信息化觀察網(wǎng)

寫在前面

我們在上周分享了密碼安全不可忽視（上），主要談到許多企業(yè)因?yàn)槊艽a安全性差，缺乏網(wǎng)絡(luò)安全技能，以及為求得便利而忽略安全性，無謂地使公司和員工處于風(fēng)險之中。在【密碼安全不可忽視（下）】中，我們將分享面對相關(guān)風(fēng)險所應(yīng)該采取的對應(yīng)之策。

這些挑戰(zhàn)也是近期Orange CyberDefense和Okta共同舉辦的一場圓桌會議的主題。Orange CyberDefense是一家安全托管、威脅檢測和威脅情報服務(wù)提供商，Okta是一家專注身份和訪問管理的公司。這場活動聚集了來自眾多公共和私營機(jī)構(gòu)的CTO和高管，他們探討了用戶可以如何安全地進(jìn)行身份驗(yàn)證，以及如何全力構(gòu)建能夠鼓勵數(shù)字化轉(zhuǎn)型的環(huán)境，而不會為企業(yè)帶來不必要的風(fēng)險。

吃一塹長一智，學(xué)無常師

企業(yè)應(yīng)尋求能夠輕松集成到工作場所應(yīng)用程序中的身份和訪問管理解決方案，讓用戶絲毫不會察覺到額外的安全等級（因此更加便利）。基于單次密碼的單點(diǎn)登錄使用戶能夠在單一儀表板上安全地訪問所有應(yīng)用程序。一家醫(yī)療保健服務(wù)領(lǐng)域的機(jī)構(gòu)已經(jīng)采用了這種方式，來自該機(jī)構(gòu)某部門的一位參會代表建議道：“如果您要做一件能夠提高企業(yè)安全性的事，那么請采用單點(diǎn)登錄。”

很多公司都有可能成為漏洞攻擊的目標(biāo)，因此，他們?nèi)绾翁幚硎录?，以及如何積累經(jīng)驗(yàn)教訓(xùn)就很重要。一家律師事務(wù)所的安全負(fù)責(zé)人在會上說道：“如果出現(xiàn)問題，我會鼓勵所有人開誠布公。監(jiān)管機(jī)構(gòu)也會寬容以待，不會閉門不理，您的客戶可能也會采取類似的方法。”

經(jīng)歷破壞性事件的同時也可以收獲一些價值，包括對漏洞進(jìn)行評估，就像針對自己的業(yè)務(wù)一樣。這家醫(yī)療機(jī)構(gòu)的安全人員分享了該策略的實(shí)際應(yīng)用示例，并解釋道，在英國航空公司遭黑客入侵后，“他基于[英國航空公司的]情境運(yùn)行了該事件，以試圖揭露自身架構(gòu)中存在的差距和弱點(diǎn)。” 他接著說道：

我發(fā)現(xiàn)這種特殊情況原本也可能發(fā)生在我們身上。作為網(wǎng)絡(luò)專業(yè)人士，需要查看這些免費(fèi)信息并承擔(dān)集體責(zé)任，這一點(diǎn)很重要。

網(wǎng)上有很多免費(fèi)的建議，其中也不乏價值，例如英國國家網(wǎng)絡(luò)安全中心（NCSC）和歐盟網(wǎng)絡(luò)安全局（ENISA）。

自我審核

任何安全策略都應(yīng)從全面的許可審核開始：您無法對不了解的內(nèi)容進(jìn)行管理。您需要評估誰擁有哪些訪問權(quán)限，以及曾授予過他們哪些訪問權(quán)限。根據(jù)會上一位來自非營利組織的參會者所說的，其中必須包括：

云審核：您會被員工采用云服務(wù)的數(shù)量所震驚。您認(rèn)為需要保護(hù)的端點(diǎn)和應(yīng)用程序還只是冰山一角。

同樣，實(shí)施單點(diǎn)登錄可能會很有幫助，能夠降低孤立解決方案下管理多個用戶身份的復(fù)雜性。這一點(diǎn)在員工離職時尤為重要。一位參會者評論道，該解決方案“將安全流程與HR流程集成在了一起。” 人力資源專業(yè)人士不是技術(shù)專家。因此，實(shí)施嚴(yán)格的安全策略時，必須為HR人員提供合適的工具，使其能夠通過單一的用戶友好型管理控制臺，對用戶配置文件、群組和設(shè)備（以及分配權(quán)限）進(jìn)行管理。

通過外包業(yè)務(wù)提升安全性

隨著越來越多的企業(yè)開始了解托管服務(wù)相對于硬件的價值，網(wǎng)絡(luò)安全支出的趨勢正在發(fā)生變化。近期一份報告顯示，2018年安全服務(wù)支出超過了產(chǎn)品支出，至2020年，安全服務(wù)預(yù)計至少將占安全軟件交付量的50％。

活動參與者的評論也體現(xiàn)了這一點(diǎn)，其中包括一位來自醫(yī)療保健領(lǐng)域的參會者，他對機(jī)構(gòu)的發(fā)展演進(jìn)做了如是總結(jié)：

我們曾經(jīng)一度專注于技術(shù)，但現(xiàn)在我們將重點(diǎn)轉(zhuǎn)移到了人員和流程上。

大多數(shù)公司自身內(nèi)部并不具備所需的資源，因此必須進(jìn)行外包。找對了團(tuán)隊(duì)，就無需仰賴某一種技術(shù)來減輕風(fēng)險，他們會從整體角度審視網(wǎng)絡(luò)安全，提供一系列解決方案，以評估風(fēng)險，檢測威脅，保護(hù)IT資產(chǎn)，并對安全事件作出響應(yīng)。

不要讓網(wǎng)絡(luò)安全成為人員問題

變革也必須始于內(nèi)部。員工必須警惕網(wǎng)絡(luò)釣魚詐騙，并采取嚴(yán)格的密碼慣例。團(tuán)隊(duì)?wèi)?yīng)對IT基礎(chǔ)設(shè)施、應(yīng)用程序和內(nèi)部網(wǎng)絡(luò)、以及黑客使用的常見策略、技術(shù)和流程都有基本的了解。托管安全服務(wù)提供商通常會提供培訓(xùn)課程，使企業(yè)能夠提高對網(wǎng)絡(luò)安全的集體責(zé)任，從而降低風(fēng)險。

最后，變革還必須從自上而下的，需要獲得高管的支持。圍繞網(wǎng)絡(luò)安全威脅的溝通可能成為一項(xiàng)挑戰(zhàn)。

“他們認(rèn)為規(guī)則并不適用于自己。”一位參會者表示，他解釋說，這并非總是錯在高管，因?yàn)?ldquo;我們經(jīng)常會用高管們不理解的術(shù)語進(jìn)行交談。”這里提倡的解決方案很簡單，就只是讓高管們參與進(jìn)來。

當(dāng)您向他（首席執(zhí)行官）展示他自己的收件箱時，他才會真正意識到問題嚴(yán)重性。這非常奏效：我們破解了他的密碼，并介紹了訪問他的帳戶有多么容易。我們需要用他們能夠理解的方式來說話。

結(jié)論

員工和客戶的身份信息對于企業(yè)安全及其數(shù)字化轉(zhuǎn)型的成功至關(guān)重要。密碼重用是大多數(shù)機(jī)構(gòu)中最大的危險，而單點(diǎn)登錄是將風(fēng)險最小化的最簡單方法之一。企業(yè)必須保持開誠布公，并分享知識和經(jīng)驗(yàn)，讓其他人也能從中學(xué)習(xí)。

在過去20年中，情況可能并未發(fā)生太大變化，但這并不意味著轉(zhuǎn)型是不可能的。機(jī)構(gòu)可以通過采用正確的工具，與合適的人員協(xié)作，以及對所有員工進(jìn)行培訓(xùn)，在保持無縫用戶體驗(yàn)的同時降低風(fēng)險。當(dāng)然，也千萬不要再使用簡單至極的密碼。