网络安全常见的几个误区,不要忽视网络安全

马里兰大学机械工程教授Michel Cukier的一项研究表明,黑客每39秒就会攻击计算机。几乎令人惊讶的是,有很多人认为自己不符合条件,而不会被黑客入侵。

误区1:我的业务太小,不必担心网络攻击

您可能经营一家小型企业,但黑客往往不会歧视。“针对性攻击针对具有特定目标的一家公司,个人或资产,通常利用零时差攻击,” Outreach的 CISO Martin Rues解释说。

“另一方面,机会主义攻击正在使用扫描和其他传统方法来寻找受害者,以发现可利用的漏洞。”他认为,大多数攻击都属于后者。

那是因为黑客不需要高水平的技能就可以进行机会主义攻击。“反过来,这使得攻击者更容易留下较大的爆炸半径;不管规模大小,甚至业务功能如何,在这个爆炸半径之内,较小的公司都处于高风险之中。”

网络安全专家格雷格•斯科特(Greg Scott)(《靶心突破:电子入侵的剖析》)的作者一直听到这是一个常识。“变化包括,'我们不在这里进行国家安全,因此在安全方面的支出没有投资回报率”或“如果他们想要我们的记录,他们就可以拥有它们。”他说,这种推理有两个关键问题。

也许没有人想要您的数据,但也许您的数据不是真正的目标。斯科特说:“您的系统可能是实现多汁目标的一部分。” 如果您在想,“那不是我的问题,我为什么要在乎呢?”考虑一下后果。“您真的不希望您的企业在重大网络攻击中被标记为典当;想象一下所有不良宣传所带来的投资回报率的下降。”

经常更改密码似乎是使坏人领先一步的好方法。斯科特指出了两个例子。他说:“攻击者使用了Fazio Mechanical窃取的凭据作为2013年Target漏洞的第一步,” “第三方在更大的2014年Home Depot违规事件中也发挥了作用。”

但是,这种想法如果出现问题还有另一个原因:勒索软件攻击。

斯科特说:“也许您的数据在组织外并不重要,但是如果有人对其进行扰乱可能会毁灭性的。” “只需向亚特兰大市,巴尔的摩市或成千上万个其他勒索软件受害者组织询问一下。”

误区2:只要我经常更改密码...

但是,根据A2U创始人兼首席执行官Dan Dillman 所说,这是一个神话。他说,过去,业界确实建议用户经常更改密码-设置为每90天自动过期一次。

“我们发现并经研究证实,这是在引导用户选择易于记忆的可预测密码,这意味着黑客也更容易猜出这些密码。”

谁会忘记可怕的“密码”或“ 12345”或“ abcde”密码?可以猜测生日,电话号码,社会安全号码以及在书籍,演讲,电视节目等中可以找到的任何密码,或者使用可以连续搜索密码的计算机程序。

Dillman实际上建议将密码设置为永不过期。他建议说:“关注密码的复杂性,而不是重置频率。” “我鼓励用户谨慎选择密码,遵循密码安全的最佳做法,例如避免在其他网站或常用单词和短语上使用密码。” ZC!mb&RRax * eK%sn#.1是更复杂的密码示例。

Dillman还建议使用多因素身份验证(MFA)来提高安全性。

误区三:政策将保护我们

但是,强密码只能提供这么多的保护。ServerCentral Turing Group联合创始人布伦丹·考菲尔德(Brendan Caulfield)表示:“在2013年,对公司的重大网络攻击中,几乎70%都包含某种形式的社会工程学。“这种威胁在今天仍然很普遍,没有任何策略或密码更改可以抵御这种类型的媒介。”

他说,最好的防御措施是教育,意识和怀疑态度。“许多公司都接受了有关这些主题的员工培训,但是我们还有很长的路要走,攻击者通常至少要领先一步。” Caulfield说,他对这些类型的攻击表示怀疑,并一直在寻找它们。

“但是,我每周受到多次攻击,攻击继续变得越来越复杂,嗅探不良内容可能是一个挑战,即使对于那些可疑和受过教育的人也是如此。”

相反,他认为教育和培训是必要。“培训不仅涉及特定的策略,而且还涉及确保您可以发现可疑的东西。” Caulfied说您必须勤奋。“一次放下警惕可能会带来可怕的后果,无论是对个人还是对企业而言。”

误解四:坏蛋只在互联网上

尽管Internet上有一些坏人,但您不能忽略他们也可能坐在公司休息室的旁边。Caulfield警告说:“有很多来自企业内部的网络安全攻击实例。”

“其中一些是有关访问和不良行为者的故事,这些行为者对公司的IP进行了监控,并利用它们造福于他们的利益并损害了公司。”他提供了一些引人注目的示例:

一位Google工程师偷走了自动驾驶汽车技术,并在他为Uber工作时带走了IP。 2017年,Anthem的一名员工正在窃取和滥用Medicaid订户的PHI(受保护的健康信息),并将这些数据用于个人收益。 Verizon报告说,报告的(重要的区别)PHI泄漏中有58%是内部或内部恶意软件的结果。

这些类型的社会工程攻击很难发现,因为员工很少怀疑他们的同事和同事-但是这些人可以访问数据,PII(个人身份信息)和IP。

Caulfield警告说:“所有公司都必须认真对待这一点,并严格控制谁可以访问哪些内容。” “他们还需要非常严格的上岗和下岗程序以及定期审核和验证内部安全性的流程,以确保所有员工都只能访问他们完成工作所需的一切。”

另一个选择是实施可以监视可疑活动并在检测到可疑活动时提醒安全团队的系统。

误区5:我拥有自己的社交媒体数据

大多数人都使用社交媒体进行个人活动-尽管公司也使用社交媒体做广告并与客户建立联系。X1首席执行官Craig Carpenter表示:“他们还将其用于商业和法律目的,包括取消工作或学校候选人的资格,出于学校或活动安全的考虑,并作为法律诉讼的证据。” 员工因发布令人反感的社交媒体帖子而被解雇,即使他们在撰写时已下班。

“社交媒体帖子也已被用作雇佣程序的一部分或在诉讼中用作展览品,”卡彭特解释说。例如,在2018年4月的一宗诉讼案中(哈维诉利文斯顿的鲍姆加特咖啡馆),植物a的律师未能按时提出动议,并被勒令解释为什么她错过了最后期限。律师说,家庭紧急情况要求她必须出国。但是,向法院出示的社交媒体帖子却被证明是相反的,律师被判处罚款10,000美元。

社交媒体数据也已以其他方式使用。骗子骗取了孩子们的照片,用于欺诈性的GoFundMe广告活动,并且有魅力的人的照片通常被用作约会网站(甚至Twitter)上的个人资料照片。

误区六:我的工作计算机就是我的计算机

如果您有手提电脑,那么将个人信息保存在笔记本电脑上很方便。但是,卡彭特说这是一个坏习惯,可能导致员工和公司头疼。“首先,在美国,公司发行的设备几乎始终是公司的财产-包括设备上的所有内容(通过员工使用协议中的标准字眼)。”结果,它可以被召回而没有提前。注意。

“第二,如果笔记本电脑在越来越普遍的公司网络事件中遭到破坏,则个人内容可能会被盗窃并用于邪恶目的,例如勒索。”卡彭特说。“第三,根据公司政策,可能会禁止员工在公司发布的设备上保留个人信息,从而使员工有可能受到公司纪律处分。”

第四,由于设备属于公司,他说,如果在笔记本电脑上安装未经批准的PII,可能会承担责任。

版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

中国领先的互联网域名及云服务提供商

为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

域名注册云服务器