信息化觀察網(wǎng)

本文來自安全牛。

隨著對網(wǎng)絡(luò)安全工作的重視，很多組織的安全實踐正變得越來越復(fù)雜，這有利也有弊。由于許多新技術(shù)趨勢需要關(guān)注，比如云計算應(yīng)用、物聯(lián)網(wǎng)系統(tǒng)和大數(shù)據(jù)應(yīng)用等，會占用安全團隊很多的精力和時間，這就容易讓一些簡單、基礎(chǔ)但又不可或缺的網(wǎng)絡(luò)安全控制措施被忽略。例如，很多組織的安全分析師非常關(guān)注高級漏洞的發(fā)現(xiàn)與響應(yīng)，卻往往忽視賬號被竊取等更容易導(dǎo)致數(shù)據(jù)泄露的其他危害方式。

為了讓組織的安全建設(shè)避免出現(xiàn)事倍而功半的情況，安全研究人員對目前容易被忽視的基礎(chǔ)性安全工作進行了梳理，可以幫助安全團隊留意常被忽視的安全風險，以提高安全性，并隨時應(yīng)對那些意想不到的挑戰(zhàn)。

01

企業(yè)內(nèi)容管理系統(tǒng)中的安全漏洞

企業(yè)內(nèi)容管理系統(tǒng)對現(xiàn)代企業(yè)數(shù)字化業(yè)務(wù)開展不可或缺。為了節(jié)省時間和資金投入，很多公司都使用開源系統(tǒng)來開發(fā)內(nèi)容管理系統(tǒng)，然而有一個問題：這類開源系統(tǒng)幾乎都會存在安全缺陷，可能被用于獲取敏感信息。

公司可以采取幾個簡單的措施，輕松解決這個問題。借助熟練的IT團隊，可以將安全開發(fā)應(yīng)用結(jié)合到內(nèi)容管理系統(tǒng)代碼中，防止安全漏洞出現(xiàn)在代碼中。一旦盡量減小了漏洞的機率，就可以使用到位的隱私策略非常高效地處理其余方面。

理想情況下，內(nèi)容管理系統(tǒng)全生命周期都應(yīng)使用與其最兼容的安全工具來夯實，最常用的工具類型是Docker安全工具和Kubernetes安全工具。然而，光有這可能還不夠。企業(yè)還應(yīng)始終落實一個持續(xù)評估代碼的系統(tǒng)。安全控制評估正式名為安全測試和評估（ST&E），評估有效確立策略的程度，評估是否按計劃執(zhí)行，并在滿足系統(tǒng)的安全目標方面提供預(yù)期的結(jié)果。定期進行此類評估可以清楚地了解計劃在安全方面所處的狀況。

02

防范網(wǎng)絡(luò)釣魚的能力不足

網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)犯罪分子進入公司內(nèi)網(wǎng)系統(tǒng)的最常用手法。應(yīng)迅速且頻繁地向員工宣講數(shù)據(jù)保護方法以及如何發(fā)現(xiàn)和防止網(wǎng)絡(luò)釣魚騙局。安全部門需要在工作場所和公司內(nèi)網(wǎng)上持續(xù)開展網(wǎng)絡(luò)安全意識教育，而不能想當然地以為每個人都已經(jīng)具備識別網(wǎng)絡(luò)釣魚的能力。

安全技術(shù)部門還應(yīng)該與公司其他部門之間有緊密的聯(lián)系，這可以大幅加強網(wǎng)絡(luò)安全應(yīng)用水平，業(yè)務(wù)人員應(yīng)該毫不猶豫地向IT部門提出問題或列出潛在問題。

我們可以通過以下幾種方法來發(fā)現(xiàn)潛在的系統(tǒng)危害，將它們納入到安全意識計劃中，將有助于更好地預(yù)防網(wǎng)絡(luò)釣魚攻擊：

•系統(tǒng)莫名其妙出現(xiàn)運行速度減慢是危險信號；

•如果不足夠了解情況，不應(yīng)打開來歷不明的彈出式窗口；

•系統(tǒng)存儲空間大幅增加或減少；

•無法直接識別的文件和圖標；

•瀏覽器重定向到非預(yù)期網(wǎng)站應(yīng)該引起警惕；

•無法識別的網(wǎng)絡(luò)活動可能意味著有人企圖實施網(wǎng)絡(luò)釣魚。

03

離職員工的系統(tǒng)訪問權(quán)限不能及時取消

員工離開公司后，其具有的業(yè)務(wù)系統(tǒng)訪問權(quán)限應(yīng)立即被禁用，這就需要確保公司能夠時刻了解個人訪問級別的變化與配置?，F(xiàn)實中，很多社交網(wǎng)絡(luò)密碼之類的簡單環(huán)節(jié)可能會被忽略，從而給將來埋下隱患。

應(yīng)定期審查公司的離職程序，以確保它們能夠與時俱進，并且沒有將公司隱私信息對外暴露。每當員工升職或調(diào)動部門時，都應(yīng)該考慮到這一點。為所有重要系統(tǒng)啟用單點登錄（SSO），這是防止人員在離職后訪問資源的另一種解決方案。一旦某個賬戶被禁用，該賬戶可訪問的所有其他資源也同樣被禁用。

04

盲目依賴過時的加密方法

在企業(yè)中，有一個最常犯的錯誤就是以為所有加密后的數(shù)據(jù)都能永遠保持安全，盲目相信所使用的加密實踐始終無懈可擊。然而實際情況并非如此，加密過程中很多隱藏的技術(shù)缺陷，可能會使敏感數(shù)據(jù)面臨險境。更糟糕的是，公司可能依賴過時的加密方案，這些方案很容易被利用，或者無法兼顧不同系統(tǒng)之間的數(shù)據(jù)傳輸。

改進加密的最佳方法是從標準化的加密策略開始。明確要采用的加密方式，規(guī)范組織各級部門使用加密密鑰的做法，了解靜態(tài)數(shù)據(jù)加密和動態(tài)數(shù)據(jù)加密，并確保IT團隊和管理層符合最新的國際加密標準。此外，公司還必須制定應(yīng)急程序，必須具體說明在黑客攻擊得逞或加密意外失敗的情況下，公司能夠采取有效恢復(fù)原始數(shù)據(jù)的措施。

05

忽視物聯(lián)網(wǎng)設(shè)備的安全評估

在物聯(lián)網(wǎng)系統(tǒng)中，需要連接大量數(shù)字設(shè)備以實現(xiàn)優(yōu)化業(yè)務(wù)操作。然而，這種互連性恰恰增加了攻擊途徑和數(shù)據(jù)暴露面。在缺少可信執(zhí)行環(huán)境以及大量原代碼漏洞存在的情況下，廣泛的物聯(lián)網(wǎng)連接并不是一種可靠的業(yè)務(wù)發(fā)展方法。

企業(yè)需要盡早認識到，推動物聯(lián)網(wǎng)應(yīng)用也意味著增加安全成本，并從根本上加大保護網(wǎng)絡(luò)所需的工作量。因此，在決定是否在公司中使用物聯(lián)網(wǎng)之前，安全團隊絕不能忽視安全評估系統(tǒng)給日常運營帶來的可能風險和回報。