WannaCry病毒是感染大量運行Windows XP系統的計算機的惡意軟件的名稱。用戶如果想到登錄只能面對贖金要求,在倒數計時器和比特幣錢包面前,有的交納了贖金。數以千計的NHS患者的數據已鎖定,其中包括一些計劃進行的手術。
許多中小企業不了解他們的數據在多大程度上處于危險之中,并且經常不知道從哪里開始處理這個問題。 2015年,英國政府發布新聞稿呼吁,表示企業需要計劃進行網絡攻擊。研究顯示,多達90%的大型企業和74%的中小型企業遭受信息安全漏洞的攻擊。
可以理解的是,大部分的小企業主并不十分重視這個危險,也許沒有意識到像社交媒體或者U盤這樣的東西留在錯誤的地方就足以讓整個組織處于風險之中。如果你在這個團隊,你應該開始審查風險并制定安全程序。這個指南為人們提供了一個起點,可以立即實施五個步驟來提高企業的安全性。
1.找出風險,并記錄它們在哪里
確保企業免受網絡威脅的起點是通過全面的風險評估來確定它們的位置。這一步將向你展示企業所擁有的可能是網絡黑客可能會感興趣的內容。請記住,客戶數據通常是最重要的保護對象,因為盡管與研究數據或知識產權相比,其丟失的直接成本可能很小,但是企業因為罰款和訴訟可能會損失更多。此外,企業的公眾形象的成本和客戶信任的損失可能需要數年才能恢復。
考慮企業所有的數據,以及來自哪里,存儲在哪里,哪些人可以訪問它們,以及他們必須通過哪些安全程序來實現。這些措施是否足夠安全?是否使用雙因素身份驗證(超出基本密碼保護的額外安全性)?內部員工是否值得信賴?企業是否有嚴格的協議,政策或自動限制來保護自己的網絡,電子郵件和其他系統?企業是否加密網絡上的數據,是否安全地處理廢舊電腦?企業的相關管理人員應該問自己所有這些問題。
如果企業的員工正在使用個人筆記本電腦和手機辦公,那么可能需要制定書面政策,以防止他們有影響系統安全性的活動。或者如果他們使用公司提供的設備,企業可能需要關于他們在家中使用的系統的規則,或者他們如何在辦公室使用社交媒體。對于數字安全,定期組織人員培訓是任何組織必須的措施。
2.跟蹤內部和外部的風險
一旦企業確定并記錄了所處于危險之中的位置,那么下一步就是將注意力集中在那些可能危及企業業務安全的那些居心不良的人身上。了解可能威脅到企業網絡犯罪的種類,以及它們通常如何進行,以便企業可以更好地保護自己。網絡犯罪分子形形色色,雖然企業更有可能受到外部的威脅,但組織中的內部員工也同樣具有風險。
一個危險是“秘密黑客”,他們作為員工加入公司,以便輕松訪問其安全系統并竊取數據。居心不良的雇員也可能愿意幫助網絡攻擊者換來一筆資金。或者也許一個感到委屈的工作人員想爭取到業務獲取秘密。這種情況是罕見的,所以企業雖然不必分析工作人員每個行為,但重要的是要意識到這一威脅。
3.確定系統的薄弱點
現在,企業應該明確了解誰可能針對其業務,以及他們在哪里,企業應該對自己的可能吸引這些攻擊者的資產進行評估。接下來,必須先找到數據安全性中的任何弱點。企業可以使用各種方法分析自己的系統和網絡的安全性,其中一些工具甚至是免費的。這些工具可使企業的軟件保持最新狀態,并識別已知的漏洞。
入侵檢測和預防系統(IDPS)與防火墻類似,除了識別出網絡外的可疑活動之外,還可以識別內部威脅。顧名思義,這些系統還可以保護企業的網絡免受其他的威脅。
滲透測試是保持系統安全性的另一種有用方法,企業應該定期使用它。滲透測試模擬攻擊,以檢查企業的IT系統和網絡是否存在網絡犯罪分子可能利用的弱點。滲透測試報告還提供了解決方案和建議,幫助企業降低違規風險。
4.確定威脅的影響及其發生的可能性
業務影響分析可以幫助企業識別各種網絡安全漏洞的可能結果。這種違規行為可能會帶來超出經濟損失的影響。例如,企業的業務可能會受到影響,因為企業采取步驟從影響中恢復,并采取新措施,以防止未來的襲擊,以及對企業的公眾形象的任何損害,信任評級將對企業與現有和潛在的新客戶以及新聞界的關系產生嚴重影響。認真對待這一威脅至關重要:60%的小公司在網絡犯罪受害者的半年內倒閉了。
不同類型的攻擊可能對組織中的不同人員產生影響,攻擊規模也將決定企業范圍的程序和協議的更改是必要的,或者決定本地團隊是否可以解決問題。制定業務連續性計劃,以準備和處理可能出現的任何問題。或者,如果企業想更進一步,請考慮實施網絡安全事件響應計劃。
5.優先考慮風險并開始解決
現在企業知道可能會失去什么,以及如何可能受到攻擊,那么企業應該可以確定其最緊迫的安全問題。首先制定一份優先事項清單,逐一處理,制定必要的措施,使其業務盡可能安全。企業應該廣泛測試其所做的任何更改,以確保它們正常工作,并且不會妨礙業務正常運行。其中一些步驟可能需要外部援助,可以尋求IT服務提供商的幫助,以確保企業的系統安全。
盡管網絡黑客最有可能對企業有著很大的興趣,但請不要忘記,企業的內部員工仍然是IT安全的最大威脅。這并不意味著他們會破壞企業運營,但是由于他們不一定了解所使用的技術或各種網絡威脅,所以需要進行定期的培訓,以確保他們識別和應對最新的風險,意識到風險的重要性。讓內部工作人員閱讀和簽署制定最佳實踐的策略是鼓勵安全行為和確保問責制的另一種方式。
企業永遠不能保證自己完全免于網絡攻擊的隱患,所以重要的是,如果發生最壞的事情,企業必須做好準備。確保組織中的每個人都知道風險,并確切知道如何回應。這個過程包括確保他們已經接受了在這項任務中取得成功所需的培訓和資源。
京公網安備 11010502049343號