合規、培訓、保險、 以為做到這些就安全了?
很多公司企業都採取了各種辦法防止資料洩露,比如採納能讓自己感覺備受保護的新策略、新工具等,但這種防禦可能並沒有他們以為的那麼健壯。更糟的是,這種虛幻的安全感太容易得到了。
資料洩露如今十分普遍,人們開始認識到採取更多措施來對抗資料洩露並處理其後續影響。被盜資料的潛在損失不僅僅侷限於清理工作的開銷,還可能延伸至監管處罰和聲譽傷害。儘管如今人們的風險意識有所上升,但採取正確全面的措施保護資料卻比人們想象中的難。
公司企業朝著正確的方向起步卻因忽視了某個特定方面而導致安全工作失敗的案例並不少見。高標準實現網路安全需要深刻全面的風險視野和健壯持續的安全保護工作。但現實情況是,很多公司企業做對了其中一步或兩步,然後就翹起二郎腿,沉浸在愜意卻虛幻的安全感當中。
下列4種宣告就是虛幻安全感的指徵。
1. 風險沒那麼大
小公司很善於自我陶醉在這種一廂情願的想法中。他們會認為大企業才是更顯眼的目標,但網路罪犯卻往往會挑抵抗力弱的小公司下手。只要削減安全投入,你就是容易得手的獵物。基本安全衛生中一個最令人震驚的事實就是有太多公司都完全無視了安全風險。
覺得自己的資料對黑客來說沒什麼價值是另一種危險的想法。有種攻擊叫資源劫持,攻擊者會用你的伺服器存放色情檔案或者盜用你的工作負載來挖掘加密貨幣。認為自己不會是黑客目標的想法根本就是在拿自己開玩笑。
根本不需要大型犯罪團伙來對你下手,一個新手黑客都可以在暗網購買或租用高階工具,無需瞭解工具執行原理就能黑了你。
2. 我們已經合規了
確保符合GDPR和即將生效的《2018加州消費者隱私法案》(CCPA)之類監管規定當然非常重要,很多行業也有自己的法規來保護各類資料。不合規會遭致懲罰性罰款。儘管對監管機構開出鉅額罰單的意願抱有懷疑,但這絕不是公司企業想要嘗試的東西。
合規會讓你傾向於採納更好的安全標準和更全面更健壯的事件響應計劃,但這可不能保證你就不會經歷資料洩露。合規毫無疑問是件好事,但絕不等同於安全。而且,合規並不是照單劃勾然後就可以拋諸腦後的事,而是對標準的堅持,需要不斷更新和修正。
太多公司企業很可能聘用顧問在截止期前完成合規操作,然後就認為不用再關心合規這件事了。但他們都錯了。
3. 我們已經做過員工培訓了
設立良好安全意識培訓專案和注意員工狀態的重要性不用多說,但與合規類似,太多人都覺得這是個一旦完成就可以放下不管的事。恰當的培訓專案應隨時間進化,且是員工日程表的常規部分。
安全意識培訓領域中很多公司企業常犯的另一個重大錯誤,是沒有測試自身培訓專案的有效性。很有必要通過模擬網路釣魚郵件或社交媒體訊息來測試員工的響應是否正確。測試結果應驅動某些相應的動作。測試不合格的應進行進一步培訓,多次不合格就要觸發處分甚至開除了。
對多次安全不達標的員工不能視而不見。安全策略的效果取決於最弱的一環,只需要一名員工就能侵蝕你的整個安全工作。
4. 我們有網路保險
網路保險常會讓人擁有超出實際情況的安全感,但有2個原因足以證明這種虛假的安全感有多危險。這是個全新的責任領域,出售和購買這種保險的人大多並不真正理解到底需要什麼險。很容易出現自以為在保險範圍內,但在理賠時卻發現自己並不受保險合同保護的情況。
最好的保險驅動能降低風險的良好行為,但網路安全領域中目前常缺乏這種深度。比如說,保險策略可能規定你得有防火牆,但沒規定防火牆該怎麼配置。錯誤配置可是攻擊者的常見入侵點,保險策略真的需要將之納入考慮。
就目前來看,可不能因為購買了網路保險就假定自己安全了。
寫在最後
能導致虛幻的網路安全感的事肯定不止這些,但上述4條是肯定應該認真自省的。成功的資料洩露防禦需要專注且持續的努力。