2014年,安全漏洞再次成为重大新闻。然而,尽管多年来有关安全漏洞和分布式拒绝服务(DDoS)攻击的头条报道,以及安全专业人士一再告诫企业(和个人)需要更好地保护敏感数据,但许多企业仍然没有做好准备,或没有得到适当保护,免受各种安全威胁。
事实上,根据Trustwave最近2014年风险状况报告调查了476名IT专业人员的安全弱点,大多数企业没有或只有一部分系统用于控制和跟踪敏感数据。
那么,有什么可以做的公司,以更好地保护自己和客户的敏感数据受到安全威胁?CIO.com查询数十名保安和IT专家来了解一下。以下是六个最可能的来源,或原因,安全隐患的,哪些企业可以而且应该做些什么来保护反对他们。
风险1:不满的员工
“内部攻击是您的数据和系统面临的最大威胁之一,”Cortney Thompson说,他是绿屋数据. 他说:“流氓员工,特别是对网络、数据中心和管理帐户有了解和访问权限的IT团队成员,可能会造成严重损害。”。事实上,“有传言说索尼的黑客攻击不是朝鲜所为,而是一个内部工作。雷竞技电脑网站
[相关:索尼黑客是一个公司网络战争的游戏改变者]
解决方案:执行副总裁亚当•波斯尼亚(Adam Bosnian)表示:“降低特权账户被利用风险的第一步是识别所有特权账户和凭证,并立即终止那些不再使用或与不再在公司工作的员工有关联的账户和凭证。”,赛博方舟。
[相关:当流氓IT员工攻击:8个组织被烧毁]
“下一步,密切监测,控制和管理特权凭证,以防止剥削。最后,企业应采取必要的协议和基础设施来跟踪,记录和记录特权帐户活性和创建警报,以]允许一个快速响应的恶意活动和攻击周期的早期减轻潜在的损害。”
风险2:粗心大意或不知情的员工
“一个粗心的员工在出租车上忘记(他)解锁的iPhone,就像一个不满的用户恶意向竞争对手泄露信息一样危险,”首席执行官雷•波特说,SafeLogic。同样的,谁没有在最佳安全实践培训,并有弱口令的员工,访问未授权网站和/或点击可疑电子邮件或打开电子邮件附件链接会对雇主的系统和数据的安全带来巨大的威胁。
解决方案:“关于网络安全的最佳实践培训员工和提供持续的支持,”比尔·凯莉,市场营销部副presdient说RoboForm的。“有些员工可能不知道如何在网上保护自己,这会危及您的业务数据,”他说。所以,这是必须的“持有培训课程,帮助员工学习如何通过犯罪活动管理密码,避免黑客喜欢钓鱼和键盘记录诈骗。然后提供持续的支持,以确保员工有他们需要的资源。”
此外,“确保员工在所有设备上使用强密码,”他补充道。凯里解释说:“密码是第一道防线,所以要确保员工使用的密码有大小写字母、数字和符号。
他继续说:“对每个注册的网站使用单独的密码,并且每30到60天更改一次,这一点也很重要。”。“密码管理系统可以帮助您实现这一过程的自动化,并消除工作人员记住多个密码的需要。”
加密也是必不可少的。
“只要你已经部署了验证加密作为安全战略的一部分,是有希望的,”波特说。“即使员工没有采取个人防护措施来锁定自己的手机,您的IT部门可以执行选择性地通过取消专门用于公司数据的解密密钥擦拭。”
为了更加安全,“实现多因素认证,如一次性密码(OTP),RFID,智能卡,指纹读取器或视网膜扫描[为了帮助确保]用户其实你相信他们是谁,补充说:”罗德·西蒙斯,产品部门经理,BeyondTrust的. “这有助于降低密码泄露的风险。”
风险3:移动设备(BYOD)
“数据盗窃是在高脆弱性时,员工使用移动设备[特别是自己]共享数据,访问公司信息,或忽视改变移动密码,”解释贾森库克,CTO和安全的副总裁,英国电信美洲公司。“根据BT的研究,移动安全漏洞已经在过去12个月影响了全球组织的超过三分之二(68%)。”
事实上,“随着越来越多的企业接受BYOD,他们面临着从公司网络上的那些设备风险(在防火墙后面,包括通过VPN)中的应用程序安装,可以访问该设备的网络连接恶意软件或其他木马软件的情况下,”阿里韦尔,副总裁,产品营销说,约塔。
[相关:2015年移动安全生存指南]
解决方案:确保你有一个仔细阐述的BYOD政策。全球产品营销高级总监皮耶罗·德波利说:“有了比亚迪的政策,员工对设备的期望会得到更好的教育,公司可以更好地监控下载到公司或员工拥有的设备上的电子邮件和文档。”,赛门铁克。“有效监测将为企业提供了解其移动数据丢失风险,将使他们能够快速精确的曝光,如果移动设备丢失或被盗。”
[相关:如何为员工创建无缝的移动安全]
同样,企业应该“实现既保护企业数据和访问企业系统,同时还通过集装箱尊重用户的隐私,移动安全解决方案,”建议力高面包车Someren,CTO,好的技术. “通过安全地将业务应用程序和用户设备上的业务数据分离,容器化确保了公司内容、凭据和配置保持加密并在其控制下,为曾经易受攻击的入口点添加了一个强大的防御层。”
您也可以在“减轻BYOD与混合云的风险,补充说:” CEO和联合创始人马修Dornquast,代码42。“至于未经批准的消费应用和设备继续蔓延到职场,IT应该着眼于混合云和私有云为缓解这一趋势,工作场所带来的潜在风险,”他说。“这两个选项通常会提供公共云来管理设备和数据的过多的能力和弹性,但增加了安全性和保密性,如让现场的加密密钥无论身在何处的数据存储,管理的能力应用程序和设备在整个企业“。