高級管理人員是惡意黑客和其他圖謀不軌者最喜歡的目標之一，部分原因是他們更有可能持有有價值的信息——或者對這些數(shù)據(jù)擁有較高的訪問級別。

 

這就是為什么組織必須確保高管和其他高級管理人員遵守最嚴格的數(shù)據(jù)保護標準，并盡可能使用合適的安全技術，包括在他們要去高風險的地點時。

 

商業(yè)和技術咨詢公司W(wǎng)est Monroe Partners的首席網(wǎng)絡安全架構師Wayne Lee表示：“高管成為目標是因為他們在組織內的權限和影響力，特別是那些能接觸到敏感經(jīng)濟數(shù)據(jù)或個人身份信息的高管。”

 

信息安全論壇(Information Security Forum)的總經(jīng)理Steve Durbin表示，任何獲取潛在價值信息的人都有遭受網(wǎng)絡攻擊的風險，該論壇是一個致力于調查和解決信息安全和風險管理關鍵問題的獨立組織。

 

Durbin說：“當然，這將包括常見的高管人員，但這不再限于董事會成員。個人助理、系統(tǒng)管理人員，幾乎任何有能力為決意尋找有價值的信息的網(wǎng)絡罪犯提供渠道的人現(xiàn)在都牽扯進來了。”

 

組織可以采取以下步驟來保護高級管理人員及其直接聯(lián)系人，使他們不會成為重大安全漏洞的切入點。

 

 

日理萬機的高管們不想為自己成為網(wǎng)絡攻擊的下一個目標而擔驚受怕。但這是他們需要思考的問題。

 

瑪利斯特學院(Marist College)的IT副總裁兼首席信息官們Bill Thirsk說：“高管要內化他們的目標。網(wǎng)絡攻擊者在追尋高價值目標之前，需要花時間觀察、規(guī)劃、實踐、磨練和強化自己的技藝。攻擊者享盡了天時地利——隱形、時間、欺詐，以及能發(fā)起指定的隨機攻擊的多重平臺——所有這一切都與正常的人類行為、好奇心以及對連通性的需求相抵觸。”

 

Thirsk說，人們必須了解高管的“數(shù)字足跡”，并且彌合作為實踐問題的差距。他說，高管們應該登記、確認和監(jiān)督社交賬號。

 

但讓高管支持保護措施頗具難度。SoCal Privacy Consultants的副總裁兼首席安全顧問Paul Boulanger表示：“我所看到的每一項統(tǒng)計數(shù)據(jù)都表明，高管們最不可能遵守他們期望他人遵守的政策。部分原因在于他們是非常愿意為了方便而犧牲安全的人。”

 

組織需要確保技術控制到位，而不是期望高管以安全的方式工作。Boulanger說：“例如，郵件服務器要強制智能手機啟用加密并啟用密碼鎖定才能允許人們訪問公司的電子郵件。如果高管或任何其他用戶禁用了密碼鎖定，則電子郵件訪問權限會自動取消。”

 

在某些情況下，約束對高管不起作用。Thirsk說：“我們發(fā)現(xiàn)，對于我們的文武雙全的高管來說，施加任何約束都是行不通的。他說：“與各種各樣的人交往需要接觸和關注，所以在高管的詞典里沒有‘限制’一詞。”

 

超前于威脅的唯一方法就是通過智能的，主要是自愿承擔的，明智的行為修正來保證線上的安全。高管不能單靠別人來保護他們。Thirsk表示：“他們必須能輕易辨別偽造的電子郵件地址、惡意鏈接或其它會泄露秘密的‘令人不快的’情境。

 

 

釣魚攻擊，以及最近的勒索軟件是讓高管提供黑客需要竊取的重要信息的常見方式。Thirsk說：“涉及到最近對領導者及其組織形成毀滅性打擊的威脅，釣魚攻擊和勒索軟件沒有得到應有的報道。董事會上往往沒有嚴肅地討論它們”

 

Thirsk說，高管們想接入最新的信息急流，這是再自然不過的事情，因為這種需求，他們有時很想點擊那些看似很重要或很有趣的信息。

 

同時，高管要求擁有一臺接入所有信息渠道的設備——商業(yè)的和個人的。Thirsk說：“集不同的安全要求于一臺設備必然釀成災難。

 

要不要讓高管相信這類攻擊的嚴重性并在事故發(fā)生之前說服他們采取措施，這是由IT和安全性領導者決定的。Thirsk說：“只有在高級管理層確信個人的和運營的網(wǎng)絡防御必須經(jīng)過詳細認真地討論，并執(zhí)意要修改行為時，才能實現(xiàn)這一點。”

 

網(wǎng)絡釣魚可以采取各種形式針對高級管理人員。

 

Lee說：“鯨釣攻擊(whaling attack)的復雜性有所增加，這種攻擊針對的是憑證信息的收集或從公司賬戶中進行電匯的要求。鯨釣用來描述專門針對高級管理人員、名人和公眾人物的網(wǎng)絡釣魚攻擊。

 

Lee說：“歷史上這些攻擊的成功率很高。高管因旅行積分釣魚攻擊(在他們的電腦上要求特權的那種攻擊)而受騙，這種篝火晚會式的故事并不少見，每一個故事通常都以高管成為某種類型的網(wǎng)絡攻擊的受害者而告終，這在某些情況下會導致公司級別的數(shù)據(jù)攻擊。

 

Lee說，謹記，黑客可以利用領英、Instagram、臉書等社交媒體上的公共信息來擬構攻擊目標的資料，這很重要。他說，這個配置文件可以用來定制網(wǎng)絡釣魚攻擊或用來脅迫攻擊目標。

 

 

請記住，電子郵件是針對高管的最常見的攻擊來源之一。事件服務提供商Hargrove的信息系統(tǒng)和技術總監(jiān)Barr Snyderwine說：“我們遇到了針對高管和財務部門的頻繁的，日益復雜的電子郵件攻擊。

 

Snyderwine說：“這是一種典型的欺騙攻擊(spoofing attack)，這種攻擊企圖欺騙某人向一個看似合法的網(wǎng)站或銀行打錢。最近這類攻擊用AP(應付賬款)打電話，假冒高管發(fā)送要求打錢的電子郵件。這很有趣，因為打電話很耗時。高管還從攻擊者那里收到欺騙其他高管打錢的電子郵件。”

 

Snyderwine說，用端點保護去除惡意軟件附件是一個不錯的做法。他說：“我們經(jīng)常更新，打補丁也很關鍵，一切都自動打補丁。”

 

此外，還要制定這樣的政策——任何電子郵件都要求發(fā)件人通過面對面或打電話的方式驗證，并得到另一位高管的確認。Snyderwine說：“培訓非常成功。我們的高管現(xiàn)在能識別欺騙郵件了。”

 

此外，每年要對高管和其他員工進行多次測試，以確保他們遵守有關電子郵件的政策。

 

 

高管在任何地方都有可能受到網(wǎng)絡攻擊的傷害，但是他們在海外出差時受到的威脅可能會特別大。

 

Lee說，對于離開本國組織的電子設備和媒體，組織應該擁有退登/登記程序和安全性指南。他說：“這包括在返回時對這些電子資源進行隔離和檢查。”

 

Boulanger說：“高管到世界某些高風險地區(qū)時，他們必須要有這樣一個期望：即旅途中攜帶的設備在跨境時必須得到復制。高管們應該采用‘含刻錄機’的筆記本電腦，這些電腦只包含他們在離線狀態(tài)時所需的東西，比如演示文稿。”

 

Boulanger說，他們要遠程訪問的任何數(shù)據(jù)應由安全的通道提供——如遠程桌面或虛擬專用網(wǎng)絡(VPN)，或者存儲在無法禁用硬件加密的U盤上。

 

Boulanger說：“高管回來時，應假定他們的筆記本電腦和其它數(shù)據(jù)存儲設備安裝了惡意軟件，并在重新使用或連接到企業(yè)網(wǎng)絡之前進行常規(guī)擦除。”

 

Hargrove有一個絕不使用公共Wi-Fi的標準政策，但這很難執(zhí)行，因為出差的員工很多。Snyderwine說：“我們提供Mi-Fi蜂窩單元，并鼓勵員工使用自己的手機熱點，并付費使用它們。這很管用。”

 

無論是在賓館、飯店、機場、會議場所還是其它地方，Wi-Fi網(wǎng)絡確實都是有風險的。圖謀不軌者可以設置一個簡單的假Wi-Fi熱點，以獲得一個高管的筆記本電腦或移動設備的訪問權，Lee這樣說道。

 

 

不言而喻，擁有強大的安全計劃首先將有助于減少或避免網(wǎng)絡安全攻擊對個人造成的損害。但這是防止針對高管的數(shù)據(jù)泄露的關鍵組成部分。

 

Durbin說：“我們認為不要從個人著手，而要從組織試圖保護的關鍵信息資產(chǎn)著手。這自然包括對可能易受大量攻擊(如魚叉式釣魚攻擊)的初級用戶進行評估。

 

這使人們得以發(fā)現(xiàn)——會遭到技術漏洞利用的未打補丁的系統(tǒng)、可用掃描工具發(fā)現(xiàn)的安全性較差的系統(tǒng)、攻擊者可以訪問的保護措施不足的無線網(wǎng)絡路由器，以及容易失竊或遭到復制的信息處置系統(tǒng)，Durbin這樣說道。

 

Durbin說：“無論你在考察哪一個領域，都要考慮到三種主要的威脅：對抗性威脅，偶然威脅和環(huán)境威脅，這很重要。確保信息及其用戶的安全所采取的方法將引導企業(yè)對適用于信息資產(chǎn)和用戶的安全控制措施進行開發(fā)和交流。”

 

例如，如果企業(yè)高度依賴散布在路途上的員工，那么實施全面禁用公共Wi-Fi的政策就毫無意義。

 

 

高管和其他員工一樣，需要得到有關安全的重要性的提醒。Durbin說：“如果有人要求這些人訪問敏感信息，他們最好著眼于加密、虛擬網(wǎng)絡解決方案，最重要的是教育和培訓。但是要把所有這一切都與商業(yè)利益聯(lián)系起來——個人采取更安全的方法來使用和共享信息所帶來的商業(yè)利益。”

 

咨詢公司AsTech Consulting的首席安全策略師Nathan Wenzler表示，高管必須定期參與安全意識培訓，對指定的工作站、筆記本電腦和移動設備進行定期更新、打補丁，并在必要時使用VPN和其它安全通信技術。

 

Wenzler說：“安全團隊應該用額外的指導方針和為高管提供的細節(jié)來增強標準員工安全意識培訓，由于高管的職位更面向公眾的一面，安全團隊要強調高管所面臨的更大的風險和信息曝光。鼓勵人們對高管如何以及為什么會成為具體的目標形成更高的認知，這將在社交工程攻擊還沒得逞之前加大它們被發(fā)現(xiàn)和受挫的可能性。”

 

Durbin說，約束可能會產(chǎn)生短期的影響，但是如果你不能得到高管的全力支持并表明限制所帶來的商業(yè)和個人利益，約束就會失靈，因為用戶會發(fā)現(xiàn)使他們得以完成工作的變通方法。

 

Durbin說：“現(xiàn)如今，有效的安全比以往任何時候都更需要了解信息如何在生命周期的所有階段、在一天中的任何時段以及在各個地點得到訪問和利用。而最重要的是，它需要了解所有接口中最復雜的接口——用戶。”

 

版權聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。