相信每家公司都對安全性的重要地位心知肚明,其關鍵程度謂之左右企業全局也不爲過。然而需要提醒大家的是,精準的應對措施把握同樣重要,我們萬萬不能奢望以一套方案搞定所有問題。“在安全事務方面,正確的態度纔是決定性因素。我們要清醒一點:安全並非某種產品,而是一整套流程,”Network Box美國公司CTO Pierluigi Stella指出。“我就見過許多公司花費大量資金打造安全解決方案,到頭來卻沒有任何實際意義,這顯然與管理者的初衷不符。總而言之,安全不是花錢就能買來的。”
爲了讓投資物有所值、切實保護公司安全,與其購置新方案不如從現有安全措施着手,尋求最低成本下的提升途徑。
◆從保護關鍵性數據起步
要想獲得準確的全局安全方案提升思路,僅僅從企業內部角度分析業務數據是遠遠不夠的。事實上,如果大家能夠以局外人的身份審視現有資產,也許會對安全保護中的關鍵性對象擁有更爲嚴謹的概念。
“公司應當首先確定哪些資產最具商業價值,而價值的衡量標準不僅要考慮到企業自身的需求,更應該嘗試從惡意攻擊者的角度加以考量,”eSoft公司主管Mike Donnell表示。“確定了最可能遭受侵襲的業務領域之後,我們纔能有的放矢地爲其配備高效且穩固的安保機制。”
Donnell指出,滿載支付信息的客戶數據庫、保存知識產權及其它機密數據的服務器往往具備極大的商業價值,但這還遠遠不是最終結果。關鍵在於認真對待任何一臺擁有網絡訪問接入點的設備,因爲它們“會成爲惡意攻擊的潛在載體,”Donnell告訴我們。而且無論大家以何種方式進行分析,這些具備訪問能力的設備最終都必須獲得適當的安全保護。
◆關注移動安全
大多數公司會把安全事務的重心放在服務器、網絡以及其它內部物理基礎設施身上。但是在這裏我要提醒各位,移動安全同樣需要傾注大量心力來加以保護。隨着智能手機與平板設備在辦公環境中的廣泛普及,小型、便攜式平臺已經成爲黑客們搶灘登陸的新目標。所謂成熟穩健的移動安全政策,首先應該向員工們宣傳將敏感信息保存在移動設備中的危害性,並以不影響訪問企業網絡爲前提向員工們提供一套更安全有效的移動辦公方案。
“移動設備只有在具備網關、防火牆或者其它全局威脅管理(簡稱UTM)系統的輔助下才允許接入企業網絡,這樣才能確保它們不會成爲惡意人士繞開企業基礎保護機制的載體,”Donnell解釋道。“企業網關會不斷對流入流出的信息進行掃描,這樣無論是來自移動手機、平板設備還是筆記本電腦的訪問都將始終處於監控之下,防範手段的成熟是辦公方式變革的必要條件。”
◆定期進行安全更新
別以爲購置並安裝一套應用程序或安全產品套件,企業安全就萬無一失了。如果不堅持定期更新,新的保護功能與攻擊應對措施將無用武之地,而這些花了大價錢的東西最終可能只會維持短暫的安全環境。“升級與更新是企業在處理安全事務時最需要重視的工作之一,”Milton安全集團總裁兼CEO James McMurry表示。“升級包與更新補丁的作用是修正初始應用程序中的bug、漏洞以及錯誤,沒有它們的幫助,應用程序根本無法與瞬息萬變的惡意威脅相抗衡。”
在某些情況下,安全軟件中的bug及漏洞很可能被攻擊者輕鬆掌握併成爲致命缺陷,因此定期進行免費更新的意義極爲重大。不過從另一個角度來看,軟件升級也並不是永遠免費的,有時候企業需要爲安全程序的新版本支付高昂的前期投入。一旦涉及額外支出,McMurry建議企業用戶對更新內容進行認真評估,“結合自身情況考慮這些升級能否切實帶來安全性改善及保護功能擴展,以及這些提升是否真正適合公司需求。”在獲得了明確的答案後,大家就能在嚴謹的財務控制之下保護企業中的敏感數據。
◆儘量不要限制企業的安全預算
在經濟環境趨於蕭條的時代背景下,大多數企業都在尋找削減運營成本的途徑,但Stella認爲安全事務不該成爲省錢的犧牲品。“每家公司都在限制預算,我聽得耳朵都快起繭子了。然而安全絕不能成爲限制預算的目標之一,”Stella指出。恰恰相反,Stella認爲企業應該以保障業務順利運轉爲前提,爲“必須要做的事”配備合理的預算規劃,只有這樣才能讓公司從數不勝數的潛在威脅中掙脫出來。
Stella同時表示,曾經遭受大規模惡意攻擊的企業更應該總結經驗,放棄通過削減安全預算來增加營收的愚蠢念頭。“如果一家公司打定語音要從安全預算裏節約開支,那無疑於承認自己已經不打算繼續發展了。這絕不是危言聳聽,根據2004年FBI公佈的一項調查結果,在一年中遭受過數據失竊等安全侵襲的企業有90%都面臨倒閉,”他指出。別再抱有幻想,積極爲安全事務準備更多的財政預算吧,因爲企業發展與預算緊縮只能二選其一,該何去何從大家應該心裏有數。
◆阻止入侵活動
eSoft公司主管Mike Donnell告訴我們,公司應該限制一切針對服務器及企業設備的公共訪問活動,並將此視爲最重大的潛在安全威脅。如果大家最大程度減少企業網絡的流入、流出數據量,那麼惡意人士攔截到敏感信息的機率也會大大降低。
“某些看似來自內部網絡的關鍵性服務器及設備訪問往往是藉助加密VPN實現的,這種隱性威脅比防火牆缺陷更加致命,”Donnell說道。“任何需要應對公共訪問的服務器,例如Web服務器,都必須時刻做好針對惡意攻擊及入侵行爲的監控與保護工作。”
◆制定安全意識培養規劃
既不用花一毛錢,卻也同樣能提升企業安全性的方案還是存在的,而其中最實用的無疑是爲員工制定安全意識培養規劃。我們不妨將此視爲一種教育資源,專門爲員工提供各類最佳安全實踐措施及指導。這樣無論是身處內部辦公環境還是外部業務區域,員工都會通過自身對安全問題的深刻理解幫助企業避開大麻煩。
“告訴員工攻擊行爲的判斷方法以及如何在錯誤的地點瀏覽內部網絡會給企業帶來怎樣的安全困擾,同時提醒大家清理信息殘留與不清理會造成哪些截然不同的結果,”Network Box美國公司CTO Pierluigi Stella指出。“這些工作不花一毛錢就能進行,而且會爲小型企業的安全態勢帶來長遠而積極的良性影響。”