規避安全風險十大要點
時間就是金錢,對于一般的企業來說,時間是遠遠不夠的。本文中安全專家將分享他們使用最小的資源來減輕信息安全風險的好方法。
保護我們的中小企業的最好的方法是什么?
不像大企業,它們雇用擅長于某一方面特定安全規則的IT專家。小公司的安全角色經常需要一些能夠扮演“全能安全專家”的人。這種粗糙的方法必然最大化了安全風險,所以一個小組可以真正和有效的為一整個組織風險管理安全,也許是兼職的。
不像大的公司,中小企業很少有員工專注于信息安全,大部分完全依靠顧問或者廠商。中小企業平均花費很少資源來保證安全。“我們遇到的典型的小公司告訴我們它們花費IT預算的3%到5%在安全上,”CJ Desal說,他是Symantec的高級產品經理。比較而言,根據Forrester Research的報告,企業平均花費它們IT預算的8%在安全上。
就像以上數據表明的那樣,許多中小企業縮減安全預算。Small Business Technology Institute的研究表明,1/5的小公司(1-100個雇員)沒有足夠的惡意軟件保護措施,大部分沒有任何安全策略,許多公司只是在災難發生后才制定相應計劃。然而中小企業和大公司面對惡意軟件攻擊的危險性是一樣的。
考慮到各種各樣的危險,包括可用時間,資源和安全專家的不足,中小企業需要一個行動計劃,它強調了他們今天需要集中面對的安全風險,使用已經存在的人力,時間和資源來減少威脅的數目。
安全專家分享了他們的十個方法來達到更快,更便宜也更容易控制的安全計劃。
1. 用自動保護阻止惡意軟件
保護中小企業的第一道防線是阻止和減少病毒,蠕蟲,間諜軟件和其他惡意軟件,包括木馬下載和擊鍵記錄器,無論是端點還是網關上的。相應的,為e-mail網關安裝預防惡意軟件和過濾軟件,阻止惡意軟件和垃圾郵件(它經常攜帶惡意軟件)到達用戶端的PC。為了處理這些,許多中小企業購買了所謂的統一的威脅管理程序,它在一個設備上采用多個安全技術。
但是只有網關保護是不夠的。就像Randy Abrams,ESET技術教育的管理者,一個安全軟件的提供者說的,“太在意目標就會錯過一些東西,”所以確保在每個筆記本,桌上電腦,服務器,有可能的話包括移動設備上都安裝殺毒軟件套裝。這樣的套裝也包括個人防火墻和基于主機入侵防御措施。
使用PC上的管理員權限來阻止用戶刪除他們的安全套裝,“所以如果IM不工作,雇員不能關掉防火墻,”Ron Teixeira,國家密碼安全聯盟(NCSA),一個協同安全,非營利,學術和政府安全工作的組織的執行經理說。
也使用尖端反病毒技術:晚上關掉所有的PC。這不僅會阻止消耗時間,當用戶重啟時,“他們的操作系統可以開始掃描任何可能有的惡意東西”,他說。
2. 盡快給你的漏洞打補丁
一個有效的安全計劃需要保持操作系統和應用程序都是打了補丁的。“如果不是的話你可能會導致你的其他所有機制都無效”Abrams說。目的是迅速的給PC和服務器打補丁。
什么樣才叫快?如果你一年前這么問,我會說一季度就合適了。但是我看到的更多的是每月都有變化,越來越多的廠商都是這樣--不只是微軟--每個月都發布補丁。但是,我們需要做決定,“你不能把一切都做好,你得實際點”。相應的,搜索外部資源,比如SANS 上最容易受攻擊的20個網絡安全攻擊目標列表,以便決定哪個漏洞需要打補丁,以什么樣的順序打補丁。
3.密碼:對“Fluffy”說不
今天許多登錄仍然是以密碼形式,所以,“確保雇員使用有效的密碼,只要有可能,使用多種認證技術,因為不管你相不相信,小公司的雇員特別愿意使用他們的名字作為登錄名和密碼,這對黑客和在線鑒別賊來說是很容易算出的”Teixeira說,事實上,字典攻擊—自動快速使用成千上萬的已知單詞去猜測密碼—可能在幾分鐘之內猜出這種密碼。
這是一個簡單的解決方案:讓使用者避免使用真正的單詞,而是使用他們記住的一個長句子的每個單詞的首字母。在創建一個更好的密碼一文中可獲得更多相關信息。
4.定義“好的行為”(Define “Good Behavior”)
什么是可接受的行為?無論是從可行性還是法律來衡量都不可能很容易的實現,除非已經很明確的規定。
進入安全策略和規程。“用戶會做愚蠢的事情,你必須有能夠實施的策略,至少能夠抑制一些用戶準備要做的事情”。Abram說。事實上,規程告訴職員什么是需要的(每隔30天改變密碼)或者是禁止的(觀看成人網頁)。
設置策略不需要很大代價,花費時間或者很難。例如,SANS組織的安全策略項目在網上提供30個免費的模型策略,還有一些收錢的。“Information Security Policy Made Easy”這本書和CD-ROM提供超過1350種方法。但是,不要只是添加公司的名字到空白地方。而是,在策略方面訓練雇員,把策略放在共享網絡驅動或內部互聯網的一個顯著位置,并且經常訪問它們。#p#
5.小心警惕應用軟件
為了用最少的時間最大化安全性能,作為“可接受使用(acceptable use)”策略的一部分,要禁止使用者在PC上安裝沒有經過認證的軟件。“然后實施和確保你是唯一合適使用了商業上需要的軟件的人”Abrams說。
這種簡單的方法改進了安全性,節省了時間。因為第三方軟件很容易成為惡意軟件的躲藏處,從而引起安全漏洞,并且它需要額外的時間來打補丁。此外,如果PC感染了惡意軟件—它通常是很難根除的—使用標準磁盤鏡像來清除和重恢復PC可以更加快捷,而不用安裝額外的應用程序。
6.要準備計劃
如果有些地方出了問題—在安全方面—雇員會知道怎么處理嗎?“當沒有IT人才每天24小時在崗的時候(這是很多中小企業的一種典型情況),人們需要相應的處理步驟,至少要有一個協調和交流的觀點”Webroots Eschelbeck說。
事先計劃和考慮需要時間,對于中小企業來說,這無可否認是一種很罕見的安全奢侈行為。即使這樣,“制定一個緊急應對計劃:預測一個成功的攻擊,知道當攻擊發生時怎么處理它”Abrams建議。特別的,雇員在他們的安全軟件報告它們已經被惡意軟件感染時他們應該向誰求助?
在計劃緊急情況時,要尤其注意到法律的要求。例如,如果一個公司收集顧客的個人信息,全國有超過一半的州已經通過了一項稱為數據破壞通知法案(data breach notification laws)要求公司在信息丟失,被竊,或懷疑已經被破壞時要通知所有的州居民。
7.備份是個優點
盜竊,颶風,龍卷風,破壞性的惡意軟件,爆裂的管子,破壞的硬盤,電火花,生氣的員工:假設數據已經備份,這些都和數據完整性無關了。當然每個人都知道他們應該備份,但是很少有人去做。因此,是由IT人士去保護這些數據。
考慮安裝一個自動備份軟件,為了防范物理災難,確保最后的備份不是存儲在站點上。如果要獲得更方便的使用—雖然代價不低—聘請一項自動在線備份服務。
8.審核:仔細觀察記錄
“如果殺毒軟件報警了,但是沒有其它注意到這個,這是不是真正的病毒呢?”ESET的Abrams問“你必須審核你的記錄并確認自己被攻擊了嗎?因為你的IDS報告你正在偏轉這一切東西,那么你就會想知道,因為攻擊者會不斷轉移攻擊直到攻擊成功”
即使那些沒有入侵檢測系統的中小企業仍會研究殺毒軟件的記錄來監視攻擊,并保持對基本服務器安全設定的關注。“黑客會改變安全設定來確保他回來的時候更容易點,注意到有安全設定的變化通常是你發現攻擊的第一個信號”他說。#p#
9.在預算方面的安全教育:要有創造性
在所有的公司里,有效的安全需要對人,過程,技術都加以注意—“但是安全中人這方面通常被忽視”Forrester 研究分析員Khakid Kark警告說。
為了解決這個,保持一個識別安全程序。一個好的開始是對所有的新雇員進行短期培訓課程,了解規則:幫助桌面從來不需要密碼,小心免費的Wi-Fi熱點因為一些人可以監聽所有的通信;使用旅館的PC或者是機場的公用電話會很明顯留下一份所有數據和連接的備份;而且千萬不要打開任何看起來可疑的e-mail鏈接。
開展的教育不需要很貴;考慮以一種幽默而全面的方式達到安全的目的。以下是一些不規則的例子(對那些富有的大公司是顯著的):為了讓開發者制作更干凈,更安全的代碼,不只是談了談,一些志愿者組織了一系列的稱為“Testing on the Toilet”的喜劇。相關的Google Testing Blog這樣解釋:“我們寫下關于一切的文章,從插入依賴到代碼覆蓋,然后經常用有趣的插曲給所有Google上的浴室(bathroom)刷石灰,幾乎500個世界各地的攤位”。操作模型很簡單:“你需要它在一個你能看到的地方,你不能忽視它”。當反應從可笑(“這經常是由于我總是忘記把我的Linux Nerd2000的備份帶到浴室”)到不好笑(“我正在使用我的浴室,你能不能讓我單獨待會?”),信息就泄漏出來了。
教導使用者,今天的頂部攻擊(top attacks)通常不會犯下一些低級錯誤。當你只需要禮貌的要求就可以進入得到你想要的東西的時候,你為什么還要攻擊進去呢?最近的一個例子是國稅局的釣魚攻擊,它用一封內容為IRS正在進行顧客滿意度調查的電子郵件作為開始,如果接受者點擊了它上面的連接,彈出的頁面只是要求他們的名字和電話號碼,許若只要完成一個電話調查就給你80美元。但是,問題就是如果某些人打了這個電話,“IRS”需要一個信用卡號碼來把所謂的錢放到里面,Abrams說“這就是他們怎樣得到有用的信息”。
10.加密:設定它然后忘記它
保護丟失和被竊的信息不被濫用的最好方法是什么?考慮整個磁盤加密軟件,它保證硬盤數據對沒有合適認證的任何人都是無效的。“筆記本丟失總是在發生,筆記本被偷后,你最不想發生的事情就是偷了筆記本的那個人把顧客的信息在網上出售”NCSA的Teixeira說。
考慮在國家的數據破壞通知法案規定下,如果公司丟失了包含有居民敏感信息的機器,但是數據是加密的,通知就不是必要的了。根據Ponemon Institute規定,假設數據破壞要通知的平均開銷是每個丟失客戶記錄為$182(不是每個客戶),整個磁盤加密可以節省大量經費。
如果論證對控制金錢的那些人太抽象,嘗試提到高規格數據破壞(highprofile data breaches),例子有TJX或者CardSystems(它自己是個小公司)。如果一個公司丟失了客戶信息,預計至少有些客戶會丟失。但是如果一個中小企業失去了信息,并嘗試掩蓋它或者反應很慢,一旦公開,法律和管理結束后,就像CardSystems表明的那樣,不會再有生意了。
【編輯推薦】
