作者Ron Teixeira
在过去两年中,出现了一些涉及大公司的高调数据泄露案件。虽然这可能让人觉得只有大公司才是黑客和小偷的目标,但现实是黑客越来越多地瞄准小企业,因为他们通常没有大公司所拥有的资源或专有技术。
然而,这并不意味着小型企业需要花费大量资金和资源来保护自己以应对最新的威胁。事实上,根据最新的赛门铁克威胁报告,如果业务遵循简单的网络安全计划,那么82%的数据丢失或被盗都可以避免。
为了开始制定网络安全计划,您必须了解互联网威胁以及如何保护您的企业免受这些威胁直接影响您的底线。因此,国家网络安全联盟的合作伙伴包括美国国土安全部,联邦调查局,小企业管理局,国家标准与技术研究所,赛门铁克,微软,加利福尼亚,迈克菲,美国在线和RSA等。您的小企业可能在互联网上面临5种威胁,这些威胁如何伤害您的商业案例以及您可以采取的实际措施来避免这些威胁。
以下是五大威胁的摘要:
- #1:恶意代码。 东北制造公司的软件炸弹摧毁了所有公司程序和代码生成器。随后该公司损失了数百万美元,从该行业的地位中脱离出来,最终不得不解雇80名工人。要确保不会发生这种情况,请在您的企业中的所有计算机上安装和使用防病毒程序,反间谍软件程序和防火墙。此外,确保所有计算机软件都是最新的并包含最新的补丁(即操作系统,防病毒,反间谍软件,反广告软件,防火墙和办公自动化软件)。
- #2:被盗/丢失的笔记本电脑或移动设备。 去年,退伍军人事务部员工的笔记本电脑在他家中被盗。笔记本电脑拥有2650万退伍军人的病史。最后,笔记本电脑被恢复,数据没有被使用;然而,VA必须通知2650万退伍军人,导致国会听证会和公众监督。为了确保不会发生这种情况,请通过加密存储在其中的所有数据,在便携式设备上的任何位置传输客户数据时保护客户的数据。在您输入密码或加密密钥之前,加密程序会对数据进行编码或使其对外人无法读取。
- #3:鱼叉式网络钓鱼。 一家中型自行车制造商严重依赖电子邮件开展业务。在一个工作日的正常过程中,该公司收到了多达50,000封垃圾邮件和网络钓鱼电子邮件。在一个案例中,一名员工收到了一封看起来像来自IT部门的“鱼叉式网络钓鱼”电子邮件,并要求员工确认“管理员密码”。幸运的是,当员工要求直线经理“管理员密码“他进一步调查并意识到该电子邮件是一个骗局。为了确保不会发生这种情况,请指示所有员工联系他们的经理,或者只是拿起电话并直接联系发送电子邮件的人。重要的是让您的员工了解鱼叉式网络钓鱼攻击是什么,并在他们的收件箱中查找看起来可疑的任何内容。
- #4:不安全的无线互联网网络。 据新闻报道,黑客通过无线网络实现了“有史以来最大的数据泄露”。全球零售连锁店有超过4700万客户的财务信息被黑客窃取,他们通过无线网络破解,该网络由公司可用的最低加密形式保护。目前,这种安全漏洞使公司损失了1700万美元,特别是仅在一个季度就达到1200万美元,即每股3美分。为确保不会发生这种情况,请设置无线网络,确保更改默认密码,并确保使用WPA(Wi-Fi保护访问)加密无线网络。
- #5:内部/心怀不满的员工威胁。 一家处理主要汽车公司飞行运营的公司的前雇员在辞职后两周删除了重要的就业信息。该事件造成约34,000美元的损失。为了确保不会发生这种情况,请在组织内的员工之间划分关键职能和责任,限制一个人在没有组织内其他员工帮助的情况下进行破坏或欺诈的可能性。
请阅读以下内容,了解有关如何保护计算机系统的更多信息和详细建议 -
1.恶意代码(间谍软件/病毒/特洛伊木马/蠕虫)
根据2006年FBI计算机犯罪研究报告,恶意软件程序报告的网络攻击数量最多,导致每次事件平均损失69,125美元。恶意软件是秘密安装在您企业计算机上的计算机程序,可能会对计算机网络造成内部损坏,如删除重要文件,或者可能用于窃取密码或解锁安全软件,以便黑客窃取客户或员工信息。大多数情况下,犯罪分子利用这些类型的程序通过勒索或盗窃获取经济利益。
案例分析:
一家东北制造公司获得了价值数百万美元的合同,为美国宇航局和美国海军制造测量和仪器设备。然而,一天早上工作人员发现自己无法登录操作系统,而是收到系统“正在修理”的消息。不久之后,该公司的服务器崩溃,取消了所有工厂的工具和制造程序。当经理去取回磁带时,他发现他们已经走了,各个工作站也被淘汰了。该公司的首席财务官作证说,软件炸弹摧毁了所有程序和代码生成器,使公司能够定制产品,从而降低成本。该公司随后损失了数百万美元,从该行业的地位中脱离出来,最终不得不解雇80名工人。公司可以采取一些安慰,因为有罪的一方最终被逮捕并被定罪。
建议:
- 在您的企业中的所有计算机上安装和使用防病毒程序,反间谍软件程序和防火墙。
- 确保您的计算机受防火墙保护;防火墙可以是单独的设备,内置于无线系统,也可以是许多商业安全套件附带的软件防火墙。
- 此外,确保所有计算机软件都是最新的并包含最新的补丁(即操作系统,防病毒,反间谍软件,反广告软件,防火墙和办公自动化软件)。
2.被盗/丢失的笔记本电脑或移动设备
信不信由你,笔记本电脑被盗或丢失是企业丢失关键数据的最常见方式之一。根据2006年FBI犯罪研究(PDF),被盗或丢失的笔记本电脑通常导致平均损失30,570美元。然而,由于他们的财务或个人数据可能已经丢失或被盗,一个引人注目的事件或要求公司联系其所有客户的事件可能会导致更高的损失,因为他们失去了消费者的信心,损害了声誉,甚至法律责任。
案例分析:
去年,退伍军人事务部的一名员工带着一台笔记本电脑回家,里面有2650万退伍军人的病史。当员工不在家时,入侵者闯入并偷走了包含退伍军人数据的笔记本电脑。最后,笔记本电脑被恢复,数据没有被使用;然而,VA必须通知2650万退伍军人,导致国会听证会和公众监督。这种现象不仅限于政府,2006年还有一些引人注目的公司案件涉及丢失或被盗的笔记本电脑,导致数据泄露。一辆载有250,000名Ameriprise客户的笔记本电脑被汽车偷走。 Providential Health Care Hospital System的笔记本电脑被盗,其中包含数千名患者的医疗记录。
建议:
- 通过加密存储在其中的所有数据,在便携式设备上的任何位置传输时保护客户的数据。在您输入密码或加密密钥之前,加密程序会对数据进行编码或使其对外人无法读取。如果具有敏感数据的笔记本电脑被盗或丢失,但数据已加密,则任何人都不太可能能够读取数据。如果数据丢失或被盗,加密是您的最后一道防线。一些加密程序内置于流行的财务和数据库软件中。只需查看软件的用户手册,了解此功能是否可用以及如何启用该功能。在某些情况下,您可能需要一个额外的程序来正确加密敏感数据。
3.鱼叉式网络钓鱼
鱼叉式网络钓鱼描述了任何高度针对性的网络钓鱼攻击。 Spear网络钓鱼者向某个公司,政府机构,组织或团体内的所有员工或成员发送看似真实的电子邮件。该消息可能看起来像是来自雇主,或者来自可能向公司中的每个人发送电子邮件的同事,例如人力资源负责人或管理计算机系统的人,并且可能包括用户名或密码。
事实上,电子邮件发件人信息已被伪造或“欺骗”。传统的网络钓鱼诈骗旨在窃取个人信息,而鱼叉式网络钓鱼诈骗则可以访问公司的整个计算机系统。
如果员工使用用户名或密码进行响应,或者您在长矛网络钓鱼电子邮件,弹出窗口或网站中单击链接或打开附件,则可能会使您的企业或组织面临风险。
案例分析:
一家中型自行车制造商生产的自行车用于众所周知的比赛,严重依赖电子邮件开展业务。在一个工作日的正常过程中,该公司收到了多达50,000封垃圾邮件和网络钓鱼电子邮件。因此,该公司安装了大量垃圾邮件过滤器,试图保护员工免受欺诈性电子邮件的侵害。但是,许多欺诈性电子邮件仍会传递给员工。在一个案例中,一名员工收到了一封看起来像来自IT部门的“鱼叉式网络钓鱼”电子邮件,并要求员工确认“管理员密码”。幸运的是,当员工要求直线经理“管理员密码“他进一步调查并意识到该电子邮件是一个骗局。虽然这个例子没有导致经济损失,但它很容易产生,并且是所有企业的常见问题。
建议:
- 员工不应该回复声称来自您可能涉及的企业或组织的垃圾邮件或弹出消息,例如,互联网服务提供商(ISP),银行,在线支付服务甚至是政府机构。合法公司不会通过电子邮件或链接要求提供敏感信息。
- 此外,如果员工收到的电子邮件看起来像来自其他员工,并要求提供密码或任何类型的帐户信息,他们不应回复,或通过电子邮件提供任何敏感信息。相反,指示员工联系他们的经理,或者只是拿起电话并直接联系发送电子邮件的人。
- 重要的是让您的员工了解鱼叉式网络钓鱼攻击是什么,并在他们的收件箱中查找看起来可疑的任何内容。避免成为鱼叉式网络钓鱼攻击受害者的最佳方法是让每个人都知道在任何人丢失任何个人信息之前发生这种情况。
4.不安全的无线互联网网络
消费者和企业正在迅速采用和实施无线互联网网络。根据InfoTech的一项研究,到2008年,无线互联网网络普及率将达到80%。虽然无线互联网网络为企业提供了简化网络和构建基础设施或网络极少的网络的机会,但企业需要解决的安全风险使用无线互联网。黑客和欺诈者可以通过开放的无线互联网网络进入企业的计算机,因此可能窃取客户信息甚至专有信息。不幸的是,许多企业没有采取必要措施来保护他们的无线网络。根据2005赛门铁克/小企业技术研究所的研究,60%的小企业拥有开放的无线网络。此外,许多其他小型企业可能无法使用足够强大的无线安全性来保护其系统。没有正确保护无线网络就像是在夜间将商业大门敞开。
案例分析:
据新闻报道,黑客通过无线网络实现了“有史以来最大的数据泄露”。全球零售连锁店有超过4700万客户的财务信息被黑客窃取,他们通过无线网络破解,该网络由公司可用的最低加密形式保护。 2005年,两名黑客据称停在商店外,使用望远镜无线天线解码手持式支付扫描仪之间的数据,使他们能够闯入母公司数据库,并使用近4700万客户的信用卡和借记卡记录。据信,黑客可以访问信用卡数据库超过两年而未被发现。这家零售连锁店使用了一种称为无线等效隐私(WEP)的旧式加密技术,而不是使用最新的加密软件来保护其无线网络 - 无线网络保护接入(WPA),根据一些专家可以很容易地在短短60秒内入侵。目前,这种安全漏洞使公司损失了1700万美元,特别是仅在一个季度就达到1200万美元,即每股3美分。
建议:
- 设置无线网络时,请确保更改默认密码。大多数网络设备(包括无线接入点)都预先配置了默认管理员密码,以简化设置。这些默认密码很容易在网上找到,因此它们不提供任何保护。更改默认密码会使攻击者更难控制设备。
- 此外,请确保使用WPA加密对无线网络进行加密。 WEP(有线等效保密)和WPA(Wi-Fi保护访问)都可以加密无线设备上的信息。但是,WEP存在许多安全问题,使其效率低于WPA,因此您应该专门寻找支持通过WPA加密的设备。加密数据可以防止任何可能监控网络无线流量的人查看您的数据。
5.内幕/心怀不满的员工威胁
心怀不满的员工或内部人员可能比互联网上最老练的黑客更危险。根据您的业务安全策略和密码管理,内部人员可以直接访问您的关键数据,因此可以轻松窃取并将其出售给您的竞争对手,甚至删除所有这些数据,从而造成无法挽回的损失。您可以采取一些步骤和措施来防止内部人员或心怀不满的员工访问关键信息并破坏您的计算机网络。
案例分析:
一家处理主要汽车公司飞行运营的公司的前雇员在辞职后两周删除了重要的就业信息。该事件造成约34,000美元的损失。据报道,该员工对公司发布的时间比他预期的更为不满。据称,公司的防火墙遭到破坏,犯罪者闯入员工数据库并删除了所有记录。该公司的声明表明,心怀不满的前雇员是知道保护员工数据库的防火墙的登录和密码信息的三个人之一。
建议:
您的公司可以通过多种方式保护自己免受内部或心怀不满的员工威胁:
- 在组织内的员工之间划分关键职能和责任,限制一个人在没有组织内其他员工帮助的情况下进行破坏或欺诈的可能性。
- 实施严格的密码和身份验证策略确保每个员工都使用包含字母和数字的密码,并且不要使用名称或单词。
- 此外,请确保每90天更改一次密码,最重要的是,在员工离开公司后,删除员工的帐户或将密码更改为关键系统。这使心怀不满的员工在离开后更难以损坏您的系统。
- 在雇用某人之前进行尽职调查。做背景调查,教育检查等,以确保你雇用好人。
关于作者: 作为国家网络安全联盟(NCSA)的执行董事,Ron Teixeira负责网络安全意识计划和国家教育工作的整体管理。 Teixeira与各种政府机构,企业和非营利组织密切合作,以提高对互联网安全问题的认识,并为家庭用户,小型企业和教育界提供旨在确保安全和有意义的互联网体验的工具和最佳实践。
9评论▼
