您现在的位置是:首页 > IT基础架构 > 计算存储 >

教你如何保护企业数据安全

2012-08-28 10:52:52作者:来源:

摘要由于技术方面的可乘之机已是不多,黑客们开始寻找其他的方法潜入。黑客们于是通过缺乏密码防护经验的员工下手。这些员工通常会写错误密码,当然无法安全地分享数据。...

  由于技术方面的可乘之机已是不多,黑客们开始寻找其他的方法潜入。黑客们于是通过缺乏密码防护经验的员工下手。这些员工通常会写错误密码,当然无法安全地分享数据。

  谈及安全密码,境况同样堪忧。6月,剑桥大学Joseph Bonneau对Yahoo 公司7000万用户密码研究分析,用以评估破解密码的难度。Bonneau总结称,人们往往将密码设得过于简单。

  撇开安全知识,以及保护资产安全的资源不谈,只有将重心放在公司最薄弱的一环:你的员工上,你的公司才能够取得很大的成功。

  “现在的电脑防御比过去15年都坚固,而员工的安全防护意识相对比较薄弱。”系统网络安全协会(SANS Institute)人类防御计划培训主管Lance Spitzner称,“系统中最薄弱的一环已不是其他任何东西,正是人类自己。”

  人为因素,系统安全的七寸

  “我们将社会工程定义为一种认知过程,了解是什么因素触发了人类思考,习惯,以及反应,然后运用这些情绪反应,促使人们做出你想要的反应,”安全教育机构共同创始人Chris Hadnagy表示。

  Hadnagy不仅是Social-Engineer机构创始人,曾经出版了《社会工程学:解析人心的艺术》一书。

  2010年第18届DEF CON黑客会议上,Social-Engineer机构组织了第一次社会工程“夺旗比赛”,演示社会工程师如何瓦解企业的防御体系。

  DEF CON会议召开之前2周,组织者给每位参与竞赛的业余社会工程师一个公司名(真实存在的)。在这两周内,工程师们需使用“正统的”技术(如Google搜索),填写一张所指派公司的资料档案。他们不能与公司进行接触,无论是通过邮件,电话或其他任何途径。不过在网络上,这些人不受任何限制。在公平竞争原则下,工程师们可以放开手脚大干一场。档案用于创建公司的配置文件,绘制“攻击路线”,使目标公司的员工自己暴露“旗帜”以及公司信息。

  Social-Engineer机构负责整理参赛者的胜利成果,比如谁掌握了公司磁带备份,谁查出员工使用的浏览器及其版本,或这个公司是否有自助食堂,食堂谁开的等等。FBI将对成果列表,以及竞赛规则进行审核,严禁参赛者窃取公司密码,IP地址,或其他机密数据。“若你能让员工透露那些信息,那你就有办法让他透露更多。”Hadnagy称。

  会议上,当着现场观众面,每位参赛者都有25分钟时间,打电话给目标公司,获取尽可能多的信息。参赛者们共打出140通电话,与目标公司员工进行对话。其中只有5位员工拒绝透露参赛者询问的信息。社会工程师不仅仅通过电话撒网。使用看似来源正规的邮件,进行钓鱼欺诈,是社会工程学最好的一个例证。

  常见诱因----低系数安全密码

  谈及安全密码,境况同样堪忧。6月,剑桥大学Joseph Bonneau发布对Yahoo 7000万用户密码研究分析结果,以评估破解密码的难度。Bonneau总结称,人们往往将密码设得过于简单。

  “评估难度时,我们惊讶的发现少许变化;每一组类似的用户,生成的密码强弱分布图大致相同,”Bonneau写到,“进行类似支付卡登记等安全防范时,如年龄及国籍之类的人口因素,对密码设定产生的影响最大。甚至,我们努力推荐用户选择更安全的图像记忆法的努力,然而收效甚微。更出乎意料的是,语言完全不相同的两组用户,选择了相同的低系数密码,破解不同族群的密码时,只需突破一个族群即可,黑客甚至无需再费心改选多国词典的语言选项。”

  培养安全意识,制定训练计划

  “我们建议的对策是安全意识培养,以及安全教育,事实证明这些方法确实有用,”Spitzner称。不过机构内的安全意识培养计划少有完整实现的。原因在于,这些计划根本从设计上就不符合实际。事实上,公司可以建议安全指导委员会,用于以培养员工的安全意识。委员会可由5至10名志愿者组成,但志愿者需来自不同部门不同职位,以策划,执行,并维持安全培养计划的正常运作。Spitzner建议,志愿者范围最好从审计到律师都囊括。他指出,委员会成员要做的不仅是指导,还需使公司安全培养计划进入正轨。

  多问自己“谁”,“什麽”和“为什麽”

  指导委员会一旦建立,就需要制定计划,回答三个问题:谁,什麽,为什麽。首先回答“谁”。 Spitzner称,他见过最常见的错误是,公司妄图建立统一的安全意识,建立单一的培养计划。

  “不少培养计划制定得简单而草率,”他表示,“一项切实的计划,能帮助你明确目标和范围。”

  许多时候,针对不同的员工/合约商,IT工作人员,客服人员,高级主管,需要拟定不同的培养计划。“机构内无论是谁,所有人,哪怕接触一丁点数据的,你都要进行安全意识教育。”Spitzner称。

  目标确定后,指导委员会需要为每一目标划分学习内容。Spitzner建议称,与其涉猎广泛,却只得皮毛,不如挑选会产生重大影响的主题。每一机构的需求,所面对的风险各不相同,因此,对每一主题进行风险评估,也许会有所帮助。常见主题包括:密码,社会工程,顺从性,邮件和即时通讯,网页浏览及浏览器,社交网络,移动设备的安全问题,数据保护,以及数据销毁。

  之后,指导委员会需要制定方法,确保员工参与其中。“你会怎样说?你必须将安全意识视作一件商品,”Spitzner称,“若想员工配合,不要仅仅关注企业利益,还要重点放在员工的利益上。多数情况下,通过安全意识教育,不仅员工收获良多,企业也有所获益。”同时,Spitzner建议,应规避统一的,长时间密集训练。相反,他表示,应将主题化整为零。每一主题保持在3至5分钟内。训练前期,最好视频短片及内训穿插进行,辅以时事通讯,甚至可以评估钓鱼实例巩固培训效果。最后,安全意识培养计划需制定标准,以测量员工对计划的积极性,以及培训后他们行为改变了多少。陪养计划至少1年更新1次,根据制定的标准,对计划再次评估。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们