对于中小企业来说,它们所面临的严重安全问题和那些大型企业是否一样呢?有些是,比如社会工程学会对那些“不够敏感”的员工特别有杀伤力——诱使他们下载含有病毒之类的文件,而且这种伎俩屡试不爽。此外,越来越多的企业逐渐沦为黑客行动主义(hacktivism)的受害者,而那些CIO还未完全考虑清楚如何应对。
不过最大的问题是,松散的访问政策和内部员工行为不当。最近的一份Verizon报告显示,96%的攻击都不属于精心策划的高技术含量行为,97%的攻击都可以轻易避免。下面,我们来看看影响企业生死的十大命门:
一、内部数据访问权限泛滥
拥有服务器和数据完全访问权限的系统管理员一旦与公司作对,就可能会对公司造成巨大的内部威胁。因此,这些拥有对信息过度访问权限的任何人(包括企业高管)在职位调动之后,都会对公司造成巨大威胁。
内部数据访问权限泛滥(图片来自eWEEK,下同)
二、第三方访问
第三方公司员工可能会对一些未加密数据进行访问。存储在云端的数据可能位于不同国家和地区供应商的物理服务器上,而它们一般同时存在于很多数据中心主机的设施中。
第三方访问
三、政治黑客行为主义
近年来,出于政治动机的黑客行为正在不断上升,例如Anonymous和LulzSec等组织的攻击行为。然而,这些黑客组织表示他们的成功都源自于寻找容易攻击的目标,而不是因为特别的技术专长。虽然我们不能控制自己是否会成为攻击目标,但我们可以增加攻击者攻击的难度。
政治黑客行为主义
四、社会工程学
使用谎言、欺骗等手段来获取足够信息对不知情公司进行蛊惑,是一种古老的攻击技术。但现在社会工程学不再只是局限于手机,它还可以通过社交网络来进行。用户发布在Facebook上的任何信息都可能向攻击者泄露他们所需要的信息。
社会工程学
五、内部疏忽
疏忽对于管理层来说是不可饶恕的“罪行”,“他们应该知道”。大部分数据泄露事故都涉及一些管理疏忽的因素。
内部疏忽
六、缺乏透明的云服务
永远不要盲目相信云服务商部署了适当的安全措施,为此我们需要彻底检查云服务商的安全部署情况。
缺乏透明的云服务
七、假冒证书
很多白名单和应用程序控制系统都依赖于有效的数字系统——它们会告诉操作系统“你可以信任我,因为我是有效的”。使用流氓证书或者假冒数字证书,攻击者几乎可以在不被人察觉的情况下发动攻击。
假冒证书
八、移动设备
便捷性与安全性之间应该实现平衡。越来越多的个人移动设备进入企业环境中,这让企业时刻暴露在风险之下,很容易遭受攻击。这对于还没有制定和执行BYOD政策的企业而言,是非常严重的问题。而事实上,现在的大部分公司都没有制定相关政策。
移动设备潜藏巨大风险
九、不合理使用(恶意或者无意)
受委托企业资源或者访问权限的不合理使用,经常容易发生在受信任的内部人员和商业合作伙伴身上。当政策没有明确定义或者执行的时候,也会出现滥用的情况。
不合理使用
十、物理攻击
篡改、偷窥和偷盗往往容易发生在心怀不满的前雇员身上。如果安全系统没有及时更新员工离职信息,离职员工仍可轻易获得访问。
物理攻击
