保护企业免受网络攻击的7个步骤

现在网络罪犯开始采用越来越复杂的技巧来窃取身份信息和数据，数据泄露事故的成本也越来越高，下面是帮助企业抵御网络攻击的7个步骤。

应对网络攻击

如今，现代办公场所堆满了计算设备，从台式机到笔记本、平板电脑和智能手机，无论哪一行的员工都希望在工作中使用计算机。

计算机在工作场所的关键地位也让攻击者发现网络犯罪比以往任何时候都更加有利可图。并且，随着网络罪犯开始采用日益复杂的手段来窃取身份信息和数据，企业已经别无选择，只能部署更多安全措施来保护自身。

毫无疑问，从电脑的早期阶段到现在，安全已经发生明显变化。几年前被认为过度的安全措施现在才仅仅是够用。考虑到这一点，本文中我们列出了7个步骤来帮助你保护企业。

对所有计算机进行全磁盘加密

保护数据的关键第一步是确保数据在静态时始终为加密状态。当有人将笔记本遗忘在酒店房间，或者二手笔记本在出售前没有正确清除数据时，其中笔记本或台式机的硬盘可以物理地移除并完全克隆。通过适当的取证分析工具，克隆的硬盘驱动器可以挖掘出各种数据，包括密码、浏览器历史、电子邮件信息、聊天记录，甚至是之前已被删除的文件。

因此，全磁盘加密技术非常重要，这样，存储驱动器上的所有数据都会被加密。Windows用户可以使用微软的BitLocker，在Windows 8专业版为免费，或者使用Windows 7的Ultimate和企业版本。Mac用户可以使用FileVault，这是OS X操作系统的一部分。

考虑使用加密文件卷

使用全磁盘加密可以确保写入到存储磁盘的所有数据被默认加密，这位企业提供了很好的基础保护。然而，如果企业要保护敏感信息，他们应该为其最敏感的文件夹创建单独的加密文件卷。

在使用之前，这通常必须要先安装一个加密卷，这结合全磁盘加密几乎可以让攻击者无法破解。

TrueCrypt是这方面最流行的软件程序之一，它可以用来在项目突然被关闭之前创建加密文件卷。当然还有开源程序VeraCrypt和CipherShed，这两款产品都可以用于Windows、OS X和Linux。VeraCrypt是TrueCrypt的分支，而CipherShed是源自上一版本的TrueCrypt或者版本7.1a。

加密您的USB闪存驱动器

USB闪存驱动器是很便宜且非常方便的设备，它们可以帮助用户快速在计算机之间传输大型文件。同时，它们也非常不安全，因为它们很小，容易被放错位置或者被盗。对USB闪存驱动器操作不慎可能导致数据泄露，并且，通过现成的数据回复软件还可以恢复以前删除的数据。

对于这个问题，我们可以使用Windows或OS X的内置功能来对USB闪存存储的数据进行加密。这种方法的缺点是，它对于非专业计算机用户并不直观，并且，当你在不同平台或者不支持它的操作系统之间传输文件时可能行不通。

另外，你可以使用基于硬件的加密USB闪存驱动器，这可以在数据复制到USB时无缝地加密数据。Aegis Secure Key 3.0 Flash Drive等工具甚至可以避开对物理按键验证的软件验证，提供更高的保护来抵御间谍软件和键盘记录程序。

注意你的云存储

虽然云存储服务可以确保数据的完整性和隐私性，但它们可能吸引心怀不轨的员工、精明的攻击者去窥视，或者甚至是法院指令--这取决于数据的物理位置。

这意味着，最安全的方法是禁用公共云存储服务，或者确保你只上传加密数据。对于后者，现在有很多云服务可以帮助你确保只有高度加密的数据上传到云。

另一种方法是依靠托管在网络附加存储设备的私有云[注]，或者利用P2P私有同步，其中数据自动在私有设备之间复制。

使用密码管理器

如果不使用密码管理器，这会导致用户使用简单的密码(+本站微信networkworldweixin)，并在多个网站或在线服务使用相同的密码。在过去几年发生的无数安全泄露事故表明，大多数企业并没有对密码部署适当的保护来抵御暴力破解或社会工程学，而这可能导致严重的后果。

对此，企业应该使用密码管理器，有些密码管理器还支持使用物理fob来解锁其密码数据库。这提供了极大的便利，并且可以在通过一次性密码进行身份验证时限制间谍软件造成的损害。

启用多因素身份验证

多因素身份验证是指在允许你登录到系统之前，需要对额外的信息来源进行验证。最常见的次级信息来源可能是通过短信发送的PIN码，或者通过应用程序生成的代码。现在很多服务都提供多因素身份验证，包括云存储服务，例如Dropbox，以及Google apps等流行的服务。

另一种流行的多因素身份验证是使用物理加密狗，将其插入到USB端口。当连接到密码管理器服务(例如LastPass等)，可以使用YubiKey等工具，以帮助减少在不受信任机器访问密码服务的风险，以及抵御网络钓鱼攻击。

保护您的密码重置

最后，在过去经常被攻击者利用的方面是所有Web服务中的密码重置机制。通过社交网络丰富的个人信息，以及谷歌搜索的很多其他重要个人信息，攻击者可以用来重置我们最重要的在线账户。

这里也有非正统的方法，例如当攻击者以他的方式成功地控制了整个域名，以拦截目标账户的密码重置邮箱地址。阻止这种攻击的一种方法是在Gmail.com或Outlook.com等域名注册邮箱地址，作为接收密码重置消息的备份电子邮箱账户。

遵循这些步骤并不能让你完全抵御攻击者，但从长远来看，这些步骤可以帮助你抵御最常见的攻击。

作者：邹铮

来源：51CTO