每个企业家都需要了解的7个网络安全层
据报道,本周,一名十几岁的高中生入侵了中央情报局局长约翰·布伦南的电子邮件帐户,并向WikiLeaks发布了个人详细信息。当然,布伦南(Brennan)使用的是AOL帐户,这种黑客攻击很可能是“社会工程学”攻击,其中的个人信息很可能是通过使用容易在网上找到的信息获得的。
无论如何,如果给中央情报局局长的电子邮件不安全,我们有什么机会?
如果您认为电子邮件被黑客入侵是最糟糕的情况,请考虑有人利用您的信息订购无数披萨,打电话给炸弹威胁或代表您在网上发表种族主义言论。这是来自伊利诺斯州奥斯威戈的中产阶级夫妇Paul和Amy Strater的可怕案例,他们的生活成为对他们十几岁的黑客儿子发动的网络战争的不幸附带损害,后者不明智地与另一个(更好)的战斗他经常在网上聊天室里找到黑客。
安全性和性能软件的创建者PC Pitstop的业务开发副总裁Mike Schroll曾经是一名黑客,他的职业是侵入并识别大型组织网络基础架构中的脆弱区域。
施罗尔(Schroll)指出,网络安全存在多个层次,例如一个洋葱(如果被砍的话,两者都会引起很多眼泪),企业家和业务经理需要意识到所有这些层次,以最好地保护公司的网络基础架构免受损害威胁。
1.社会工程
第一层是保护您的公司免受远距离的攻击。众所周知,黑客会在网上找到有关个人的一般信息-毕竟,我们会在社交媒体上分享有关我们自己的所有信息,然后利用这些信息来操纵银行等公司的员工,以泄露个人和敏感信息。尽管这些披露是员工的失败,但更常见的是组织培训和强调安全协议的系统失败。
Schroll建议您确定已陈述了安全流程,并与员工进行了审查并经常进行测试。有一个过程来验证呼叫者,并且永远不要泄露密码或其他敏感的客户信息。
2.人身安全
尽管您可能认为自己的建筑物和技术-以及因此的敏感信息-在物理上是安全的,但优秀的黑客知道“窍门”,使他们甚至可以渗透到这一安全层。此外,许多企业主很少注意公司运营的其他物理方面,这些方面会构成威胁,例如使计算机暴露在外或无法破坏旧的硬盘驱动器。
与其他员工一样,这些物理安全漏洞并不总是安全人员遇到的问题,而是组织的常规安全协议。Schroll建议您对驱动器进行加密,利用云备份,封闭公开的任何硬件端口,由专业人员处置旧硬件并在商业设备上使用诸如Prey Project之类的盗窃恢复软件。
3.无线安全
您的无线互联网也对您的公司构成威胁。我们通常会忘记Wi-Fi信号的延伸范围比我们办公室的墙壁还要远,并且拥有良好天线的黑客可以从很远的地方连接到您的信号。进入网络后,没有保护的文件共享或具有简单密码的计算机帐户便成为获取其他敏感信息的便捷渠道。
Schroll表示,公司应该使用WPA2协议,而不是过时的WEP或WPA。此外,您的路由器密码必须与所有其他密码一样强。切勿使用默认密码,并确保没有任何容易猜到的密码(例如,您的公司地址)。
4.密码
根据Schroll的说法,密码就像内裤一样-需要经常更改,保持私密并且切勿与任何人共享。在最好的密码很长,使用大小写字母,数字和符号的组合,并且可以在不同的账户。
Schroll建议使用容易记住的短语。例如,考虑电影《阿甘正传》中这个著名的短语,“人生就是一盒巧克力,阿甘。您永远都不知道会得到什么,这将转换为非常有效的密码“ L'aboc,F.Ynkwy'gg”。
虽然跟踪所有这些密码可能会很麻烦,但是请考虑使用一种服务(例如1Password或LastPass)来维护和保护您的密码安全。
5.两因素认证
即使密码很困难,优秀的黑客仍然有办法渗透帐户安全性。因此,企业应强烈考虑使用两因素身份验证(2FA)。大多数大型公司(例如Google,Apple和Dropbox)都为2FA提供手机号或电子邮件帐户,而Authy和Google Authenticator等应用程序可以帮助您与其他应用程序和服务一起实施。
随着诸如指纹和面部识别甚至超声波之类的更安全方法的不断发展,公司不应视需要频繁更新安全措施,以领先于黑客。
6.电子邮件安全
如果您没有其他保护措施,Schroll强调至少需要保护电子邮件帐户。考虑到一旦黑客进入了一个电子邮件帐户,就不难获得对其他帐户的访问权限,因为通常您会使用电子邮件帐户来重置忘记的密码。Schroll表示,尽管这是个老新闻,但千万不要单击电子邮件或附件中的链接,因为许多链接会将您带到看起来非常像真实网站的钓鱼网站。而是通过在浏览器上创建新标签页并输入网站URL来打开网站。
Schroll进一步建议使用Gmail和Google Apps(当然还有2FA),因为Google具有出色的垃圾邮件,病毒和网络钓鱼防护。
7.防病毒
大多数防病毒软件提供的服务有助于确保电子邮件帐户和其他敏感信息的安全。但是,即使最好的软件也存在漏洞。恶意软件病毒正在以惊人的速度创建,并且病毒防护公司很难将所有这些病毒都记录在其“黑名单”中。
因此,企业应考虑使用采用“白名单”的服务,例如PC Matic。使用白名单保护,此安全性仅允许下载预先批准的软件和程序,从而为系统增加了一层保护。
请了解,您的企业很有可能会遭到黑客入侵-这只是时间的问题。采取适当的措施来保护您的硬件,软件和云帐户,并制定清晰,详细和明了的信息和技术安全策略。
切记:不要放在在线聊天室中,在任何情况下都不要与少年黑客或个人资料名称听起来像是暴民老板或幻想向导且大写字母放置过多的人混在一起。