标签:
信息安全雷万云杂谈 |
分类: 企业信息化 |
雷博士在《企业观察报》企业信息安全系列一
与个人用户相比,企业存在大量的高质量数据。在新的安全防御面前,拉拢内部工程师、敏感数据的利益诱惑等等比创建新的恶意软件要容易得多。
而大多数企业都开放了社交网络页面,员工的移动性也在不断增强。开心网、人人网、微博等社交网站的兴起已经成为企业员工的重要消遣之一。更新一下心情、分享几张照片、发几句抱怨,殊不知,这些在吸引粉丝的同时也吸引了网络犯罪分子的眼球。研究表明,社交网站用户更容易遭受财产损失、信息被盗和恶意软件感染等威胁,其严重性甚至超过想象。社交网站最常见的攻击形式是钓鱼。犯罪分子以用户身份出现,然后向其好友发送包含恶意程序的网站。
当然,屏蔽这些社交网站能够有效避免这种威胁,这也是大多数企业的做法,但是越来越多的有组织的攻击团队开始使用精心设计的电子邮件来针对高层管理人员以及企业内部他们想要攻击的关键岗位员工。很多情况下,钓鱼邮件都是个性化的、本地化的,并且设计得好像是来自可信任来源一样,而企业是无法完全禁止发送邮件的。
安全公司Invincea公司的创始人Anup
Ghosh就表示收到过类似邮件。邮件发送到他的个人邮箱,看起来是一个好朋友发过来的邮件,包含一个能够打开朋友的女儿生日派对照片的链接。邮件甚至还包含朋友女儿的名字。
之前,美国能源部研究实验室Oak Ridge
也曾发现其在网络中存在数据窃取恶意软件程序。根据该实验室的披露显示,这次数据泄露事故源于一封发送给570名员工的钓鱼攻击邮件。这封电子邮件伪装成该实验室的人力资源部门的通知,当一些员工点击嵌入在电子邮件中的链接后,恶意程序就被下载到他们的计算机中。这个恶意程序利用了微软IE软件中未被修复的漏洞,并且目的是搜寻和窃取该实验室的技术信息。
攻击者能够利用低技术含量、假冒电子邮件的方法来渗透进入这些受到良好保护的企业表明了有针对性的钓鱼攻击日益成熟,并且已经成为非法入侵企业网络的首选办法。在这种攻击中,企业面对的是拥有丰富资源、耐心和资金的对手。通常情况下,这样的对手都愿意不断尝试直到他们攻入系统网络。
企业必须定期记录和监测网络是否存在这种钓鱼攻击造成的数据泄露。必须更注重响应和遏制,而不仅仅是预防。同样重要的是,企业要广泛地监控内部网络以确保数据没有泄露出去。
全球一体化的浪潮以及互联网技术的成熟和迅猛发展,使企业所处的竞争环境和发展空间发生了许多变化。为适应这些变化,企业需要利用IT改变过去传统的很多看法,需要利用最新的技术,向构建一个可以不断更新的战略规划方向和企业构架努力。
企业管理层对信息安全的重视、对风险和合规的高度关注都驱使IT安全部门实现更大透明度。首先需要部署精心设计的完整的且能够进行集中管理的安全方法,如防范恶意软件、数据丢失、漏洞评估和软件漏洞修复等。管理威胁的能力以及结合报告与解决方案日志的能力也变得越来越重要。
因此,解决企业内部数据的安全问题,最理想的做法是从企业业务风险大小出发,告知企业一旦数据泄露对其业务影响有多大,并且这种影响不仅在IT层面。
信息安全的另一方面在于人。制定人性化、规范化的安全管理制度也是抵御泄露的重要部分,“三分技术,七分管理”便是如此。一个完整的企业内控安全系统应是技术手段和管理制度相结合的产物,它可以有效地弥补某些无法用技术实现的安全漏洞。