員工構(gòu)成的網(wǎng)絡(luò)安全威脅超過(guò)黑客

馬漢

根據(jù)調(diào)查顯示，在過(guò)去一年中，32 %的企業(yè)遭受網(wǎng)絡(luò)攻擊。每年企業(yè)共計(jì)損失3 880億元來(lái)應(yīng)對(duì)安全泄露事故，單用于修復(fù)計(jì)算機(jī)病毒的費(fèi)用每年達(dá)到約550億美元。雖然網(wǎng)絡(luò)罪犯受到很多關(guān)注，也經(jīng)常成為新聞?lì)^條，但其實(shí)企業(yè)內(nèi)部威脅（無(wú)論是否惡意）可能更大。

缺乏安全培訓(xùn)導(dǎo)致內(nèi)部威脅快速增長(zhǎng)

在Harvey Nash/KPMG調(diào)查中，來(lái)自世界各地的4 500名首席信息官和技術(shù)負(fù)責(zé)人表示內(nèi)部威脅是增長(zhǎng)最快的安全風(fēng)險(xiǎn)。員工和承包商對(duì)企業(yè)構(gòu)成重大威脅，他們通常沒(méi)有接受過(guò)適當(dāng)?shù)娘L(fēng)險(xiǎn)管理培訓(xùn)。

盡管有些員工對(duì)企業(yè)有惡意行為，但大部分網(wǎng)絡(luò)安全漏洞是由于疏忽或無(wú)意的錯(cuò)誤，60 %的企業(yè)承認(rèn)自己的員工不了解安全風(fēng)險(xiǎn)。那些沒(méi)有向員工傳達(dá)潛在風(fēng)險(xiǎn)以及如何防范的企業(yè)可能會(huì)面臨由于人為錯(cuò)誤導(dǎo)致的安全風(fēng)險(xiǎn)。

根據(jù)IBM發(fā)布的2016年網(wǎng)絡(luò)安全情報(bào)指數(shù)顯示，60 %的攻擊由內(nèi)部人員執(zhí)行。在這些攻擊中，四分之三涉及惡意攻擊，而四分之一為無(wú)意，這種安全泄露事故可能包括意外粘貼公司敏感信息到公司面向公眾的網(wǎng)站，發(fā)送受限信息到錯(cuò)誤的人或者不小心泄露機(jī)密記錄等。

例如，在2013年的調(diào)查中，谷歌報(bào)告稱2 500萬(wàn)Chrome警告在70.2 %的時(shí)間內(nèi)被忽視。在某些情況下，警告被忽視是由于用戶缺乏技術(shù)知識(shí)，這些員工根本不了解這些警告中使用的技術(shù)語(yǔ)言。

黑客利用員工安全意識(shí)差展開(kāi)攻擊

根據(jù)網(wǎng)絡(luò)安全專(zhuān)家表示，90 %外部網(wǎng)絡(luò)攻擊的發(fā)生是因?yàn)閱T工無(wú)意中向黑客提供了其訪問(wèn)權(quán)限。網(wǎng)絡(luò)罪犯利用不了解網(wǎng)絡(luò)釣魚(yú)技術(shù)的內(nèi)部人員，通常通過(guò)假冒網(wǎng)站或感染惡意軟件的鏈接等形式來(lái)竊取公司的敏感信息。

為了保護(hù)網(wǎng)絡(luò)，企業(yè)必須通過(guò)企業(yè)范圍的信息安全風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別潛在的漏洞。企業(yè)必須意識(shí)到自己網(wǎng)絡(luò)的狀況以抵御網(wǎng)絡(luò)泄露事故，企業(yè)領(lǐng)導(dǎo)應(yīng)該了解哪些數(shù)據(jù)必須受到保護(hù)、這些數(shù)據(jù)位于網(wǎng)絡(luò)的位置以及誰(shuí)可以實(shí)時(shí)訪問(wèn)這些數(shù)據(jù)。

在確定重要和敏感數(shù)據(jù)后，訪問(wèn)應(yīng)該限于已經(jīng)過(guò)適當(dāng)審查并熟悉安全協(xié)議的員工。當(dāng)聘請(qǐng)技術(shù)員工和承包商時(shí)，企業(yè)應(yīng)該請(qǐng)專(zhuān)業(yè)第三方安全服務(wù)來(lái)進(jìn)行徹底全面的背景調(diào)查，才能讓他們?cè)谄髽I(yè)的基礎(chǔ)設(shè)施內(nèi)部進(jìn)行工作。

在聘用這些人員后，企業(yè)還應(yīng)該提供強(qiáng)制且頻繁的培訓(xùn)，以提醒員工網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及違反安全協(xié)議的后果。培訓(xùn)可能包括數(shù)據(jù)泄露事故可能對(duì)企業(yè)帶來(lái)的破壞以及員工會(huì)因疏忽而受到懲罰。安全培訓(xùn)應(yīng)該包括對(duì)安全風(fēng)險(xiǎn)的討論，包括通過(guò)筆記本電腦或個(gè)人存儲(chǔ)設(shè)備將機(jī)密信息帶出辦公室，還應(yīng)該討論機(jī)密信息的處理和分享問(wèn)題。

離職員工更要立即隔離權(quán)限

最后，當(dāng)員工離開(kāi)公司時(shí)，應(yīng)立即禁止其對(duì)系統(tǒng)的訪問(wèn)權(quán)限。理想情況下，當(dāng)員工離職時(shí)應(yīng)觸發(fā)自動(dòng)數(shù)據(jù)擦除，以防止他們重新登錄到系統(tǒng)以及訪問(wèn)企業(yè)數(shù)據(jù)，特別是在不需要頻繁驗(yàn)證身份的云服務(wù)。

面對(duì)迅速變化的網(wǎng)絡(luò)犯罪趨勢(shì)，靜態(tài)評(píng)估、陳舊的員工培訓(xùn)和協(xié)議無(wú)法跟上網(wǎng)絡(luò)安全的變化。培訓(xùn)和系統(tǒng)評(píng)估必須持續(xù)進(jìn)行以應(yīng)對(duì)不斷變化的環(huán)境。