计世网

“我们的网络已经足够安全啦!” “你还敢立这个flag?”
作者:Michelle Drolet | 来源:计算机世界
2019-03-28
很多企业采取措施以防止数据泄露,并采用新的政策、工具和策略,这使得他们自己感觉受到了保护,但他们的防御未必有自己想象的那么强大。不幸的是,他们很容易产生虚假的安全感。

 

数据泄露事件现在已经司空见惯了,人们越来越认识到企业应采取更多的措施来打击这类事件,做好善后工作。被盗数据的潜在成本远远不止清理操作,还可能受到监管部门的罚款,名誉上受损。尽管现在人们对风险的认识有所提高,但是采取正确、全面的措施来保护数据比人们想象的要难。

对于企业来说,一开始时能朝着正确的方向发展,但是由于忽略了某个特殊的领域,他们的努力往往付诸东流——这并不罕见。实现高标准的网络安全需要从整体上全面地看待风险,而且要稳步、持续地付出努力。事实是,很多企业只是做对了一两件事情,然后就裹足不前了,沉浸于舒适但却错误的感觉中,觉得自己是安全的。

本文介绍代表这些虚假安全感的四种常见观点。

风险并没有那么大

规模较小的企业尤其有这种一厢情愿的想法。他们可能认为大企业才是更有吸引力的目标,但事实是,网络犯罪分子更喜欢走捷径。如果你逃避安全问题,那就可能成为唾手可得的攻击目标。在基本的安全环境建设方面,最令人震惊的是有很多企业完全没有安全意识。

认为自己的数据对黑客来说不是很有价值或者没什么用的想法也是一种危险的思考方式。漏洞可能导致资源被劫持,攻击者利用你的服务器来托管色情内容,甚至可能破坏工作负载来挖掘加密货币。如果你觉得自己不会成为被攻击的目标,那就是在拿自己开玩笑。

其实未必是某个大的犯罪团伙决定攻击你,一个孤独的黑客新手就能在暗网上购买或者租用成熟的工具,并高效地使用这些工具,而不必了解工具是怎样工作的。

我们已经合规了

显然,确保遵守GDPR和即将发布的CCPA等法规是非常重要的,而且很多行业都有自己的一套规则和规章来保护不同类型的数据。不遵守这些规定会导致惩罚性的罚款。尽管有人怀疑监管机构到底会不会开出大笔罚单,但对你来说不应该去以身试法。

遵守这些规章制度会促使你采用更好的安全标准和更全面、更健壮的事件响应计划,但并不能保证不会发生数据泄露事件。合规无疑是一件好事,但不要将其与安全等同起来。同样重要的是要记住,合规不是勾选某些表格然后就束之高阁了;这是对标准的承诺,需要不断地更新和思考。

太多的企业花钱请顾问来,让自己在最后期限前及时达到合规要求,然后就认为以后不用再考虑这些事情了。但他们错了。

我们已经培训了自己的员工

我们已经讨论过建立良好的安全意识培训计划并关注员工行为是多么的重要,但是很多人都认为这一安全步骤也是一次性做好就够了。一个合适的培训项目应随着时间的推移而不断发展,并成为员工日程安排不可或缺的部分。

很多企业在这一领域犯的另一重大错误是,他们没有测试所提供的培训是否有效。用模拟钓鱼电子邮件或者社交媒体信息来测试自己的员工,看看他们的反应是否正确——这是非常重要的。结果一定要促使采取一些行动。如果失败,那就应该进一步加强培训,但一再的失败则应进行纪律处分,如果出现了严重的情况,则应解雇。

不能对员工一再违反安全标准视而不见。只有最薄弱的环节强大起来,企业的安全策略才算强大,只要有一名员工犯错,你的努力就会付诸东流。

我们有网络保险

这是一种常见的说法,让人们觉得自己应该很安全,但有几个原因解释了为什么这是危险的。这是一个新的保险领域,很多买卖这些保单的人并不真正理解自己需要什么样的保险。他们很容易觉得自己的保险很全面,但只有在索赔过程中才发现其实并非如此。

最好的保险应该是促使人们通过良好的行为来降低风险,但在网络安全领域,目前的深度还达不到。例如,保险条款可能会要求你拥有防火墙,但并不告诉你怎样配置防火墙。错误配置是攻击者常见的切入点,因此,这确实应成为这一领域要考虑的问题。

就目前的情况而言,不应仅仅因为有了保险就认为自己是安全的。

总结

本文并没有面面俱到地列出了可能导致对数据泄露事件产生虚假安全感的因素,但是企业一定要注意以上四个方面。关键的一点是,要想成功地防范数据泄露事件,需要做出承诺和持续的努力。

作者:Michelle Drolet 是马萨诸塞州弗拉明翰市数据安全服务提供商Towerwall公司的创始人,该公司的客户包括Smith&Wesson、Middlesex储蓄银行、WGBH、Covenant医疗保健公司等很多中型企业。

编译:Charles

原文网址:https://www.csoonline.com/article/3316438/security/4-dangerous-security-assumptions-to-avoid.html

责任编辑:周星如