马汉
根据调查显示,在过去一年中,32 %的企业遭受网络攻击。每年企业共计损失3 880亿元来应对安全泄露事故,单用于修复计算机病毒的费用每年达到约550亿美元。虽然网络罪犯受到很多关注,也经常成为新闻头条,但其实企业内部威胁(无论是否恶意)可能更大。
缺乏安全培训导致内部威胁快速增长
在Harvey Nash/KPMG调查中,来自世界各地的4 500名首席信息官和技术负责人表示内部威胁是增长最快的安全风险。员工和承包商对企业构成重大威胁,他们通常没有接受过适当的风险管理培训。
尽管有些员工对企业有恶意行为,但大部分网络安全漏洞是由于疏忽或无意的错误,60 %的企业承认自己的员工不了解安全风险。那些没有向员工传达潜在风险以及如何防范的企业可能会面临由于人为错误导致的安全风险。
根据IBM发布的2016年网络安全情报指数显示,60 %的攻擊由内部人员执行。在这些攻击中,四分之三涉及恶意攻击,而四分之一为无意,这种安全泄露事故可能包括意外粘贴公司敏感信息到公司面向公众的网站,发送受限信息到错误的人或者不小心泄露机密记录等。
例如,在2013年的调查中,谷歌报告称2 500万Chrome警告在70.2 %的时间内被忽视。在某些情况下,警告被忽视是由于用户缺乏技术知识,这些员工根本不了解这些警告中使用的技术语言。
黑客利用员工安全意识差展开攻击
根据网络安全专家表示,90 %外部网络攻击的发生是因为员工无意中向黑客提供了其访问权限。网络罪犯利用不了解网络钓鱼技术的内部人员,通常通过假冒网站或感染恶意软件的链接等形式来窃取公司的敏感信息。
为了保护网络,企业必须通过企业范围的信息安全风险评估来识别潜在的漏洞。企业必须意识到自己网络的状况以抵御网络泄露事故,企业领导应该了解哪些数据必须受到保护、这些数据位于网络的位置以及谁可以实时访问这些数据。
在确定重要和敏感数据后,访问应该限于已经过适当审查并熟悉安全协议的员工。当聘请技术员工和承包商时,企业应该请专业第三方安全服务来进行彻底全面的背景调查,才能让他们在企业的基础设施内部进行工作。
在聘用这些人员后,企业还应该提供强制且频繁的培训,以提醒员工网络安全风险以及违反安全协议的后果。培训可能包括数据泄露事故可能对企业带来的破坏以及员工会因疏忽而受到惩罚。安全培训应该包括对安全风险的讨论,包括通过笔记本电脑或个人存储设备将机密信息带出办公室,还应该讨论机密信息的处理和分享问题。
离职员工更要立即隔离权限
最后,当员工离开公司时,应立即禁止其对系统的访问权限。理想情况下,当员工离职时应触发自动数据擦除,以防止他们重新登录到系统以及访问企业数据,特别是在不需要频繁验证身份的云服务。
面对迅速变化的网络犯罪趋势,静态评估、陈旧的员工培训和协议无法跟上网络安全的变化。培训和系统评估必须持续进行以应对不断变化的环境。