中小企業(yè)常常忽視的十大網(wǎng)絡(luò)安全威脅
為了能讓有限的資源應(yīng)付無(wú)窮的安全保護(hù)需求,中小企業(yè)往往不得不忽略掉各類潛在的威脅。最理想的保護(hù)措施在于防患于未然,制定策略將問(wèn)題消滅在萌芽狀態(tài)。但是在這之前,我們必須了解中小企業(yè)的網(wǎng)絡(luò)安全威脅到底是什么?以下列舉的是最近的調(diào)查顯示的中小企業(yè)常常忽視的十大網(wǎng)絡(luò)安全威脅。
1.銀行賬戶劫持
網(wǎng)絡(luò)犯罪分子每年都會(huì)利用銀行服務(wù)類木馬襲擊上百家小型企業(yè),他們能夠借木馬之力控制被害者的計(jì)算機(jī),讓銀行服務(wù)器端誤以為是真正的客戶在操作。臭名昭著的Zeus正是木馬家族中最“杰出”的代表;它能夠在數(shù)分鐘時(shí)間里從企業(yè)的銀行賬戶中提取出成百上千美元,活脫脫現(xiàn)實(shí)世界中的吸血鬼。
早在2009年,網(wǎng)絡(luò)竊賊們就曾經(jīng)對(duì)緬因州一家名為Patco的建設(shè)公司痛下殺手,通過(guò)感染該企業(yè)的計(jì)算機(jī)在不到一周的時(shí)間里從銀行賬戶中豪奪58萬(wàn)9千美元贓款。盡管Patco公司及時(shí)向銀行方面遞交了事故報(bào)告,但最終仍然只追回了不到半數(shù)的損失。
Patco公司雖然逃過(guò)了滅頂之災(zāi),但大多數(shù)中小企業(yè)仍然面臨著網(wǎng)絡(luò)犯罪分子們的致命威脅。一般來(lái)說(shuō),只要是由客戶計(jì)算機(jī)遭到入侵所導(dǎo)致的財(cái)務(wù)損失,大多數(shù)銀行都不會(huì)給予賠償或者追討。“如果您是小型企業(yè)的負(fù)責(zé)人,請(qǐng)務(wù)必小心——那些惡意人士會(huì)把銀行賬戶徹底掏空,而我們一點(diǎn)辦法都沒(méi)有。”賽門鐵克公司安全響應(yīng)部門主管Kevin Haley建議道。
截至目前,法庭仍然傾向于銀行方:就在去年,Patco公司的財(cái)務(wù)管理方Ocean銀行就在判決中贏得主動(dòng),獲得了不必為資金意外轉(zhuǎn)移負(fù)責(zé)的有利裁定。
在這樣嚴(yán)峻的事態(tài)下,最好的防御方案就是確保企業(yè)使用單獨(dú)一臺(tái)專用計(jì)算機(jī)處理網(wǎng)上財(cái)務(wù)事宜——這臺(tái)設(shè)備沒(méi)有郵件系統(tǒng)、不裝網(wǎng)絡(luò)瀏覽器,連操作系統(tǒng)也嚴(yán)禁隨意登錄,Haley告訴我們。“有能力訪問(wèn)這些財(cái)務(wù)賬戶的人越多,就會(huì)有更多設(shè)備進(jìn)行在線查詢及操作,同時(shí)也將帶來(lái)更高的安全風(fēng)險(xiǎn),”他解釋道。#p#
2.網(wǎng)站劫持
許多小型企業(yè)的官方網(wǎng)站并不會(huì)用于出售產(chǎn)品,而完全是為了吸引客戶。但也有不少公司跟Endless Wardrobe一樣,需要在網(wǎng)站上直接進(jìn)行產(chǎn)品及服務(wù)銷售。無(wú)論是哪一種情況,拒絕服務(wù)攻擊這種致命的侵襲都極為可怕——攻擊者利用這種方式占據(jù)大量帶寬,使得網(wǎng)站無(wú)暇處理正常客戶的合法交易。
過(guò)去,以拒絕服務(wù)攻擊為手段的敲詐勒索者們大多將注意力放在那些名聲不好的公司身上,例如在線博彩公司或者色情網(wǎng)站。但現(xiàn)在犯罪分子的胃口越來(lái)越大,他們已經(jīng)開(kāi)始對(duì)所有安全技術(shù)薄弱、無(wú)力抵御網(wǎng)絡(luò)攻擊的小企業(yè)們展開(kāi)侵襲。
包括CloudFlare、Incapsula以及Prolexic在內(nèi)的許多服務(wù)商都能幫助企業(yè)用戶對(duì)抗拒絕服務(wù)攻擊。他們的方法是創(chuàng)建一套“安全”網(wǎng)絡(luò)——即經(jīng)過(guò)嚴(yán)格控制的業(yè)務(wù)社區(qū),任何惡意流量在訪問(wèn)企業(yè)客戶之前都會(huì)被過(guò)濾機(jī)制攔截下來(lái),這一方面阻絕了不良請(qǐng)求、另一方面也保障了正常交易的進(jìn)行。
3.由員工造成的數(shù)據(jù)泄露
雖然說(shuō)員工是小型企業(yè)的最大財(cái)富,但他們同時(shí)也是最可能引發(fā)災(zāi)難的潛在風(fēng)險(xiǎn)。他們很可能在不經(jīng)意之間點(diǎn)擊了高危鏈接、打開(kāi)了不知附件或是犯下最基本的安全失誤,總之這些“不明真相”的群眾常常扮演著攻擊者們“內(nèi)應(yīng)”的角色。
只要能夠獲得一組密碼,犯罪分子就能夠順藤摸瓜、竊取企業(yè)整套系統(tǒng)中的全部密碼,接下來(lái)“針對(duì)企業(yè)展開(kāi)的攻擊步驟將勢(shì)如破竹、鋪天蓋地,”管理技術(shù)供應(yīng)商Thrive網(wǎng)絡(luò)公司總裁Jim Lippie如是說(shuō)。
除此之外,對(duì)公司心懷不滿的員工還可能搞出蓄意破壞等大麻煩來(lái),這甚至比惡意人士的攻擊更難應(yīng)對(duì)。
首先要對(duì)公司員工進(jìn)行安全實(shí)踐教育,從選擇高強(qiáng)度密碼開(kāi)始貫徹良好的保護(hù)機(jī)制。在許多中小企業(yè)中,員工都喜歡用同一套密碼或者有限的幾組密碼來(lái)訪問(wèn)公司資源及在線服務(wù),更有甚者還將業(yè)務(wù)密碼與個(gè)人密碼混為一談。此外,過(guò)分簡(jiǎn)單的密碼內(nèi)容也是常見(jiàn)的安全失誤之一。
其次,應(yīng)該對(duì)員工進(jìn)行背景調(diào)查,掌握哪些員工曾經(jīng)造成過(guò)安全問(wèn)題或者工作失誤。嚴(yán)格控制員工對(duì)企業(yè)敏感資源的訪問(wèn)權(quán)限,例如客戶清單以及財(cái)務(wù)信息等。利用安全及員工活動(dòng)監(jiān)控系統(tǒng)收集來(lái)自網(wǎng)絡(luò)的信息,并劃撥50美元每人的開(kāi)支對(duì)所有可疑活動(dòng)及日志內(nèi)容進(jìn)行分析——這對(duì)于小型企業(yè)而言也許價(jià)格不菲,但中型企業(yè)絕對(duì)值得嘗試這套方案。#p#
4.通過(guò)服務(wù)供應(yīng)商開(kāi)展的隱藏攻擊
大多數(shù)小型企業(yè)會(huì)借助第三方服務(wù)供應(yīng)商來(lái)管理某些技術(shù)或業(yè)務(wù)難題。托管網(wǎng)站啦、創(chuàng)建內(nèi)部郵件系統(tǒng)啦、使用云存儲(chǔ)服務(wù)啦或者管理銷售點(diǎn)系統(tǒng)啦,這些看似平常的工作都不是小企業(yè)自己能夠處理的,必須由第三方幫助解決。但到這兒?jiǎn)栴}就來(lái)了——只要合作關(guān)系確立,雙方就成了一條繩上的螞蚱,供應(yīng)商的安全漏洞也會(huì)對(duì)我們自己產(chǎn)生影響。
CloudFlare公司所遭受的攻擊就是典型的例子,惡意人士從一開(kāi)始就將目標(biāo)設(shè)定為奪取CloudFlare的客戶訪問(wèn)權(quán)上。比起直接對(duì)企業(yè)本身展開(kāi)攻擊,很多犯罪分子更喜歡對(duì)網(wǎng)絡(luò)安全供應(yīng)商下手——這樣可謂一箭多雕,只要攻擊得手,全部客戶都會(huì)成為任人宰割的板上魚(yú)肉。
根據(jù)安全服務(wù)供應(yīng)商Trustwave公司(這家企業(yè)主要為零售及醫(yī)療機(jī)構(gòu)提供服務(wù))的調(diào)查分析,去年,76%的數(shù)據(jù)外泄事故與第三方系統(tǒng)管理有關(guān)。無(wú)獨(dú)有偶,Verizon公司發(fā)布的年度數(shù)據(jù)泄露調(diào)查報(bào)告同樣指出,在遭受數(shù)據(jù)泄露困擾的企業(yè)用戶中,有46%采用了第三方合作伙伴的管理方案,且這一比例在過(guò)去三年中持續(xù)走高。
現(xiàn)在我們需要跟自己的服務(wù)供應(yīng)商好好聊聊,尋求規(guī)避風(fēng)險(xiǎn)的最佳途徑。電子郵件服務(wù)供應(yīng)商必須正視安全問(wèn)題的重要性,因?yàn)猷]件系統(tǒng)往往是抵御攻擊時(shí)最薄弱的環(huán)節(jié)。
“對(duì)于小型企業(yè)而言,員工的郵件賬戶就像一把萬(wàn)能鑰匙,能夠打開(kāi)所有相關(guān)業(yè)務(wù)賬戶的大門,”Prince指出。“只要黑客成功取得郵件賬戶的控制權(quán),那么其它所有賬戶的安保機(jī)制都將形同虛設(shè)。”許多攻擊者都會(huì)利用由云服務(wù)供應(yīng)商提供的郵件賬戶恢復(fù)機(jī)制來(lái)奪取企業(yè)托管服務(wù)的控制權(quán)。舉例來(lái)說(shuō),遭遇侵襲的CloudFlare公司就選擇將的私人郵箱地址作為企業(yè)在谷歌應(yīng)用的官方賬戶,這樣一來(lái)密碼重置確認(rèn)郵件就落入了惡意人士手中,后果自然不言而喻。
“花一整天時(shí)間為官方網(wǎng)站被攻擊而向客戶道歉當(dāng)然很不好受,但如果黑客一下子劃走數(shù)十萬(wàn)美元,那么企業(yè)將立刻面臨倒閉。”——Internet Identity公司CEO Lars Harvey
許多新興企業(yè)及小公司都采取了與CloudFlare同樣的處理方式,這就給將來(lái)的事故埋下禍根。
各類財(cái)務(wù)事務(wù)也是值得關(guān)注的安全重點(diǎn)。第一,別利用自動(dòng)票據(jù)交換交易進(jìn)行企業(yè)間的轉(zhuǎn)賬活動(dòng),或者說(shuō)應(yīng)該盡可能禁用這項(xiàng)功能。其次,問(wèn)問(wèn)公司選擇的銀行能否提供額外的安全措施,例如雙重身份驗(yàn)證、資金轉(zhuǎn)移電話確認(rèn)等機(jī)制,這些都能有效阻斷惡意人士的陰謀詭計(jì)。
“要想安全地跟銀行打交道,大家必須先確保自己擁有強(qiáng)大的控制權(quán),否則趕緊換家合作銀行,”Internet Identity公司CEO Lars Harvey告訴我們,這是一家專門處理客戶互聯(lián)網(wǎng)事務(wù)安全的企業(yè)。
討論安全性話題應(yīng)該成為選擇第三方服務(wù)商的標(biāo)準(zhǔn)流程,Prince表示。由于經(jīng)受到嚴(yán)重的惡意攻擊,CloudFlare公司如今要求每一家供應(yīng)商都必須提供嚴(yán)格的安全保障。
“‘貴公司能為我們的賬戶提供哪些額外安全保護(hù)?’如今在考慮與供應(yīng)商開(kāi)展合作之前,我們都會(huì)首先提出這個(gè)問(wèn)題,”他告訴我們。
每一家供應(yīng)商都應(yīng)該有能力提供雙重身份驗(yàn)證機(jī)制,例如便攜型實(shí)時(shí)密碼生成裝置或者通過(guò)短信發(fā)送確認(rèn)信息等。除此之外,我們還應(yīng)該選擇安全機(jī)制健全的移動(dòng)手機(jī)品牌及管理企業(yè),這樣才能保證手機(jī)遺失后不會(huì)發(fā)生賬戶失竊等一系列后續(xù)問(wèn)題。#p#
5.針對(duì)性攻擊
相信大家都聽(tīng)說(shuō)過(guò)針對(duì)性攻擊的故事,高度機(jī)密的政府部門、安全防御代理商以及大型技術(shù)企業(yè)相繼成為惡意人士的侵襲對(duì)象——但事實(shí)證明,很多小企業(yè)也會(huì)遭遇相似的針對(duì)性攻擊。
針對(duì)性攻擊的目標(biāo)往往是某一家單獨(dú)企業(yè)或者行業(yè)中的特定環(huán)節(jié),攻擊者往往通過(guò)偽裝成熟人的方式在郵件中設(shè)置“魚(yú)餌”并發(fā)送給受害者。郵件中所包含的惡意鏈接或附件會(huì)促使受害者在不知情的狀態(tài)下做出有悖系統(tǒng)安全、危害服務(wù)登錄協(xié)議、泄露密碼等可能破壞敏感信息的行為。通常這類郵件會(huì)以商務(wù)通信的姿態(tài)出現(xiàn),例如法律記錄或者虛假轉(zhuǎn)賬通知。舉個(gè)實(shí)例,幾位中型企業(yè)的財(cái)務(wù)主管就收到過(guò)來(lái)自美國(guó)專業(yè)會(huì)計(jì)師認(rèn)證協(xié)會(huì)的郵件,要求他們立即填寫附件中的回執(zhí)表格,否則其認(rèn)證資格就會(huì)被注銷。然而,就在各位主管打開(kāi)文件的同時(shí),潛伏于其中的惡意程序就瞬間感染了系統(tǒng),信息竊取木馬就此扎根于企業(yè)設(shè)備之中。
盡管以殺毒軟件為代表的眾多先進(jìn)安全系統(tǒng)一直在為企業(yè)提供保護(hù),但這類軟件依然無(wú)法始終實(shí)時(shí)跟蹤并識(shí)別攻擊者所使用的木馬程序。為了對(duì)現(xiàn)有防御機(jī)制做出適當(dāng)補(bǔ)充,企業(yè)管理者必須利用監(jiān)控軟件對(duì)異常流量、來(lái)自其它國(guó)家的通信請(qǐng)求以及大規(guī)模數(shù)據(jù)傳輸?shù)惹闆r,這樣也確實(shí)能夠有效提高業(yè)務(wù)安全性。一旦發(fā)現(xiàn)此類狀況出現(xiàn),我們幾乎可以斷定企業(yè)已然遭受惡意侵襲,并需要馬上開(kāi)展進(jìn)一步調(diào)查。
“如果大家發(fā)現(xiàn)某些流量在自己的業(yè)務(wù)環(huán)境中肆意進(jìn)出,那么必須馬上做出反應(yīng),搶在惡意程序有所行動(dòng)之前加以防范,”Zscaler公司產(chǎn)品營(yíng)銷部門主管Kapil Raina指出。
6.缺乏補(bǔ)丁更新的軟件
供應(yīng)商一般都會(huì)針對(duì)自己的軟件產(chǎn)品頻繁發(fā)布補(bǔ)丁,但大多數(shù)小型企業(yè)都沒(méi)有及時(shí)進(jìn)行安裝。在眾多可能引發(fā)問(wèn)題的因素當(dāng)中,由于瀏覽器插件缺乏更新所帶來(lái)的安全威脅可以說(shuō)最為臭名昭著,攻擊者自然也不會(huì)放過(guò)這一好機(jī)會(huì)。多年以來(lái),Adobe公司的Flash及Acrobat再加上甲骨文公司的Java都是攻擊者下手的不二選擇。只需花個(gè)千八百美元,網(wǎng)絡(luò)犯罪分子就能在網(wǎng)上淘換到不錯(cuò)的攻擊工具包。根據(jù)賽門鐵克公司的調(diào)查,這類工具能夠借助下載攻擊檢測(cè)瀏覽器中的插件,可資利用的安全漏洞往往高達(dá)數(shù)十種之多。
“大家需要制定嚴(yán)格的補(bǔ)丁安裝政策,”TeamLogic IT公司的IT部門副總裁Vincent Plaza指出,這是一家專為小企業(yè)提供服務(wù)的IT供應(yīng)商。“許多公司為了圖省事會(huì)直接開(kāi)啟Windows更新檢測(cè)器,以為這樣就萬(wàn)事大吉了。”恰恰相反,真正危險(xiǎn)的并不是操作系統(tǒng)本身,而是日常工作中經(jīng)常用到的各類軟件。所以我們必須通過(guò)專門的監(jiān)控工具了解系統(tǒng)中的哪些軟件需要更新,并確保所有程序都在30天之內(nèi)得到適當(dāng)?shù)纳?jí)。
明令禁止員工們使用第三方插件也是個(gè)不錯(cuò)的辦法,但在執(zhí)行起來(lái)可能既不順利也不愉快。“如果大家強(qiáng)迫公司員工避免使用Flash或者Java,那么他們的工作體驗(yàn)真的會(huì)非常糟糕,同時(shí)也會(huì)對(duì)企業(yè)抱有怨言,”Raina表示。
資源有限是中小企業(yè)無(wú)法回避的客觀情況,但插件安全絕對(duì)不是小事,值得管理者拿出相應(yīng)的資源認(rèn)真打理——相信我。#p#
7.網(wǎng)站成為惡意軟件集散地
小型企業(yè)常常會(huì)在創(chuàng)建官方網(wǎng)站就扔在那里不管,這種狀況在不涉及電子商務(wù)的公司群體中尤其多見(jiàn)。這里我要提醒大家,別以為只作宣傳的網(wǎng)站就不會(huì)造成危害,事實(shí)上任何疏于管理的企業(yè)內(nèi)部網(wǎng)站都可能受到攻擊者的侵襲。
“也許這些網(wǎng)站并不會(huì)影響到企業(yè)本身,但它們卻與內(nèi)部服務(wù)器緊密相連,”CloudFlare公司的Prince解釋道。“而服務(wù)器很可能成為各種惡意軟件的溫床。”
單單在美國(guó)本土,McAfee公司每天就會(huì)檢測(cè)出超過(guò)九千個(gè)新增惡意網(wǎng)站。而根據(jù)賽門鐵克公司的諾頓網(wǎng)絡(luò)安全服務(wù)調(diào)查,在這些運(yùn)行著惡意代碼的網(wǎng)站中,有60%以上都是遭到感染、破壞的合法站點(diǎn)。這些網(wǎng)站并不完全屬于企業(yè),博客及技術(shù)社區(qū)等其它一些普通站點(diǎn)也是惡意軟件的高發(fā)區(qū)域。
這種狀況會(huì)帶來(lái)哪些惡果?哈,客戶在訪問(wèn)您的網(wǎng)站之后慘遭感染,他們還會(huì)跟您的企業(yè)打交道嗎?
“如果大家的網(wǎng)站受到惡意感染,那么所影響到的絕不僅僅是內(nèi)部員工——而是所有訪問(wèn)過(guò)企業(yè)站點(diǎn)并受到感染的客戶。相信我,他們?cè)诎l(fā)現(xiàn)事情的嚴(yán)重性后絕不會(huì)再與您的企業(yè)有任何往來(lái)了,”賽門鐵克公司的Haley表示。
緊張了?別怕,解決方案在此:定期為網(wǎng)站安裝補(bǔ)丁,或者更進(jìn)一步,讓托管服務(wù)商或者托管應(yīng)用程序來(lái)處理這些工作。McAfee安全公司的產(chǎn)品及賽門鐵克公司的諾頓安全軟件都會(huì)定期檢測(cè)網(wǎng)站中的安全漏洞,并分析站點(diǎn)是否已經(jīng)受到惡意感染。CLoudFlare公司及Incapsula公司則會(huì)幫助大家把攻擊活動(dòng)徹底阻擋在自己的網(wǎng)站之外。
8.被忽視的陳舊系統(tǒng)
很多IT系統(tǒng)都會(huì)接入企業(yè)內(nèi)部網(wǎng)絡(luò),但有時(shí)候技術(shù)團(tuán)隊(duì)會(huì)由于人員更替或者年代久遠(yuǎn)而忘記了它們的存在。另外,員工也常常會(huì)悄悄把自己的計(jì)算機(jī)、路由器以及移動(dòng)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。這些被忽視的系統(tǒng)很可能沒(méi)有及時(shí)打上補(bǔ)丁,甚至已經(jīng)被惡意軟件所占據(jù)。
在眾多容易被忽視的系統(tǒng)中,有兩種最容易引發(fā)安全問(wèn)題——IP語(yǔ)音系統(tǒng)與視頻會(huì)議系統(tǒng)。很多人沒(méi)有把這二者視為傳統(tǒng)軟件,因此漏洞檢測(cè)及后期維護(hù)自然也談不上了,這就等于是為攻擊者提供了一道隨意出入的大門,安全服務(wù)供應(yīng)商Dimension Data公司首席顧問(wèn)Nick Arvanitis告訴我們。
出于“通力協(xié)作、坦誠(chéng)布公”的想法,很多公司會(huì)放開(kāi)這些系統(tǒng)的訪問(wèn)權(quán),而且根本沒(méi)意識(shí)到該嚴(yán)格將其鎖定,他指出。
安全企業(yè)Rapid7公司在過(guò)去的一年中一直在對(duì)互聯(lián)網(wǎng)進(jìn)行掃描,他們最終發(fā)現(xiàn)了約五千次針對(duì)視頻會(huì)議系統(tǒng)安全漏洞的攻擊活動(dòng)。根據(jù)Rapid7公司的評(píng)估,以上數(shù)據(jù)說(shuō)明互聯(lián)網(wǎng)上約有十五萬(wàn)套系統(tǒng)存在此類漏洞。
從自己做起,確保這些系統(tǒng)處于鎖定狀態(tài),同時(shí)像其它企業(yè)軟件一樣擁有定期更新政策。
蘋果Mac設(shè)備所使用的OS X系列則是另一類經(jīng)常被忽視的系統(tǒng)。許多小型企業(yè)之所以采用OS X是相信這款小眾系統(tǒng)在安全性方面更加強(qiáng)勁。然而就在去年,針對(duì)Mac設(shè)備開(kāi)展的首次大規(guī)模攻擊感染了超過(guò)60萬(wàn)臺(tái)蘋果電腦。事后經(jīng)過(guò)蘋果公司與殺毒軟件企業(yè)的聯(lián)合調(diào)查,才將這款名為Flashback惡意軟件控制住,阻止了情況的進(jìn)一步惡化。
總而言之,Mac設(shè)備并非絕對(duì)安全,用戶同樣需要定期安裝補(bǔ)丁,同時(shí)運(yùn)行殺毒軟件。#p#
9.移動(dòng)及無(wú)線設(shè)備
對(duì)于大多數(shù)中小企業(yè)而言,自帶設(shè)備辦公趨勢(shì)根本就不是啥新鮮事兒。不過(guò)正是由于這種輕信的態(tài)度,小企業(yè)沒(méi)有為嚴(yán)格控制并管理員工自有設(shè)備制定出切實(shí)有效的政策,這一點(diǎn)在無(wú)線網(wǎng)絡(luò)構(gòu)建方面同樣非常明顯。
“幾乎很少有中小企業(yè)會(huì)將移動(dòng)設(shè)備當(dāng)成需要嚴(yán)肅對(duì)待的終端來(lái)考慮安全問(wèn)題,”TeamLogic IT公司的Plaza表示。現(xiàn)在的智能手機(jī)與PC機(jī)、筆記本電腦與服務(wù)器一樣,都會(huì)使用獨(dú)立的操作系統(tǒng),自然需要管理者制定有針對(duì)性的終端安全管理策略,他解釋稱。
目前移動(dòng)設(shè)備中的安全漏洞到底處于何種狀態(tài)還沒(méi)有定論。谷歌公司最近剛剛發(fā)布了一份調(diào)查數(shù)據(jù),結(jié)果顯示在過(guò)去一年中,通過(guò)在谷歌Play軟件商店(前身為Android Market)遭遇惡意感染的用戶比例已經(jīng)下降了40%,這要?dú)w功于谷歌公司推出的Bouncer應(yīng)用程序評(píng)估系統(tǒng)。
企業(yè)Wi-Fi網(wǎng)絡(luò)作為移動(dòng)設(shè)備辦公不可或缺的組成部分,過(guò)去也一直受到安全風(fēng)險(xiǎn)的威脅。根據(jù)安全企業(yè)Sophos公司的調(diào)查,只有五分之一的企業(yè)能夠自信地表示自己的無(wú)線網(wǎng)絡(luò)安全機(jī)制非常完善。
許多在設(shè)計(jì)上能夠有效控制并管理無(wú)線網(wǎng)絡(luò)及移動(dòng)設(shè)備的軟件方案售價(jià)都相當(dāng)高昂,一般的中小型企業(yè)根本無(wú)法承受;然而我們?nèi)匀荒軌蛳朕k法牢牢把握住無(wú)線網(wǎng)絡(luò)與移動(dòng)設(shè)備的主控權(quán)。首先,大家在實(shí)際應(yīng)用中應(yīng)該選擇那些安全性好的無(wú)線方案(例如WPA2、801.11或者VPN)、為網(wǎng)絡(luò)訪問(wèn)設(shè)置高強(qiáng)度密碼,同時(shí)經(jīng)常掃描各類接入終端、揪出惡意設(shè)備。除此之外,我們還需要制定政策,要求員工為自己的移動(dòng)設(shè)備設(shè)置解鎖密碼,并在設(shè)備丟失時(shí)能夠及時(shí)鎖死或清除所保存的內(nèi)容。
10.聲譽(yù)損害
企業(yè)的品牌與聲譽(yù)是我們最為珍視的寶貴財(cái)富,但黑客的攻擊與輕率魯莽的員工都可能會(huì)對(duì)這筆財(cái)富造成難以估量的破壞。
首先,一旦安全體系薄弱的網(wǎng)站受到侵襲、數(shù)據(jù)遭遇失竊,企業(yè)在客戶心目中的形象自然會(huì)大打折扣。輕率魯莽的員工隨便登錄社交網(wǎng)站并大放厥詞同樣可能帶來(lái)潛在危害。建議大家制定一套社交網(wǎng)絡(luò)管理?xiàng)l例,規(guī)定哪些員工有資格以官方代表的身份在社交媒體上發(fā)表意見(jiàn)并面對(duì)公眾。
一旦企業(yè)的聲譽(yù)遭到破壞,我們必須立即組織公共關(guān)系團(tuán)隊(duì)進(jìn)行緊急應(yīng)對(duì)、修復(fù)與客戶之間的信任裂痕。萬(wàn)一遇上聲譽(yù)、錢財(cái)雙輸?shù)臓顩r,那可真是賠了夫人又折兵。“花一整天時(shí)間為官方網(wǎng)站被攻擊而向客戶道歉當(dāng)然很不好受,但如果黑客一下子劃走數(shù)十萬(wàn)美元,那么企業(yè)將立刻面臨倒閉。”Internet Identity公司CEO Lars Harvey如是說(shuō)。
