CIO:浅谈几个威胁企业信息安全的要点

内部威胁

CyberArk安全公司最近开展的一项调查发现,约44%的IT员工承认访问过与本岗位没有直接关系的数据;另有31%承认使用过管理员密码,以访问机密数据或敏感数据。

要是普通企业觉得这没什么好担心的,那么考虑到下面这一点就会担心起来:这类内部人员常常恰恰对网络安全控制措施最熟悉,因而最有条件来钻空子。Cyber Ark公司的Mark Fullbrook建议:“针对这种内部威胁,企业必须实施综合的活动监控机制。”

他建议:“不要仅限于访问控制和权限执行,还要实际记录和跟踪谁在使用哪些资产方面的具体情况。”

“那样一来,企业应该能够把运营数据和安全分析结果整合起来,全面了解系统的情况。总的来说,如果企业要减小内部威胁,必须考虑购买合适的技术,确保信息安全地存储起来。”Fullbrook下结论道,企业还需要能够记录和监控所有特许身份和活动的系统。

移动设备安全

智能手机和平板电脑的消费化是眼下企业安全领域一个真正的棘手问题,这有其充分的理由。

其实,这有几个非常充分的理由。Layer7Technologies公司的Dimitri Sirota解释:“更多的人把个人信息存储在可能丢失的移动设备上;随着移动设备变成更流行的支付工具,这个风险只会有增无减。其次,移动设备可能会把特洛伊木马带入到企业环境,因为移动设备上受危及的应用程序为进入企业系统开了一道后门。”

有许多不同的方法来确保移动设备的安全,但最有效的方法包括:严格控制对设备的访问、使用虚拟化层来隔离不同的应用程序,以及部署SSH客户软件以便为通向企业的隧道确保安全。Sirota警告,不过,主要还是取决于操作系统开发商和应用程序审批程序。业界在这方面仍处于初期阶段。

日志分析

如果贵企业需要遵守《支付卡行业数据安全标准》(PCIDSS),那么应该早已认识到了需要对自己的日志进行监控。

正如Tenable网络安全公司的Ron Gula提醒我们的那样,问题是,这个监控要求是企业层面的;仍有许多日志不是漏掉,就是未加以认真考虑。缺乏综合日志分析功能的这个问题意味着我们原本有机会挫败攻击,却错失了这样的大好机会。不妨想一想,Anonymous和Lulz Sec都利用了一些非常有名的安全漏洞,被它们盯上的那些组织的工作人员之前却谁都没有注意到这些漏洞。

Gula建议:“企业应该把日志分析计划与漏洞和配置监控计划结合起来,确保系统已经过合理的配置,可以集中收集和发送日志,以便分析。”“此外,应该采用任何一种被动的网络流量分析,以弥补缺少系统日志的不足。”

不牢靠的登录机制

仅仅使用用户名和密码这对组合来确保网络访问控制一度被认为“足够好”,但你与企业安全领域的随便哪个人聊一聊,会发现那样的纯真年代早已一去不复返。那么,为什么还有那么多的企业仍在使用这种基本的登录方法?更让人担心的是,为什么还有那么多的员工在使用同样的用户名和密码组合来登录从企业网络到社交网络的各个网络呢?

如果每家企业真想做到重视数据保护工作,现在岂不是它们不仅限于基本的安全措施、重新评估安全控制措施的大好时机?Gemalto公司的在线验证主管Peter Regent无疑是这么认为的。Regent告诉我们:“运用两种或多种身份验证机制的多层次方法将确保,只有授权用户才能获得访问网络的权限。

“结合基于证书的验证和公钥基础设施(PKI)证书的智能卡解决方案让只有经过授权的员工才能够访问敏感信息,允许企业可以全面跟踪记录所有访问事件。”那样一来,贵企业就能够对本企业的信息资产做到与银行客户从ATM机提取现金时要求芯片和个人身份识别号(PIN)卡提供的安全性类似的保护级别。

供应链不安全

说实话,我们在整理这份榜单时,也没有立马想到供应链安全;但是信息安全论坛的Adrian Davis给出了一条很有说服力的理由,把它也列在其中。

他提醒我们,近期的日本海啸突显了物理供应链具有的全球性和相互依赖性以及它们可能会受到干扰。大家不大注意但绝非不大重要的是把这些供应链联系起来的信息。这些信息包括行业秘密或商业秘密、知识产权以及数量等普通信息等。

所有这些信息都至关重要–要是没有这些信息,供应商就无法履行其在供应链中的角色。Davis提醒:“任何购置方或采购方都要先对供应方进行尽职调查,之后才可以签订合同或建立联系。”