很多公司企业都采取了各种办法防止数据泄露,比如采纳能让自己感觉备受保护的新策略、新工具等,但这种防御可能并没有他们以为的那么健壮。更糟的是,这种虚幻的安全感太容易得到了。
数据泄露如今十分普遍,人们开始认识到采取更多措施来对抗数据泄露并处理其后续影响。被盗数据的潜在损失不仅仅局限于清理工作的开销,还可能延伸至监管处罚和声誉伤害。尽管如今人们的风险意识有所上升,但采取正确全面的措施保护数据却比人们想象中的难。
公司企业朝着正确的方向起步却因忽视了某个特定方面而导致安全工作失败的案例并不少见。高标准实现网络安全需要深刻全面的风险视野和健壮持续的安全保护工作。但现实情况是,很多公司企业做对了其中一步或两步,然后就翘起二郎腿,沉浸在惬意却虚幻的安全感当中。
下列4种声明就是虚幻安全感的指征。
1. 风险没那么大
小公司很善于自我陶醉在这种一厢情愿的想法中。他们会认为大企业才是更显眼的目标,但网络罪犯却往往会挑抵抗力弱的小公司下手。只要削减安全投入,你就是容易得手的猎物。基本安全卫生中一个最令人震惊的事实就是有太多公司都完全无视了安全风险。
觉得自己的数据对黑客来说没什么价值是另一种危险的想法。有种攻击叫资源劫持,攻击者会用你的服务器存放色情文件或者盗用你的工作负载来挖掘加密货币。认为自己不会是黑客目标的想法根本就是在拿自己开玩笑。
根本不需要大型犯罪团伙来对你下手,一个新手黑客都可以在暗网购买或租用高级工具,无需了解工具运行原理就能黑了你。
2. 我们已经合规了
确保符合GDPR和即将生效的《2018加州消费者隐私法案》(CCPA)之类监管规定当然非常重要,很多行业也有自己的法规来保护各类数据。不合规会遭致惩罚性罚款。尽管对监管机构开出巨额罚单的意愿抱有怀疑,但这绝不是公司企业想要尝试的东西。
合规会让你倾向于采纳更好的安全标准和更全面更健壮的事件响应计划,但这可不能保证你就不会经历数据泄露。合规毫无疑问是件好事,但绝不等同于安全。而且,合规并不是照单划勾然后就可以抛诸脑后的事,而是对标准的坚持,需要不断更新和修正。
太多公司企业很可能聘用顾问在截止期前完成合规操作,然后就认为不用再关心合规这件事了。但他们都错了。
3. 我们已经做过员工培训了
设立良好安全意识培训项目和注意员工状态的重要性不用多说,但与合规类似,太多人都觉得这是个一旦完成就可以放下不管的事。恰当的培训项目应随时间进化,且是员工日程表的常规部分。
安全意识培训领域中很多公司企业常犯的另一个重大错误,是没有测试自身培训项目的有效性。很有必要通过模拟网络钓鱼邮件或社交媒体消息来测试员工的响应是否正确。测试结果应驱动某些相应的动作。测试不合格的应进行进一步培训,多次不合格就要触发处分甚至开除了。
对多次安全不达标的员工不能视而不见。安全策略的效果取决于最弱的一环,只需要一名员工就能侵蚀你的整个安全工作。
4. 我们有网络保险
网络保险常会让人拥有超出实际情况的安全感,但有2个原因足以证明这种虚假的安全感有多危险。这是个全新的责任领域,出售和购买这种保险的人大多并不真正理解到底需要什么险。很容易出现自以为在保险范围内,但在理赔时却发现自己并不受保险合同保护的情况。
最好的保险驱动能降低风险的良好行为,但网络安全领域中目前常缺乏这种深度。比如说,保险策略可能规定你得有防火墙,但没规定防火墙该怎么配置。错误配置可是攻击者的常见入侵点,保险策略真的需要将之纳入考虑。
就目前来看,可不能因为购买了网络保险就假定自己安全了。
写在最后
能导致虚幻的网络安全感的事肯定不止这些,但上述4条是肯定应该认真自省的。成功的数据泄露防御需要专注且持续的努力。
相关阅读
