安全領域應避免的4種想當然的危險觀點

2018-01-15 02:55:10MichelleDrolet

計算機世界 2018年46期

Michelle Drolet

很多企業(yè)采取措施以防止數(shù)據(jù)泄露，并采用新的政策、工具和策略，這使得他們自己感覺受到了保護，但他們的防御未必有自己想象的那么強大。不幸的是，他們很容易產(chǎn)生虛假的安全感。

數(shù)據(jù)泄露事件現(xiàn)在已經(jīng)司空見慣了，人們越來越認識到企業(yè)應采取更多的措施來打擊這類事件，做好善后工作。被盜數(shù)據(jù)的潛在成本遠遠不止清理操作，還可能受到監(jiān)管部門的罰款，名譽上受損。盡管現(xiàn)在人們對風險的認識有所提高，但是采取正確、全面的措施來保護數(shù)據(jù)比人們想象的要難。

對于企業(yè)來說，一開始時能朝著正確的方向發(fā)展，但是由于忽略了某個特殊的領域，他們的努力往往付諸東流——這并不罕見。實現(xiàn)高標準的網(wǎng)絡安全需要從整體上全面地看待風險，而且要穩(wěn)步、持續(xù)地付出努力。事實是，很多企業(yè)只是做對了一兩件事情，然后就裹足不前了，沉浸于舒適但卻錯誤的感覺中，覺得自己是安全的。

本文介紹代表這些虛假安全感的四種常見觀點。

風險并沒有那么大

規(guī)模較小的企業(yè)尤其有這種一廂情愿的想法。他們可能認為大企業(yè)才是更有吸引力的目標，但事實是，網(wǎng)絡犯罪分子更喜歡走捷徑。如果你逃避安全問題，那就可能成為唾手可得的攻擊目標。在基本的安全環(huán)境建設方面，最令人震驚的是有很多企業(yè)完全沒有安全意識。

認為自己的數(shù)據(jù)對黑客來說不是很有價值或者沒什么用的想法也是一種危險的思考方式。漏洞可能導致資源被劫持，攻擊者利用你的服務器來托管色情內(nèi)容，甚至可能破壞工作負載來挖掘加密貨幣。如果你覺得自己不會成為被攻擊的目標，那就是在拿自己開玩笑。

其實未必是某個大的犯罪團伙決定攻擊你，一個孤獨的黑客新手就能在暗網(wǎng)上購買或者租用成熟的工具，并高效地使用這些工具，而不必了解工具是怎樣工作的。

我們已經(jīng)合規(guī)了

顯然，確保遵守GDPR和即將發(fā)布的CCPA等法規(guī)是非常重要的，而且很多行業(yè)都有自己的一套規(guī)則和規(guī)章來保護不同類型的數(shù)據(jù)。不遵守這些規(guī)定會導致懲罰性的罰款。盡管有人懷疑監(jiān)管機構到底會不會開出大筆罰單，但對你來說不應該去以身試法。

遵守這些規(guī)章制度會促使你采用更好的安全標準和更全面、更健壯的事件響應計劃，但并不能保證不會發(fā)生數(shù)據(jù)泄露事件。合規(guī)無疑是一件好事，但不要將其與安全等同起來。同樣重要的是要記住，合規(guī)不是勾選某些表格然后就束之高閣了;這是對標準的承諾，需要不斷地更新和思考。

太多的企業(yè)花錢請顧問來，讓自己在最后期限前及時達到合規(guī)要求，然后就認為以后不用再考慮這些事情了。但他們錯了。

我們已經(jīng)培訓了自己的員工

我們已經(jīng)討論過建立良好的安全意識培訓計劃并關注員工行為是多么的重要，但是很多人都認為這一安全步驟也是一次性做好就夠了。一個合適的培訓項目應隨著時間的推移而不斷發(fā)展，并成為員工日程安排不可或缺的部分。

很多企業(yè)在這一領域犯的另一重大錯誤是，他們沒有測試所提供的培訓是否有效。用模擬釣魚電子郵件或者社交媒體信息來測試自己的員工，看看他們的反應是否正確——這是非常重要的。結果一定要促使采取一些行動。如果失敗，那就應該進一步加強培訓，但一再的失敗則應進行紀律處分，如果出現(xiàn)了嚴重的情況，則應解雇。

不能對員工一再違反安全標準視而不見。只有最薄弱的環(huán)節(jié)強大起來，企業(yè)的安全策略才算強大，只要有一名員工犯錯，你的努力就會付諸東流。

我們有網(wǎng)絡保險

這是一種常見的說法，讓人們覺得自己應該很安全，但有幾個原因解釋了為什么這是危險的。這是一個新的保險領域，很多買賣這些保單的人并不真正理解自己需要什么樣的保險。他們很容易覺得自己的保險很全面，但只有在索賠過程中才發(fā)現(xiàn)其實并非如此。

最好的保險應該是促使人們通過良好的行為來降低風險，但在網(wǎng)絡安全領域，目前的深度還達不到。例如，保險條款可能會要求你擁有防火墻，但并不告訴你怎樣配置防火墻。錯誤配置是攻擊者常見的切入點，因此，這確實應成為這一領域要考慮的問題。

就目前的情況而言，不應僅僅因為有了保險就認為自己是安全的。

總結

本文并沒有面面俱到地列出了可能導致對數(shù)據(jù)泄露事件產(chǎn)生虛假安全感的因素，但是企業(yè)一定要注意以上四個方面。關鍵的一點是，要想成功地防范數(shù)據(jù)泄露事件，需要做出承諾和持續(xù)的努力。