随着对网络安全工作的重视,很多组织的安全实践正变得越来越复杂,这有利也有弊。由于许多新技术趋势需要关注,比如云计算应用、物联网系统和大数据应用等,会占用安全团队很多的精力和时间,这就容易让一些简单、基础但又不可或缺的网络安全控制措施被忽略。例如,很多组织的安全分析师非常关注高级漏洞的发现与响应,却往往忽视账号被窃取等更容易导致数据泄露的其他危害方式。
为了让组织的安全建设避免出现事倍而功半的情况,安全研究人员对目前容易被忽视的基础性安全工作进行了梳理,可以帮助安全团队留意常被忽视的安全风险,以提高安全性,并随时应对那些意想不到的挑战。
1. 企业内容管理系统中的安全漏洞
企业内容管理系统对现代企业数字化业务开展不可或缺。为了节省时间和资金投入,很多公司都使用开源系统来开发内容管理系统,然而有一个问题:这类开源系统几乎都会存在安全缺陷,可能被用于获取敏感信息。
公司可以采取几个简单的措施,轻松解决这个问题。借助熟练的IT团队,可以将安全开发应用结合到内容管理系统代码中,防止安全漏洞出现在代码中。一旦尽量减小了漏洞的机率,就可以使用到位的隐私策略非常高效地处理其余方面。
理想情况下,内容管理系统全生命周期都应使用与其最兼容的安全工具来夯实,最常用的工具类型是Docker安全工具和Kubernetes安全工具。然而,光有这可能还不够。企业还应始终落实一个持续评估代码的系统。安全控制评估正式名为安全测试和评估(ST&E),评估有效确立策略的程度,评估是否按计划执行,并在满足系统的安全目标方面提供预期的结果。定期进行此类评估可以清楚地了解计划在安全方面所处的状况。
2. 防范网络钓鱼的能力不足
网络钓鱼是网络犯罪分子进入公司内网系统的最常用手法。应迅速且频繁地向员工宣讲数据保护方法以及如何发现和防止网络钓鱼骗局。安全部门需要在工作场所和公司内网上持续开展网络安全意识教育,而不能想当然地以为每个人都已经具备识别网络钓鱼的能力。
安全技术部门还应该与公司其他部门之间有紧密的联系,这可以大幅加强网络安全应用水平,业务人员应该毫不犹豫地向IT部门提出问题或列出潜在问题。
我们可以通过以下几种方法来发现潜在的系统危害,将它们纳入到安全意识计划中,将有助于更好地预防网络钓鱼攻击:
- 系统莫名其妙出现运行速度减慢是危险信号;
- 如果不足够了解情况,不应打开来历不明的弹出式窗口;
- 系统存储空间大幅增加或减少;
- 无法直接识别的文件和图标;
- 浏览器重定向到非预期网站应该引起警惕;
- 无法识别的网络活动可能意味着有人企图实施网络钓鱼。
3. 离职员工的系统访问权限不能及时取消
员工离开公司后,其具有的业务系统访问权限应立即被禁用,这就需要确保公司能够时刻了解个人访问级别的变化与配置。现实中,很多社交网络密码之类的简单环节可能会被忽略,从而给将来埋下隐患。
应定期审查公司的离职程序,以确保它们能够与时俱进,并且没有将公司隐私信息对外暴露。每当员工升职或调动部门时,都应该考虑到这一点。为所有重要系统启用单点登录(SSO),这是防止人员在离职后访问资源的另一种解决方案。一旦某个账户被禁用,该账户可访问的所有其他资源也同样被禁用。
4. 盲目依赖过时的加密方法
在企业中,有一个最常犯的错误就是以为所有加密后的数据都能永远保持安全,盲目相信所使用的加密实践始终无懈可击。然而实际情况并非如此,加密过程中很多隐藏的技术缺陷,可能会使敏感数据面临险境。更糟糕的是,公司可能依赖过时的加密方案,这些方案很容易被利用,或者无法兼顾不同系统之间的数据传输。
改进加密的最佳方法是从标准化的加密策略开始。明确要采用的加密方式,规范组织各级部门使用加密密钥的做法,了解静态数据加密和动态数据加密,并确保IT团队和管理层符合最新的国际加密标准。此外,公司还必须制定应急程序,必须具体说明在黑客攻击得逞或加密意外失败的情况下,公司能够采取有效恢复原始数据的措施。
5. 忽视物联网设备的安全评估
在物联网系统中,需要连接大量数字设备以实现优化业务操作。然而,这种互连性恰恰增加了攻击途径和数据暴露面。在缺少可信执行环境以及大量原代码漏洞存在的情况下,广泛的物联网连接并不是一种可靠的业务发展方法。
企业需要尽早认识到,推动物联网应用也意味着增加安全成本,并从根本上加大保护网络所需的工作量。因此,在决定是否在公司中使用物联网之前,安全团队绝不能忽视安全评估系统给日常运营带来的可能风险和回报。
参考链接:https://www.cybersecurity-insiders.com/5-of-the-most-commonly-overlooked-security-measures/?utm_source=rss
