全球范围内数据泄露事件频发,引起了很多企业的重视。然而,投入财力和人力购买维护安全产品并不意味着100%的安全。企业安全中,人往往是最薄弱的环节,员工的无心之失或恶意之举都可能导致企业丢失大量数据,陷入风险。因此,本文围绕企业内部安全中员工安全意识与培训相关的注意事项进行探讨。
本文可与此前发布的《提高全员安全意识的6个方向》搭配阅读。
一、 强密码与反钓鱼攻击
在员工安全意识培训中,设置强密码;防范钓鱼攻击是最重要的两部分。Verizon 发布的《2018年数据泄露调查报告》显示,钓鱼和社会工程学攻击造成的泄露占总体的93%。而前段时间,黑客轻易获取到26亿份账号密码并在暗网售卖,也引起了一阵恐慌。本节基于这一情况,探讨密码、验证与反钓鱼培训的重要性及落实机制。
强密码与验证
2003年,美国国家标准技术研究所(NIST)发布规定,规定强密码由大写字母、小写字母、数字和符号等组成,且每三个月(90天)左右需要更新一次。
但事实上,很多人并没有遵守这个规定,因为复杂的密码很难记;经常修改也很麻烦。而且,P@s$w0rd、1L0v3U*7等密码虽然符合大小写字母+数字+符号的组合模式,但也很容易被黑客破解。安全研究人员也认为这个标准并不够准确。最终,NIST修改了相关的标准,规定强密码至少包含64个字符。用户但可以根据自己的习惯,用不同的词组成一句短句口令。这样更安全也更好记。同时,只要不将密码混用,避免撞库,就不用频繁修改密码。
在企业内部,可以实施这样的密码机制,作为员工安全建设的第一步。当然,只使用强密码并不能确保安全。配合采用多因素认证和单点登录等身份认证方案才是验证环节的标配。
识别钓鱼攻击
不点击陌生人发来的链接、附件;
就算是内部员工或熟人发的内容也要再三确认之后再点击;
点击超链接之前仔细看一看是否有异常;
收到邮件时确认收件人和发件人是否正确;
……
这些本该是企业员工防范钓鱼的正确姿势。很多企业在进行员工安全意识培训时,会不厌其烦地反复提到这些内容。但是,如果在企业内部发送钓鱼邮件进行测试,结果往往出人意料。很多员工都会不假思索地点开这些测试邮件。因为在实际工作环境中,员工往往很忙,会忽略这些问题。还有些人会认为,就算不小心点开了恶意链接,公司的防护软件也会保护他们的安全。
因此,定期针对内部员工进行钓鱼测试很有必要。要让员工明确了解企业的真实处境、面临的实际问题,并让他们意识到钓鱼带来的危害。当然,从企业文化的角度来讲,要让他们有一种成就感:不点击恶意链接或者识别并阻止了钓鱼攻击,不仅保护自己的信息安全,还保护了整个公司和全体同事。在一个企业文化氛围较好的公司,这样的暗示效果具有积极意义。
识别鱼叉式钓鱼或社会工程学攻击
与普通的钓鱼攻击相比,鱼叉式钓鱼更有针对性、更具迷惑性,让人更难防范。鱼叉式钓鱼攻击可能很少传播恶意软件,而是利用不同的社会工程学攻击方法,来诱骗目标上当。攻击者可以从领英等网站了解目标的各类信息,包括公司背景、个人信息、个人关系图谱等,然后利用这些信息伪造一些需求,进而骗取目标的账号密码甚至直接获取金钱。
企业不论规模大小,都有可能遭遇这样的攻击。在对员工进行防范培训时,最好展示实际案例,让他们了解攻击者是利用受害者留在网络中的信息进行钓鱼的多种方式。了解到这些内容,员工会意识到他们的网上信息的确存在风险,进而提高警惕。
二、 设备与连接
提高防范意识是做好企业员工安全的第一步。但由于如今安全边界不断模糊甚至消亡,很多企业盛行BYOD办公文化,导致企业网络充斥各种设备。这些设备接触过公共Wi-Fi;开通过蓝牙连接;接入过不同的USB设备,可能会给企业带来潜在风险。这种情况下,要促进企业内及时沟通、开放交流。让员工一旦出现设备丢失或者其他问题,要及时报告,及时止损。如果因为各种原因出现拖延,拖延的时段内,设备中的内容都可能被不法分子获取,造成损失。
在进行安全培训时,要明确说明设备丢失或被盗的情况,并规定员工向IT部门汇报的步骤和流程。汇报之后,IT部门应当立即封锁设备,避免信息被盗。如果后续设备被找回,也应当检查、重装。
Wi-Fi和蓝牙安全
虽然很多公开信息都宣称公共Wi-Fi不安全,但如果员工自己使用的时候没有遇到过问题,他们就会松懈并忽略相关警告。
在安全培训中,需要向员工展示黑客如何通过公共Wi-Fi获取用户通过网络传输的信息。他们可以利用这些信息进一步钓鱼,甚至可以直接获取账号密码进而窃取财务。同时,黑客还可以利用公共Wi-Fi发送恶意弹窗小心,安装恶意软件并感染设备。
蓝牙传输也不是百分百安全。此前曝出的蓝牙漏洞可被黑客利用,侵入企业网络并窃取数据。如果有一台设备被感染,很可能将恶意软件传播到办公室中的其他设备,如计算机、打印机等。尽管大多数设备都修复了相关漏洞,但难免有万一。
所以,提醒员工不使用公共WiFi,并在不必要的情况下关闭蓝牙是较好的选择。
值得关注的是,目前有很多企业选择员工虚拟专用网络进行流量加密,确保传输安全、保护公司数据。而近期,新的办公安全理念是默认企业内外网都不可信,需要一种“零信任”安全架构来保护安全。其中最具代表性的是谷歌的“BeyondCorp”框架。但这样的理念从设计到实践到成熟,还需要很长的路要走。
避免使用U盘
U盘以其便携、存储量大的特点,成为很多人青睐的办公助手。但是,U盘很容易丢失,且大多数人都没有将U盘加密。这会导致大量信息泄露。有研究发现,有90%的员工使用U盘,但其中80%都没将U盘加密。而更严重的是,87%的受访员工承认他们丢失了用于工作的U盘,而且没有向公司汇报。
在某些情况下,如果丢失的U盘落入恶意分子之手,他们不仅会窃取U盘中存储的信息,还会在U盘中植入隐藏的恶意程序,再还到失主手中。而研究显示,48%的失主找回U盘后,会毫不犹豫地接入计算机,继续使用,进而导致恶意程序大规模传播。因此,在安全培训中,提醒员工在办公环境中不使用U盘,或者正确地使用U盘,也是保护企业安全的一种方法。
在公司培训课程中,通过让员工了解到活生生的例子,让员工实际参与到模拟和测试当中,将安全政策拆解成现实场景,能提升员工的参与感,让他们将安全行为真正融入日常工作,帮助保护企业安全。
*参考来源:HelpnetSecurity,转载请注明来自FreeBuf.
来源:freebuf.com 2019-05-05 09:00:58 by: AngelaY
请登录后发表评论
注册