最近筆者的郵箱充斥著各種IT供應(yīng)商的信件聲稱自己的產(chǎn)品是防止類似索尼數(shù)據(jù)泄露事故的“靈丹妙藥”,但現(xiàn)實是,并沒有靈丹妙藥。但這并不意味著你沒有辦法防止你的公司淪為網(wǎng)絡(luò)罪犯的受害者。重要的需要認(rèn)識的是,有些數(shù)據(jù)泄露事故可能幾乎不可能阻止,但這只是少數(shù)。
首先,你要知道的是,雖然你不能通過技術(shù)完全解決數(shù)據(jù)泄露問題,你還是應(yīng)該繼續(xù)使用現(xiàn)有的技術(shù)(包括防火墻、電子郵件篩選設(shè)備、反惡意軟件和類似產(chǎn)品)來保持控制。這些技術(shù)確實有所幫助。通過利用最好的產(chǎn)品,你至少可以阻止大部分惡意攻擊,讓你可以專注于其他方面。
其次,雖然幾乎所有數(shù)據(jù)泄露事故都是因為可信員工或承包商犯錯誤的結(jié)果,但你不能認(rèn)為他們很愚蠢,而無法預(yù)防泄露事故。
KnowBe4首席執(zhí)行官Stu Sjouwerman表示,“他們只是在另一個領(lǐng)域訓(xùn)練有素的人,但企業(yè)不能簡單地認(rèn)為這些安全問題是愚蠢的用戶無法避免的問題,“要知道,愚蠢的用戶可能是CFO。”
他的觀點是,企業(yè)中很多員工并沒有接受過IT方面的培訓(xùn);或者安全方面的培訓(xùn),他們不一定會認(rèn)識到安全威脅。
戰(zhàn)略與國際研究中心的副主任Denise Zheng稱:“沒有辦法對愚蠢的用戶打補丁。”Sjouwerman并不認(rèn)同。事實是,對于在如何響應(yīng)網(wǎng)絡(luò)威脅方面犯錯誤的用戶,企業(yè)是可以打補丁的,即培訓(xùn),這并不需要太困難或者昂貴。只是需要連續(xù)培訓(xùn)。Sjouwerman的建議也得到很多安全專家的認(rèn)同,他們認(rèn)為,為了確保安全計劃的有效性,這需要涉及使用網(wǎng)絡(luò)的人。
雖然很明顯,你企業(yè)的員工是安全薄弱點,但我們也有辦法來減小(如果不能消除的話)這個問題,并且,這并不意味著你需要解雇所有員工。這就是說,企業(yè)應(yīng)該開展基本的一對一安全培訓(xùn),讓企業(yè)每個員工都了解安全威脅是什么樣。他表示,這并不是茶話會式的年度安全講座。
這需要員工與IT人員坐下來,了解實際網(wǎng)絡(luò)釣魚電子郵件長什么樣,他們可以如何發(fā)現(xiàn)安全威脅在透支其銀行賬戶。而且,還需要實際操作。這種一對一安全培訓(xùn)應(yīng)該對每個新員工開展。
Sjouwerman解釋說:“你至少可以在員工入職時進(jìn)行安全意識培訓(xùn),然后進(jìn)行定期模擬網(wǎng)絡(luò)釣魚攻擊。”他表示,這種網(wǎng)絡(luò)釣魚模擬攻擊可以使用真正的網(wǎng)絡(luò)釣魚郵件,而將原有惡意鏈接替換為通知IT的鏈接(當(dāng)有人點擊時)。這樣一來,員工就知道網(wǎng)絡(luò)釣魚攻擊是怎么回事,這可以幫助他們在未來避免這種攻擊。
另外值得一提的是,還需要得到管理層的支持。雖然有效的安全培訓(xùn)并不一定要花費很多時間,但這確實需要一定的時間和費用,因此,這需要管理層的關(guān)注。
重要的是,所有員工都應(yīng)該得到最初的安全培訓(xùn),然后重復(fù)的培訓(xùn)。網(wǎng)絡(luò)罪犯通常瞄準(zhǔn)高層管理人員,因為他們能夠訪問罪犯最想要竊取的數(shù)據(jù)。而在攻擊的最開始,他們通常會瞄準(zhǔn)最容易攻擊的對象,即那些沒有得到很好培訓(xùn)的人員。
京公網(wǎng)安備 11010502049343號