調查顯示:員(yuán)工(gōng)構成的網絡安全威脅超過黑客

發布日期:2017-09-26首頁 > 安全資(zī)訊

現在我(wǒ)們越來越依賴于技術,網絡安全洩露事故導緻數據盜竊或系統中(zhōng)斷的可能性也越來越大(dà)。IT專業人員(yuán)和執法團隊正努力應對使用最新攻擊技術的網絡罪犯。

根據調查顯示,在過去(qù)一(yī)年中(zhōng),32%的企業遭受網絡攻擊。每年企業共計損失3880億元來應對安全洩露事故,單用于修複計算機病毒的費(fèi)用每年達到約550億美元。雖然網絡罪犯受到很多關注,也經常成爲新聞頭條,但其實企業内部威脅(無論是否惡意)可能更大(dà)。

調查顯示:員(yuán)工(gōng)構成的網絡安全威脅超過黑客-E安全

缺乏安全培訓導緻内部威脅快速增長

在Harvey Nash/KPMG調查中(zhōng),來自世界各地的4500名首席信息官和技術負責人表示内部威脅是增長最快的安全風險。員(yuán)工(gōng)和承包商(shāng)對企業構成重大(dà)威脅,他們通常沒有接受過适當的風險管理培訓。

盡管有些員(yuán)工(gōng)對企業有惡意行爲,但大(dà)部分(fēn)網絡安全漏洞是由于疏忽或無意的錯誤。事實上,60%的企業承認自己的員(yuán)工(gōng)不了解安全風險。那些沒有向員(yuán)工(gōng)傳達潛在風險以及如何防範這些風險的企業可能會面臨由于人爲錯誤導緻的安全風險。

根據IBM發布的2016年網絡安全情報指數顯示,60%的攻擊由内部人員(yuán)執行。在這些攻擊中(zhōng),四分(fēn)之三涉及惡意攻擊,而四分(fēn)之一(yī)爲無意。這種安全洩露事故可能包括意外(wài)粘貼公司敏感信息到公司面向公衆的網站;發送受限信息到錯誤的人或者不小(xiǎo)心洩露機密記錄。

例如,在2016年,聯邦存儲保險公司(FDIC)的員(yuán)工(gōng)下(xià)載敏感信息到個人存儲設備,導緻44000位客戶的數據面臨危險。認爲錯誤也可能包括員(yuán)工(gōng)忽視安全協議。

在2013年的調查中(zhōng),谷歌報告稱,2500萬Chrome警告在70.2%的時間内被忽視。在某些情況下(xià),警告被忽視是由于用戶缺乏技術知(zhī)識:這些員(yuán)工(gōng)根本不了解這些警告中(zhōng)使用的技術語言。

黑客利用員(yuán)工(gōng)安全意識差展開(kāi)攻擊

根據網絡安全專家表示,90%外(wài)部網絡攻擊的發生(shēng)是因爲員(yuán)工(gōng)無意中(zhōng)向黑客提供了其訪問權限。網絡罪犯利用不了解網絡釣魚技術的内部人員(yuán),通常通過假冒網站或感染惡意軟件的鏈接等形式來竊取公司的敏感信息。

爲了保護網絡,企業必須通過企業範圍的信息安全風險評估來識别潛在的漏洞。企業必須意識到自己網絡的狀況以抵禦網絡洩露事故。企業領導應該了解哪些數據必須受到保護、這些數據位于網絡的位置以及誰可以實時訪問這些數據。

在确定重要和敏感數據後,訪問應該限于已經經過适當審查并熟悉安全協議的員(yuán)工(gōng)。當聘請技術員(yuán)工(gōng)和承包商(shāng)時,企業應該請專業第三方安全服務來進行徹底全面的背景調查,才能讓他們在企業的基礎設施内部進行工(gōng)作。

在聘用這些人員(yuán)後,企業還應該提供強制且頻(pín)繁的培訓,以提醒員(yuán)工(gōng)網絡安全風險以及違反安全協議的後果。培訓可能包括數據洩露事故可能對企業帶來的破壞以及員(yuán)工(gōng)如何因疏忽而受到懲罰。安全培訓應該包括對安全風險的讨論,包括通過筆記本電(diàn)腦或個人存儲設備(可能存放(fàng)在汽車(chē)和家中(zhōng)時被盜)将機密信息帶出辦公室。還應該讨論機密信息的處理和分(fēn)享問題。

離(lí)職員(yuán)工(gōng)更要立即隔離(lí)權限

最後,當員(yuán)工(gōng)離(lí)開(kāi)公司時,應立即禁止其對系統的訪問權限。理想情況下(xià),當員(yuán)工(gōng)離(lí)職時應觸發自動數據擦除,以防止他們重新登錄到系統以及訪問企業數據,特别是在不需要頻(pín)繁驗證身份的雲服務。

面對迅速變化的網絡犯罪趨勢,靜态評估、陳舊(jiù)的員(yuán)工(gōng)培訓和協議無法跟上網絡安全的變化。培訓和系統評估必須持續進行以應對不斷變化的環境。