調查顯示:員工構成的網絡安全威脅超過黑客
2017年09月29日
現(xiàn)在我們越來越依賴于技術,網絡安全泄露事故導致數據盜竊或系統(tǒng)中斷的可能性也越來越大��。IT專業(yè)人員和執(zhí)法團隊正努力應對使用最新攻擊技術的網絡罪犯�。
根據調查顯示,在過去一年中�����,32%的企業(yè)遭受網絡攻擊。每年企業(yè)共計損失3880億元來應對安全泄露事故�����,單用于修復計算機病毒的費用每年達到約550億美元���。雖然網絡罪犯受到很多關注�����,也經常成為新聞頭條��,但其實企業(yè)內部威脅(無論是否惡意)可能更大����。
缺乏安全培訓導致內部威脅快速增長
在Harvey Nash/KPMG調查中����,來自世界各地的4500名首席信息官和技術負責人表示內部威脅是增長最快的安全風險。員工和承包商對企業(yè)構成重大威脅���,他們通常沒有接受過適當的風險管理培訓�。
盡管有些員工對企業(yè)有惡意行為,但大部分網絡安全漏洞是由于疏忽或無意的錯誤�。事實上,60%的企業(yè)承認自己的員工不了解安全風險�。那些沒有向員工傳達潛在風險以及如何防范這些風險的企業(yè)可能會面臨由于人為錯誤導致的安全風險。
根據IBM發(fā)布的2016年網絡安全情報指數顯示��,60%的攻擊由內部人員執(zhí)行�。在這些攻擊中����,四分之三涉及惡意攻擊,而四分之一為無意�����。這種安全泄露事故可能包括意外粘貼公司敏感信息到公司面向公眾的網站;發(fā)送受限信息到錯誤的人或者不小心泄露機密記錄��。
例如����,在2016年,聯(lián)邦存儲保險公司(FDIC)的員工下載敏感信息到個人存儲設備���,導致44000位客戶的數據面臨危險���。認為錯誤也可能包括員工忽視安全協(xié)議��。
在2013年的調查中���,谷歌報告稱,2500萬Chrome警告在70.2%的時間內被忽視����。在某些情況下,警告被忽視是由于用戶缺乏技術知識:這些員工根本不了解這些警告中使用的技術語言��。
黑客利用員工安全意識差展開攻擊
根據網絡安全專家表示��,90%外部網絡攻擊的發(fā)生是因為員工無意中向黑客提供了其訪問權限����。網絡罪犯利用不了解網絡釣魚技術的內部人員,通常通過假冒網站或感染惡意軟件的鏈接等形式來竊取公司的敏感信息���。
為了保護網絡�,企業(yè)必須通過企業(yè)范圍的信息安全風險評估來識別潛在的漏洞����。企業(yè)必須意識到自己網絡的狀況以抵御網絡泄露事故����。企業(yè)領導應該了解哪些數據必須受到保護��、這些數據位于網絡的位置以及誰可以實時訪問這些數據�。
在確定重要和敏感數據后,訪問應該限于已經經過適當審查并熟悉安全協(xié)議的員工����。當聘請技術員工和承包商時,企業(yè)應該請專業(yè)第三方安全服務來進行徹底全面的背景調查��,才能讓他們在企業(yè)的基礎設施內部進行工作���。
在聘用這些人員后,企業(yè)還應該提供強制且頻繁的培訓���,以提醒員工網絡安全風險以及違反安全協(xié)議的后果��。培訓可能包括數據泄露事故可能對企業(yè)帶來的破壞以及員工如何因疏忽而受到懲罰�����。安全培訓應該包括對安全風險的討論��,包括通過筆記本電腦或個人存儲設備(可能存放在汽車和家中時被盜)將機密信息帶出辦公室�����。還應該討論機密信息的處理和分享問題����。
離職員工更要立即隔離權限
最后,當員工離開公司時���,應立即禁止其對系統(tǒng)的訪問權限���。理想情況下,當員工離職時應觸發(fā)自動數據擦除�,以防止他們重新登錄到系統(tǒng)以及訪問企業(yè)數據,特別是在不需要頻繁驗證身份的云服務����。
面對迅速變化的網絡犯罪趨勢,靜態(tài)評估���、陳舊的員工培訓和協(xié)議無法跟上網絡安全的變化��。培訓和系統(tǒng)評估必須持續(xù)進行以應對不斷變化的環(huán)境�。
http://netsecurity.51cto.com/art/201709/552648.htm
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設�、動漫設計、軟件研發(fā)�、數據中心領域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�、“制度流程”��、“技術產品”三個視角提供全面����、可信的方案,業(yè)務涵蓋咨詢�����、評估�、規(guī)劃���、管控�、建設����、培訓等�。
