個大麻煩,因為某領導認為發生的事情和實際發生的事情之間存在著距離。”
他說,一家公司的CEO自信地告訴他,他的公司根本不使用云服務。“但通過我和其他部門交談,他們正在使用幾乎所有的云服務,包括Dropbox等服務,”他說。
從事消費者權益保護工作的馬薩諸塞州助理總檢察長Sara Cable稱這個故事“令人興奮”,并說道,這不僅有可能違反馬薩諸塞州的法律,而且也極度缺乏商業頭腦。
“我們對法律無知的容忍度正在迅速降低,”她說,“但我們也在談論商業資產。許多網絡攻擊其實并不復雜,很容易進行防范。這就像人們在嘗試推開各家的門,來看看哪扇門未鎖,然后他們就找到了很多敞開的門。”
塔夫斯大學信息安全主任和首席信息安全官(CISO)Lorna Koppel說,她最難處理的問題是人為因素,部分原因是由于存在不同的人員群體,包括學生、行政人員、工作人員和教師,他們在意識上都有不同的重視程度和水平。
“很多人不了解風險,”她說。“他們認為,‘沒有人會在乎我的電子郵件。’人們都想做正確的事情,但挑戰讓他們必須面對。”
Yerzak說,這些人類弱點是他所看到的大多數來自內部威脅的原因,“善意”的員工可能在工作數小時之后“試圖幫助”攻擊者,而該攻擊者假扮成有緊急請求的顧客。
“他們點擊一個鏈接,打開一個附件,然后惡意軟件進入系統,”他說。“我們看到目前勒索軟件的猖獗傳播。所有的控制手段、策略和程序都無法克服人為因素。”
Cable想知道,“為什么我們不能嵌入一些小提示,彈出一個東西,詢問你是否確定要點擊鏈接。”或者為什么高層管理者不能定期發出一些政策聲明,比如“我永遠不會發電子郵件來索要某些信息。”
“有一些簡單的小技巧就很有幫助,”她說。
Larose建議,“應該更經常性地提醒,而不只是通過年度安全意識培訓會議”,使員工對安全工作保持更高的意識和更大的關注。
Cable說道,在她看來,企業最重要的事情就是不要讓這些對復雜攻擊的恐懼使他們無能為力。“復雜的攻擊是極為罕見的,”她說。“偶發性攻擊更為常見,作為一個企業,如果你花一點時間做一些工作,比如查看一下您都有什么敏感信息?這些信息都存放在哪里?這些信息在向哪里移動?然后采取措施進行保護,這樣的話,這些偶發性攻擊都是可預防的。”
“法律需要做出合理的努力,但它并不完美,”她說。“我認為我們應賦予人們一定的能力,來讓他們做一些不太復雜的預防工作,這是可行的。”
京公網安備 11010502049343號