众所周知,信息安全的最大威胁之一来自于自己公司的内部. 网络犯罪分子在操纵用户泄露系统和泄露有价值信息方面已经变得越来越先进.
一个有效和彻底的安全意识项目必须有各种通信方法,包括一系列的主题 教育用户 关于当今世界网络罪犯使用的一系列策略. 本文将讨论其中6个非常重要的主题,即物理安全性, 密码安全, 网络钓鱼, 恶意软件, 无线安全, 安全上网.
为什么员工是你的头号风险
听现在何谓保安意识计划及为何需要保安意识计划?
由于PCI等标准的必要性和遵从性要求,安全意识程序的实施规模越来越大, FISMA, 和HIPAA, 举几个例子. 然而, 实现一个强大的目的, 彻底的安全意识程序不是简单地满足合规需求. 一个可靠的安全意识程序的真正目的是防止敏感数据的丢失和痛苦,伴随一个漏洞.
公司和组织经常开发安全意识程序来满足最低限度的要求, 但仅仅因为符合监管标准并不意味着公司就安全. 评估安全意识项目的有效性, 随着项目的更新和发展,数据跟踪安全事件和员工参与必须从一年到明年的图表,以满足不断增长的业务需求.
一个有效和彻底的安全意识程序必须有各种各样的通信方法,并包括一系列的主题,教育用户关于在当今世界的网络罪犯所使用的一系列战术. 本文将讨论其中6个非常重要的主题,即物理安全性, 密码安全, 网络钓鱼, 恶意软件, 无线安全, 安全上网.
物理安全
物理安全是一个非常重要的话题,值得我们上一堂全面的课. SANS协会解释说, 当处理物理安全时, 锁上你的门和办公桌/文件柜的抽屉应该是重点.”
保护包含敏感信息的建筑周边和内部区域是实现安全的重要第一步, 员工必须意识到这一点的重要性. 然而, 在我的社会工程经验中, 锁着的门从来不能阻止我进入大楼. 这是因为每当一扇上锁的门挡住我的去路时,公司的一名员工总是允许我进入.
我需要进入大楼的理由有很多, “这是我第一天上班, 很明显, 他们没有把我的警徽竖起来,到“我不小心把警徽忘在会议室了。. 我通常在隔壁那栋楼工作.“经常, 仅仅是在员工进入禁区时尾随他们, 在他们身后假装戴上徽章已经被证明是非常成功的. (大多数徽章读者的一个弱点是,他们会对失败的徽章发出与已接受的徽章完全相同的声音. 因此, 被尾随的受害者听到解读徽章的人非常熟悉的声音,并认为他身后的陌生人一定有一个可行的徽章.)
这就是锁桌子和文件柜的作用. 以我的经验, 很多时候,应该上锁的文件柜会有实际锁上的钥匙! 如果钥匙被转到锁定位置,但留在锁定机构中, 文件柜实际上并没有上锁, 这一概念似乎被许多员工忽视了. 另外, 在许多公司的大楼里游荡过, 我注意到无人值守的台式机经常不上锁. 恶意的个人不需要几分钟就可以进入登录的工作站,从而破坏计算机及其数据.
员工之所以这么认为,是因为他们的电脑被锁在门后, 他们是安全的,当他们离开时,没有退出. 显然,事实并非如此. 因此, 当保护敏感数据和在受限环境中工作时,所有员工都需要意识到物理安全的严重性, 而且他们一定觉得自己被赋予了质疑陌生人在这些区域存在的权力.
密码安全
公司往往要求员工在创建和替换密码时遵守最佳实践标准. 员工需要了解为什么强制的密码要求对保护自己很重要, 当用户, 和公司.
众所周知,像“Password1”这样的简单密码非常常见,而且可以预测. 对最常见的密码进行基本的互联网搜索,就会生成一篇接一篇的常见密码列表. 许多文章称,最常见的电子邮件密码是“123456”,,其他常见的密码是“abc123”,”“猴子,”和“爱虫病毒.显然,普通用户并不知道复杂密码的必要性.
用户密码的共性对网络罪犯来说是不会被忽视的, 尽管复杂的密码可以通过组策略强制执行, 总有偶尔的帐户与软弱, 可预测的密码. 最终, 在意识培训期间,应该鼓励用户创建包含特殊字符和数字的复杂密码. 从统计学上讲,密码更容易记住,但破解起来却困难得多.
用户还应该意识到与他人共享密码的潜在后果. 共享密码会让用户和公司在许多方面受到攻击. 共享密码受委托的员工是否滥用了信任员工的访问权限,是否对共享密码进行了不安全的管理, 信任的员工可能会成为受害者,并被追究责任.
最后, 关于密码保护, 员工必须意识到,不要把密码写在用户以外的任何人都能看到的地方. 具有合法访问权限的用户和碰巧进入限制区域的用户都可以恶意使用可查看的密码.
网络钓鱼
针对公司和敏感数据的网络钓鱼活动正变得越来越复杂和复杂. 员工必须意识到网络钓鱼和与此攻击相关的后果.
虽然这个概念并不陌生, 有时,术语“网络钓鱼”是很重要的,为用户明确定义这个术语是很重要的. SANS协会解释说:“例子是安全意识培训这一部分的关键. 要避免的事情.g. 点击电子邮件中提供的链接,通过电子邮件提交银行和密码信息等.),以便人们知道应该寻找什么.”
许多用户都怀疑邮件中有糟糕的语法和拼写错误,直接要求用户凭据或要求收件人点击链接. 尽管这些网络钓鱼邮件仍在广泛传播, 网络犯罪分子在他们的网络钓鱼活动中变得更加狡猾. 已成功开展网络钓鱼活动进行安全评估, 很明显,有些策略仍然极易受到用户的攻击.
写得很好, 在重要的调查中,清晰的邮件会针对要求链接的员工, 新的和改进的公司通讯, 或者政策修订只是过去被证明是成功的网络钓鱼活动的几个例子.
更进一步,在电子邮件中创建一个虚假的网站,显示公司的名称和标识,以及用户名和密码输入字段,这些字段捕获了用户的凭证,这被证明是非常成功的. 此外, 在网络钓鱼的世界里,这种通过嵌入漏洞将文件伪装成简历或有价值的公司统计数据的方法屡屡获得成功.
因此, 当用户收到要求提供任何信息的意外电子邮件时,必须让他们意识到怀疑的价值, 一个链接被跟随, 或者打开附呈的文件,不管它看起来多么合法.
恶意软件
公众认为“恶意软件”和“病毒”是同义词,这已不是秘密. 更甚的是,通常用户唯一熟悉的术语就是“病毒”.“It安全人员多次提到恶意软件这个词, 木马, 蠕虫, 等. 是否用于与一般用户的通信, 用户完全不知道这些术语的意思,也无法充分表达事态的严重性.
当安全人员正在浪费宝贵的时间试图定义术语和解释为什么安全事件是关键的时候, 他们不能再把所有的注意力集中在阻止关键事件和防止数据丢失上. 如果公司里的每个人, 包括所有管理人员和下属, 接受全面的安全教育,包括定义恶意软件术语, 病毒, 木马, 蠕虫, 间谍软件, 和广告软件, 安全人员将不再需要花费数小时试图解释基本术语,以沟通情况的严重性.
此外, 如果员工知道这些条款, 他们的定义, 以及它们可能对企业产生的潜在影响, 他们将更有能力在执行日常任务时做出安全意识的决定.
无线安全
使用能够连接到无线网络的设备的用户应该意识到与连接到未知网络相关的危险, 未经批准的无线网络. 正如大卫·墨菲在《明升app》的一篇文章中所解释的那样, 开放无线网络:说“不”!, 开放的无线网络可能是网络陷阱. 你可能会成为一个无害的恶作剧的受害者,来自一个勤劳的网络所有者,他会把你的流量过滤到一个单独的无线网络,把你访问的网页上的所有图片颠倒过来. 或者,你可能会与一个邪恶的网络工作者发生冲突,他建立了一个蜜罐……来捕获你和一个不安全的网站之间交换的数据包.”
杰克·赖特开发了一个名为“我爱我的邻居”的项目.“这个节目相对来说是无害的,它的目的是引起恼怒和混乱,作为一个好玩的恶作剧,没有利润. 当用户试图通过开放的无线连接上网时,该程序将执行许多恶作剧, 包括屏幕倒转, 重定向连接, 然后慢慢模糊屏幕,让用户相信自己的视力有问题. 你可以找到杰克·怀特的演讲“我爱我的邻居”的链接 在这里.
并不是所有的无线网络诡计都是无害的. 如前所述,捕获数据包的网络并不是无害的. 此外, “它(一个开放的无线网络)可以是中间人式的设置,使用一个服务器来记录你通过被破坏的网络发送的每一点信息. 它可能包括恶意的DNS记录,引诱你到一个受欢迎的网站的假版本(例如.g.Facebook). 你以为你是在登录真正的交易,但实际上你是在把你的证书传输给一个不善交际的人. 那些在每个网站注册时都使用类似登录/密码组合的网络冲浪者真是可悲!”
虽然对专业保安来说, this information is obvious and represents a true danger; to others, 它可能没有那么明显. 毕竟, 什么是一个受损的Facebook账户, 或者更好的是, 个人电子邮件帐户与公司的安全有关? 用户倾向于在所有登录中使用相同或相似的密码.
此外, 从这些账户中可以获得有关员工及其所在公司的有价值的信息. 通过这种信息的侦察, 网络罪犯可以了解公司的敏感信息,或者冒充员工,对公司业务造成重大损害. 考虑到只使用安全的重要性, 通过无线网络, 必须对员工进行培训,并应就接入那些未经批准的无线网络的后果进行教育.
安全的互联网浏览
潜伏在互联网的荒野里, 恶意软件猖獗,网络犯罪分子埋伏着,用陷阱和诡计来锁定和操纵用户,从而泄露敏感信息和/或损害他们的系统.
对于那些在信息安全领域工作的人来说,避免含有恶意软件的互联网内容似乎是一种直觉, 虽然我们每个人都曾在某种程度上成为受害者, 给普通用户, 避免这些内容通常不是他们的首要考虑,当然也不是出于本能. 全面的安全教育必须包括对员工进行安全上网的培训.
员工倾向于在这样的假设下工作,因为他们的工作站安装了杀毒软件, 它们不受恶意软件的影响, 但这是不正确的. 保持操作系统和应用程序最新的关键补丁和更新反病毒签名是防止系统受损的几种最佳实践方法中的两种. 然而, 即使是最新的系统和反病毒软件也可以被最新和最强大的漏洞所绕过. 这就是有教养和深思熟虑的互联网浏览发挥作用的地方.
需要让能够访问互联网的员工意识到访问未知和未经批准的网站所带来的潜在危险, 他们需要明白,如果一个网站被封锁了, 它很可能有很好的理由被阻止.
结论
创建一个可靠的信息安全意识程序覆盖恶意软件, 无线安全, 以及除了物理安全之外的网络浏览安全, 密码安全, 网络钓鱼是武装公司人员对抗网络犯罪的正确方向的一步.
一个有效的安全意识程序必须包含多种通信方法, 涵盖一系列的主题, 并在一年中定期与用户进行交流. 重要的是, 以有趣和吸引人的格式向员工展示的安全信息越多, 他们就越有可能保留这些信息,并更好地保护公司免受痛苦的安全漏洞.
LBMC信息安全团队可以帮助您评估风险,并确保您的安全工作产生最大的效益和最有效的影响. 明升体育app下载 今天要了解更多!
引用: