高级管理人员是恶意黑客和其他图谋不轨者最喜欢的目标之一,部分原因是他们更有可能持有有价值的信息——或者对这些数据拥有较高的访问级别。
这就是为什么组织必须确保高管和其他高级管理人员遵守最严格的数据保护标准,并尽可能使用合适的安全技术,包括在他们要去高风险的地点时。
商业和技术咨询公司West Monroe Partners的首席网络安全架构师Wayne Lee表示:“高管成为目标是因为他们在组织内的权限和影响力,特别是那些能接触到敏感经济数据或个人身份信息的高管。”
信息安全论坛(Information Security Forum)的总经理Steve Durbin表示,任何获取潜在价值信息的人都有遭受网络攻击的风险,该论坛是一个致力于调查和解决信息安全和风险管理关键问题的独立组织。
Durbin说:“当然,这将包括常见的高管人员,但这不再限于董事会成员。个人助理、系统管理人员,几乎任何有能力为决意寻找有价值的信息的网络罪犯提供渠道的人现在都牵扯进来了。”
组织可以采取以下步骤来保护高级管理人员及其直接联系人,使他们不会成为重大安全漏洞的切入点。
让高管明白他们将成为目标
日理万机的高管们不想为自己成为网络攻击的下一个目标而担惊受怕。但这是他们需要思考的问题。
玛利斯特学院(Marist College)的IT副总裁兼首席信息官们Bill Thirsk说:“高管要内化他们的目标。网络攻击者在追寻高价值目标之前,需要花时间观察、规划、实践、磨练和强化自己的技艺。攻击者享尽了天时地利——隐形、时间、欺诈,以及能发起指定的随机攻击的多重平台——所有这一切都与正常的人类行为、好奇心以及对连通性的需求相抵触。”
Thirsk说,人们必须了解高管的“数字足迹”,并且弥合作为实践问题的差距。他说,高管们应该登记、确认和监督社交账号。
但让高管支持保护措施颇具难度。SoCal Privacy Consultants的副总裁兼首席安全顾问Paul Boulanger表示:“我所看到的每一项统计数据都表明,高管们最不可能遵守他们期望他人遵守的政策。部分原因在于他们是非常愿意为了方便而牺牲安全的人。”
组织需要确保技术控制到位,而不是期望高管以安全的方式工作。Boulanger说:“例如,邮件服务器要强制智能手机启用加密并启用密码锁定才能允许人们访问公司的电子邮件。如果高管或任何其他用户禁用了密码锁定,则电子邮件访问权限会自动取消。”
在某些情况下,约束对高管不起作用。Thirsk说:“我们发现,对于我们的文武双全的高管来说,施加任何约束都是行不通的。他说:“与各种各样的人交往需要接触和关注,所以在高管的词典里没有‘限制’一词。”
超前于威胁的唯一方法就是通过智能的,主要是自愿承担的,明智的行为修正来保证线上的安全。高管不能单靠别人来保护他们。Thirsk表示:“他们必须能轻易辨别伪造的电子邮件地址、恶意链接或其它会泄露秘密的‘令人不快的’情境。
认真对待威胁——教育高管了解攻击
钓鱼攻击,以及最近的勒索软件是让高管提供黑客需要窃取的重要信息的常见方式。Thirsk说:“涉及到最近对领导者及其组织形成毁灭性打击的威胁,钓鱼攻击和勒索软件没有得到应有的报道。董事会上往往没有严肃地讨论它们”
Thirsk说,高管们想接入最新的信息急流,这是再自然不过的事情,因为这种需求,他们有时很想点击那些看似很重要或很有趣的信息。
同时,高管要求拥有一台接入所有信息渠道的设备——商业的和个人的。Thirsk说:“集不同的安全要求于一台设备必然酿成灾难。
要不要让高管相信这类攻击的严重性并在事故发生之前说服他们采取措施,这是由IT和安全性领导者决定的。Thirsk说:“只有在高级管理层确信个人的和运营的网络防御必须经过详细认真地讨论,并执意要修改行为时,才能实现这一点。”
网络钓鱼可以采取各种形式针对高级管理人员。
Lee说:“鲸钓攻击(whaling attack)的复杂性有所增加,这种攻击针对的是凭证信息的收集或从公司账户中进行电汇的要求。鲸钓用来描述专门针对高级管理人员、名人和公众人物的网络钓鱼攻击。
Lee说:“历史上这些攻击的成功率很高。高管因旅行积分钓鱼攻击(在他们的电脑上要求特权的那种攻击)而受骗,这种篝火晚会式的故事并不少见,每一个故事通常都以高管成为某种类型的网络攻击的受害者而告终,这在某些情况下会导致公司级别的数据攻击。
Lee说,谨记,黑客可以利用领英、Instagram、脸书等社交媒体上的公共信息来拟构攻击目标的资料,这很重要。他说,这个配置文件可以用来定制网络钓鱼攻击或用来胁迫攻击目标。
安全使用电子邮件是重中之重
请记住,电子邮件是针对高管的最常见的攻击来源之一。事件服务提供商Hargrove的信息系统和技术总监Barr Snyderwine说:“我们遇到了针对高管和财务部门的频繁的,日益复杂的电子邮件攻击。
Snyderwine说:“这是一种典型的欺骗攻击(spoofing attack),这种攻击企图欺骗某人向一个看似合法的网站或银行打钱。最近这类攻击用AP(应付账款)打电话,假冒高管发送要求打钱的电子邮件。这很有趣,因为打电话很耗时。高管还从攻击者那里收到欺骗其他高管打钱的电子邮件。”
Snyderwine说,用端点保护去除恶意软件附件是一个不错的做法。他说:“我们经常更新,打补丁也很关键,一切都自动打补丁。”
此外,还要制定这样的政策——任何电子邮件都要求发件人通过面对面或打电话的方式验证,并得到另一位高管的确认。Snyderwine说:“培训非常成功。我们的高管现在能识别欺骗邮件了。”
此外,每年要对高管和其他员工进行多次测试,以确保他们遵守有关电子邮件的政策。
高管出差时的保护措施
高管在任何地方都有可能受到网络攻击的伤害,但是他们在海外出差时受到的威胁可能会特别大。
Lee说,对于离开本国组织的电子设备和媒体,组织应该拥有退登/登记程序和安全性指南。他说:“这包括在返回时对这些电子资源进行隔离和检查。”
Boulanger说:“高管到世界某些高风险地区时,他们必须要有这样一个期望:即旅途中携带的设备在跨境时必须得到复制。高管们应该采用‘含刻录机’的笔记本电脑,这些电脑只包含他们在离线状态时所需的东西,比如演示文稿。”
Boulanger说,他们要远程访问的任何数据应由安全的通道提供——如远程桌面或虚拟专用网络(VPN),或者存储在无法禁用硬件加密的U盘上。
Boulanger说:“高管回来时,应假定他们的笔记本电脑和其它数据存储设备安装了恶意软件,并在重新使用或连接到企业网络之前进行常规擦除。”
Hargrove有一个绝不使用公共Wi-Fi的标准政策,但这很难执行,因为出差的员工很多。Snyderwine说:“我们提供Mi-Fi蜂窝单元,并鼓励员工使用自己的手机热点,并付费使用它们。这很管用。”
无论是在宾馆、饭店、机场、会议场所还是其它地方,Wi-Fi网络确实都是有风险的。图谋不轨者可以设置一个简单的假Wi-Fi热点,以获得一个高管的笔记本电脑或移动设备的访问权,Lee这样说道。
增强IT基础设施的安全性
不言而喻,拥有强大的安全计划首先将有助于减少或避免网络安全攻击对个人造成的损害。但这是防止针对高管的数据泄露的关键组成部分。
Durbin说:“我们认为不要从个人着手,而要从组织试图保护的关键信息资产着手。这自然包括对可能易受大量攻击(如鱼叉式钓鱼攻击)的初级用户进行评估。
这使人们得以发现——会遭到技术漏洞利用的未打补丁的系统、可用扫描工具发现的安全性较差的系统、攻击者可以访问的保护措施不足的无线网络路由器,以及容易失窃或遭到复制的信息处置系统,Durbin这样说道。
Durbin说:“无论你在考察哪一个领域,都要考虑到三种主要的威胁:对抗性威胁,偶然威胁和环境威胁,这很重要。确保信息及其用户的安全所采取的方法将引导企业对适用于信息资产和用户的安全控制措施进行开发和交流。”
例如,如果企业高度依赖散布在路途上的员工,那么实施全面禁用公共Wi-Fi的政策就毫无意义。
别忘了培训
高管和其他员工一样,需要得到有关安全的重要性的提醒。Durbin说:“如果有人要求这些人访问敏感信息,他们最好着眼于加密、虚拟网络解决方案,最重要的是教育和培训。但是要把所有这一切都与商业利益联系起来——个人采取更安全的方法来使用和共享信息所带来的商业利益。”
咨询公司AsTech Consulting的首席安全策略师Nathan Wenzler表示,高管必须定期参与安全意识培训,对指定的工作站、笔记本电脑和移动设备进行定期更新、打补丁,并在必要时使用VPN和其它安全通信技术。
Wenzler说:“安全团队应该用额外的指导方针和为高管提供的细节来增强标准员工安全意识培训,由于高管的职位更面向公众的一面,安全团队要强调高管所面临的更大的风险和信息曝光。鼓励人们对高管如何以及为什么会成为具体的目标形成更高的认知,这将在社交工程攻击还没得逞之前加大它们被发现和受挫的可能性。”
Durbin说,约束可能会产生短期的影响,但是如果你不能得到高管的全力支持并表明限制所带来的商业和个人利益,约束就会失灵,因为用户会发现使他们得以完成工作的变通方法。
Durbin说:“现如今,有效的安全比以往任何时候都更需要了解信息如何在生命周期的所有阶段、在一天中的任何时段以及在各个地点得到访问和利用。而最重要的是,它需要了解所有接口中最复杂的接口——用户。”
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号