隨著對網絡安全工作的重視,很多組織的安全實踐正變得越來越復雜,這有利也有弊。由于許多新技術趨勢需要關注,比如云計算應用、物聯網系統和大數據應用等,會占用安全團隊很多的精力和時間,這就容易讓一些簡單、基礎但又不可或缺的網絡安全控制措施被忽略。例如,很多組織的安全分析師非常關注高級漏洞的發現與響應,卻往往忽視賬號被竊取等更容易導致數據泄露的其他危害方式。
為了讓組織的安全建設避免出現事倍而功半的情況,安全研究人員對目前容易被忽視的基礎性安全工作進行了梳理,可以幫助安全團隊留意常被忽視的安全風險,以提高安全性,并隨時應對那些意想不到的挑戰。
1、企業內容管理系統中的安全漏洞
企業內容管理系統對現代企業數字化業務開展不可或缺。為了節省時間和資金投入,很多公司都使用開源系統來開發內容管理系統,然而有一個問題:這類開源系統幾乎都會存在安全缺陷,可能被用于獲取敏感信息。
公司可以采取幾個簡單的措施,輕松解決這個問題。借助熟練的IT團隊,可以將安全開發應用結合到內容管理系統代碼中,防止安全漏洞出現在代碼中。一旦盡量減小了漏洞的機率,就可以使用到位的隱私策略非常高效地處理其余方面。
理想情況下,內容管理系統全生命周期都應使用與其最兼容的安全工具來夯實,最常用的工具類型是Docker安全工具和Kubernetes安全工具。然而,光有這可能還不夠。企業還應始終落實一個持續評估代碼的系統。安全控制評估正式名為安全測試和評估(ST&E),評估有效確立策略的程度,評估是否按計劃執行,并在滿足系統的安全目標方面提供預期的結果。定期進行此類評估可以清楚地了解計劃在安全方面所處的狀況。
2、防范網絡釣魚的能力不足
網絡釣魚是網絡犯罪分子進入公司內網系統的最常用手法。應迅速且頻繁地向員工宣講數據保護方法以及如何發現和防止網絡釣魚騙局。安全部門需要在工作場所和公司內網上持續開展網絡安全意識教育,而不能想當然地以為每個人都已經具備識別網絡釣魚的能力。
安全技術部門還應該與公司其他部門之間有緊密的聯系,這可以大幅加強網絡安全應用水平,業務人員應該毫不猶豫地向IT部門提出問題或列出潛在問題。
3、離職員工的系統訪問權限不能及時取消
員工離開公司后,其具有的業務系統訪問權限應立即被禁用,這就需要確保公司能夠時刻了解個人訪問級別的變化與配置。現實中,很多社交網絡密碼之類的簡單環節可能會被忽略,從而給將來埋下隱患。
應定期審查公司的離職程序,以確保它們能夠與時俱進,并且沒有將公司隱私信息對外暴露。每當員工升職或調動部門時,都應該考慮到這一點。為所有重要系統啟用單點登錄(SSO),這是防止人員在離職后訪問資源的另一種解決方案。一旦某個賬戶被禁用,該賬戶可訪問的所有其他資源也同樣被禁用。
4、盲目依賴過時的加密方法
在企業中,有一個最常犯的錯誤就是以為所有加密后的數據都能永遠保持安全,盲目相信所使用的加密實踐始終無懈可擊。然而實際情況并非如此,加密過程中很多隱藏的技術缺陷,可能會使敏感數據面臨險境。更糟糕的是,公司可能依賴過時的加密方案,這些方案很容易被利用,或者無法兼顧不同系統之間的數據傳輸。
改進加密的最佳方法是從標準化的加密策略開始。明確要采用的加密方式,規范組織各級部門使用加密密鑰的做法,了解靜態數據加密和動態數據加密,并確保IT團隊和管理層符合最新的國際加密標準。此外,公司還必須制定應急程序,必須具體說明在黑客攻擊得逞或加密意外失敗的情況下,公司能夠采取有效恢復原始數據的措施。
5、忽視物聯網設備的安全評估
在物聯網系統中,需要連接大量數字設備以實現優化業務操作。然而,這種互連性恰恰增加了攻擊途徑和數據暴露面。在缺少可信執行環境以及大量原代碼漏洞存在的情況下,廣泛的物聯網連接并不是一種可靠的業務發展方法。
企業需要盡早認識到,推動物聯網應用也意味著增加安全成本,并從根本上加大保護網絡所需的工作量。因此,在決定是否在公司中使用物聯網之前,安全團隊絕不能忽視安全評估系統給日常運營帶來的可能風險和回報。
