一个员工是钓鱼的受害者能让攻击者轻易击败最好的保障体系。但是专家说技术可以至少部分胜过这些人性的弱点。它必须被部署和部署。
已是不争的人为错误,无知和/或恶意的威胁比缺陷在线企业安全技术。一个员工是钓鱼的受害者或将受感染的u盘放入一个工作站可以让攻击者轻易击败最好的保障体系。
但是专家说技术可以至少部分特朗普这些人性的弱点。它必须被部署和部署。
和部署显然是问题的一部分,“最小特权管理”(升分钟)——一种网络相当于政府的安全许可。不仅在一定程度上被清除,你也必须有一个“需要知道”的东西再被允许访问。
行分钟基本上授予特权应用程序而不是用户,只有那些需要访问的目标会得到它。虽然它显然不会完全消除人为错误的风险,它将减少。
这个概念已经存在了几十年。,j·沃尔夫冈•格利希曾信息系统和信息安全经理密西根金融服务公司,说,“第一次明确喊Multics操作系统作为设计目标,杰罗姆·萨尔兹在1974年的一篇论文中。”
但是,看来,到目前为止,它还没有变成主流。Verizon的2012年的数据违反调查报告发现违反的调查,96%的人不高度困难的攻击者,97%通过简单的或中间控制本来是可以避免的。
行分钟落在那些简单或中间控制Verizon指出,企业可以节省很多巨大的悲痛,Goerlich说。他和其他专家说这将使一个系统或网络防弹,说,但格利希曾“这提高了标准通过减轻一些攻击和提高其他攻击的复杂性。”
鲍勃•鲁迪的企业信息安全和风险管理总监自由共同表示,并不能保证安全,但改善它。“这是几乎不可能占所有类型的用户交互系统,”他说。“(但)在相当小的应用程序或集中,正确实施最小特权将固体,几乎unusurpable控制。”
(见相关:安全威胁解释说:内部过度特权]
丹尼Lieberman软件Associates的首席技术官升分钟有点缺乏自信,注意的是,一个员工可以升分钟左右。“如果一个员工想要访问数据,她总是可以社会工程师的同事,”他说。“不是不知情的员工,而是恶意攻击者的主要威胁。”
威瑞森的报告说,98%的数据违反2011年来自外部代理,但它也表明,这些攻击的成功使部分是由于人为错误或无知。它说:“我们强烈鼓励组织运行系统最小特权模式”。
然而,行分钟的另一个问题是,它并不总是简单决定谁应该获得特定的应用程序或区域。
“在一个理想世界里,员工的工作描述、系统权限、和可用的应用程序所有的比赛,”Goerlich说。“人有正确的工具和正确的权限来完成一个良好定义的业务流程。”
“真正的世界是混乱的。员工经常有灵活的工作描述。应用程序需要更多的权限比业务流程需要,”他说。“这意味着取舍,以确保人们可以做他们的工作,这总是意味着提升系统的特权,必要的应用程序功能。但没有进一步。”
马克·奥斯汀Avecto的联合创始人和首席技术官在最近的博客中哀叹道任何值得升分钟系统必须考虑安全性和用户体验。“糟糕的用户体验将不可避免地导致不愉快的解决方案的用户和排斥,不管它让端点更安全,”他写道。
除此之外,专家是否将有不同的意见更多的安全培训努力是完全值得的。鲍勃•鲁迪安全培训研讨会,自称是“一个相当直言不讳的倡导者意识程序。”
“意识是一个完整的安全计划的战略组成部分,”他说。“这是不够的培训员工,也不够他们曾经谈论安全意识。它必须是一个连续的生态系统的一部分,文化在一个组织。”
利伯曼对培训的有效性不那么热情了。“在某些类型的组织,安全意识就像是写在水上,”他说。“美国政府是一个例子。”
“如果你在你的口袋里有一美元我就告诉你把钱花在数据丢失检测,而不是花哨的访问管理工具,”他说。
这并不意味着他认为员工应该得到通过,然而。“我不会把时间浪费在安全意识培训,但我想高层管理人员以身作则,说清楚,滥用公司的可接受的使用政策将导致立即终止没有遣散费,”利伯曼说。
“像前英特尔董事长兼首席执行官安迪·格鲁夫曾经说过,“有点害怕在工作场所不是一件坏事。”
这个故事,“特权管理可以减少漏洞——如果是用“最初发表的方案 。