在应对网络安全威胁时,内部威胁已成为首要问题,也是造成漏洞的主要原因之一。然而,内部威胁并不意味着内部人员有恶意。很多时候,威胁是不知情的用户犯了一个错误,如按钓鱼邮件行事,进而导致漏洞。根据《2021 年内部人员数据泄露调查》,94% 的组织去年遭遇过内部人员数据泄露,84% 的组织直接因人为错误而遭受过数据泄露。内部人员的威胁不仅限于网络钓鱼攻击。2019 IBM X-Force Threats Intelligence Index将配置错误的系统、服务器和云环境列为内部人员无意中让组织遭受攻击的两种最常见方式之一。您无法消除人为错误,但通过提供明确的网络安全指南和定期的员工培训,可以降低事件发生的频率和严重程度。
要减少人为失误在网络安全事件中的作用,第一步就是制定网络安全政策,并为员工提供教育,教授网络安全的注意事项。以下列出了政策中应包含的十点内容,希望对您的工作有所帮助。
1.强调网络安全的重要性
首先要解释网络安全的重要性和潜在风险。客户或员工数据被盗会严重影响相关个人,并危及公司。员工必须能够快速找到报告安全事件的地点。不要依赖用户记住要在哪个内部网站搜索联系信息;确保信息位于直观的位置。或许可以将写在便签上的密码换成报告事件所需的信息!
2.教授有效的密码管理
密码可以决定公司网络安全系统的成败。包括密码要求指南。NIST 特别出版物 800-63 修订版 3对建议的密码准则进行了重大修改。向员工强调不得在不同网站上使用相同的密码。言行一致。如果希望员工记住多个密码,则应提供必要的工具,以减少痛苦。密码管理器具有重要价值。多因素身份验证降低了密码泄露的影响,即使是密码管理器的主密码。
3.教员工如何识别骗局并采用最佳做法
教育员工了解各种网络钓鱼邮件和骗局,以及如何识别其中的猫腻。如果员工收到一封看起来不寻常的电子邮件,即使它看起来像是其他员工发送的内部电子邮件,他们也必须在打开附件或点击链接之前先向发件人核实。最好通过电话或当面与发件人核实。当电子邮件账户被劫持时,攻击者会回复询问电子邮件中信息的有效性。尽可能访问公司网站,而不是点击电子邮件中的链接。例如,如果一封来自 LinkedIn 的电子邮件中有一个链接,请输入www.linkedin.com并登录您的账户查看邮件。
此外,提供有关保护文件和设备的最佳实践的一般网络安全知识,有助于加强组织的防御能力。OPSWAT 学院提供有关这些最佳实践的免费课程,任何希望进一步了解OPSWAT 特定技术的人都可以参加。
4.应用更新和补丁
现代操作系统、反恶意软件程序、网络浏览器和其他应用程序会定期自我更新,但并非所有程序都会这样做。当员工安装未经批准的软件时,IT 部门可能不知道其资产上存在未打补丁的易受攻击应用程序。IT 部门有责任核实操作系统和应用程序是否有最新的补丁和版本。未能确保端点和服务器的状态属于系统配置错误等无意造成的内部威胁。必须定期进行漏洞扫描和系统审计。
5.保护 PII
攻击者的目标通常是机密数据,如信用卡数据、客户姓名、电子邮件地址和社会安全号。在向组织外部发送这些信息时,员工必须明白不能只通过电子邮件发送信息。必须使用安全的文件传输系统,对信息进行加密,只允许授权的收件人访问。更安全的是,像OPSWAT这样的 DLP技术可以通过检测和阻止文件和电子邮件中的敏感和机密数据(包括信用卡号和社会安全号),帮助防止潜在的数据泄露和违反法规。
6.锁定计算机和设备
当员工离开办公桌时,必须锁定屏幕或注销,以防止任何未经授权的访问。员工有责任锁上自己的电脑;不过,IT 部门应配置非活动超时,以防万一。笔记本电脑在不使用时也必须上锁。
7.Secure 便携式多媒体
丢失或被盗的mobile 手机会对机主及其联系人构成重大威胁。这些设备必须使用屏幕锁。外置 MicroSD 卡和笔记本电脑硬盘等存储设备必须加密。当携带USB 驱动器和 DVD 等便携式媒体时,在访问工作电脑和网络等资源之前,必须对这些设备进行恶意软件扫描。OPSWAT MetaDefender Kiosk 为验证便携式媒体 的安全性提供了一个简单的解决方案。
8.报告丢失或被盗设备
告知员工被盗设备可能成为攻击者获取机密数据的入口,员工必须立即报告设备丢失或被盗。通常情况下,IT 部门可以远程擦除设备,因此及早发现可以起到事半功倍的效果。
9.发挥积极作用
解释员工必须运用常识,并在安全方面发挥积极作用。如果发现可疑活动,必须向IT 管理员报告。如果员工发现错误,即使已经发生,也要向IT 报告,这意味着仍然可以采取措施减轻损失。网络安全关系到公司的每个人,每个员工都需要积极为公司的安全作出贡献。如果员工担心报告错误会丢掉工作,他们就不太可能报告错误。确保员工能够放心地报告事件。
10.应用隐私设置
告知员工,强烈建议他们在 Facebook 和 Twitter 等社交媒体账户上应用最大限度的隐私设置。要求他们确保只有联系人才能看到自己的个人信息,如出生日期、所在地等。限制网上个人信息的数量将降低鱼叉式网络钓鱼攻击的有效性。尤其要警惕来自 LinkedIn 联系人的任何可疑信息。如果 LinkedIn 联系人的账户受到威胁,就有可能发动一些最复杂的社交工程攻击。
新员工入职培训应包括网络安全政策文件和指导。定期提供网络安全培训,确保员工理解并牢记安全政策。确保员工理解政策的一个有趣方法是进行测验,测试他们在示例情况下的行动。
除了通知和培训员工,公司还需要确保建立监控和管理计算机及设备的系统,使用反恶意软件多重扫描确保服务器、电子邮件附件、网络流量和便携式媒体的安全,并确保员工能够安全地传输机密文件。了解更多有关公司可采取的进一步措施,以确保在办公室和家中的安全访问。
