技术发展增加了网络安全风险,从数量剧增的网络诈骗到越来越多的人为错误问题,企业关键敏感信息受到了更大的威胁,更有甚者,一些严重的网络安全风险还会波及人员的生命安全。
尽管绝对安全的防护保障是不存在的,但企业组织必须要全力避免那些可能关系企业生存发展的严重安全事故发生。在国家政策、法规条例的积极支持下,越来越多的企业安全意识正在不断提高,但在应对一些大型紧急事件时,仍然存在一些不足。本文汇总了一些企业组织可能面对的重大网络安全事故,并给出了相应的防护政策,希望能够为企业组织提供更具有针对性的安全防护经验知识,以备不时之需。
- 持续性强化安全控制
企业组织要想解决配置问题导致的云泄密和系统暴露等问题,首先要提升自身对配置事故和配置问题的重视程度。
配置事故多种多样,有些是真正的错误或疏忽(未要求使用双因素验证方式访问敏感资源),有些是系统对社会工程学攻击缺乏足够的防护,还有一些是因为企业组织不了解蓄意拼写错误攻击等攻击手段。
应对这一问题的解决方案有很多。企业组织可以设置更合理的默认权限,比如默认情况下所有内容都是私有的,必须采取明确的步骤使某些内容公开可见才可以被使用;还可以为云服务设置不重复的强密码,并使用双因素身份验证,避免诸如Colonial Pipeline攻击等由于密码泄露所导致的安全事件发生;此外,企业组织还可以借助Shodan和Censys等漏洞扫描和互联网扫描工具对企业潜在攻击面进行定期评估。
- 保持可靠的数据和系统备份
勒索攻击可能会给企业带来经济损失,是较为严重的攻击类型,但企业组织通常存在侥幸心理,很少有企业积极地定制应对这类攻击的防护方案。有些企业组织虽然拥有大批的应对勒索攻击的老旧软件产品,但却漏洞百出,因此企业组织应认清升级、维护这些老旧系统产品的成本,与勒索攻击真的发生时造成的业务中断和财务相比损失孰轻孰重。
虽然很多行业企业认为勒索攻击并不一定会造成经济问题,但对于医院等企业组织而言,这是生死攸关的问题。虽然无法完全避免这类攻击,但企业组织可以通过备份来应对攻击者,实施有效的方案来对关键数据进行备份,可以保证攻击发生后也可以快速恢复关键业务流程,进一步降低勒索软件攻击造成的影响。
- 数据分级分类管理
由于为保持业务顺畅运行所需的全部数据数量庞大,全部进行备份难度大、成本高,而数据窃取和勒索软件攻击盗取的可能只是企业中的重要敏感数据。因此,备份大量的普通数据毫无意义。而且一旦发生数据泄露和勒索软件攻击,这对公司反而更加不利。因此,最好的预防措施是对现有数据进行彻底分析,对重要数据进行备份,删除不需要的数据或转移不太重要的数据。这样,即使系统受到了攻击,企业组织也能保护真正重要的数据。
- 威胁警报自动化响应管理
日常工作中,海量威胁警报中的噪音也是一直困扰企业组织的难题,针对该问题,自动化技术可助一臂之力。企业组织可以配置能够对威胁警报进行优先级分类的自动化工具,以确定不同报警的重要程度,具备上下文关联分析的能力的自动化工具在对威胁情报分类分级和自动化响应能力上更有优势。
如果想进一步提升安全防护能力,企业组织可以采用经典的纵深防御模式。该模式下,如果威胁出现在内部环境中,企业组织就可以在内部进行全方位的检测、阻止和响应,就有更大的机会来阻止威胁。纵深防御模式几乎对所有企业的安全团队都有帮助,它为小型团队提供了一种经济高效、耗时更短的方法来加强安全;同时对大型企业的安全团队来说,腾出了更多的时间和资源去处理更为重大的问题。
- 提前规划恢复程序
正所谓“百密终有一疏”,无论企业组织的安全系统多严密,总可能存在漏洞。企业组织可以选购市面上最好的工具,但攻击者也在适应新技术,使攻击变得很强大,防守方的被动性是不可避免的,有些新型攻击手段企业组织可能无法预防。
在此情形下,提前规划恢复流程很重要。企业在规划恢复流程时,需要循序渐进,不能急于求成,恢复流程需要在假设失败的前提下进行。因此企业组织可以结合内部的威胁检测响应机制,选择实施预防措施。一些典型的预防机制包括:对员工进行网络安全培训、采用不重复的强密码以及双因素身份验证。另外,检测和响应机制的建立应包括分析日志、网络安全保险以及定期备份数据等多个流程,对此不可马虎。
- 保护应用系统源代码
源代码被盗和泄露的问题存在已久,可以追溯到2004年的Microsoft Windows事件和2006年的Diebold投票机事件。源代码被盗的原因常常是企业多因素身份验证(MFA)程序配置不当、攻击者撞库访问帐户、企业内部允许远程访问本地文件的系统存在漏洞或者不宜公开的恶意git存储库等原因造成的。
防止源代码被盗的一个方法是一视同仁地保护所有代码数据,尽量遵循最小访问权限原则。例如,要求只有负责处理源代码的工作人员才有权对其进行访问,但该方法的弊端在于,它会干扰开发人员的工作流程,使开发人员面临访问障碍、开发受阻等问题。
因此最好的方案是,确保源代码中永远不会出现机密信息、密码和密钥。例如,有些软件包有防止源代码意外泄露和有意泄露的功能,比如用于扫描电子邮件及其他网络流量以查找敏感数据工具上的数据防泄露软件,企业组织可以采用此类软件来保护源代码。
7.加强员工安全防范意识
除了做好实际防备工作外,确保企业组织上下全体员工的安全防范意识也很重要。一边开展实际的工作,一边提升企业全体员工的网络安全意识,这是保护自身的最佳方法。
其实许多保证企业和个人网络安全的防护手段非常基础,例如为重要网站设置不重复的强密码、使用双因素身份验证、确保软件和操作系统是最新版本、避免点击可疑或非法的链接地址、做好备份等。
然而,在面对大规模上述复杂工作环境的时候,能始终如一地做好安全防护并不是一件容易的事,此时,提升组织全体员工的安全意识就能起到巨大作用。让企业员工对安全措施更积极主动配合,即使安全检查、例行审计等工作可能看起来成本高昂且单调乏味,但如果企业组织是上述攻击的潜在目标,就能理解建立良好的企业安全意识事关重大。
