企业可以购买所有最高级的知名安全产品,但是还是无法改进数据丢失防护(DLP)水平,除非对员工进行深化培训。对于DLP而言,技术固然是至关重要的,但是安全专家表示,用户的行为是保障重要数据安全性的关键。
“DLP首先是个过程,技术只是将这个过程自动化的启动器,”Rick Lawhorn表示,他是佛吉尼亚州Richmond市的首席安全官。“这个过程需要教育和行为训练,还将将涉及人力资源、记录管理和合规。我们的目的就是对数据所有者和数据保管者(员工)基于公司政策来进行持续训练,以减少违规的事情。”
根据从几个安全实践者的反馈信息来看,主要有五种方式可能让员工有意或者无意的丢失数据:
1. E-mail
IT管理员可以检查并阻止恶意电子邮件,但是用户仍然可能无意泄漏公司重要信息,例如他们无意将客户信息或者知识产权信息复制粘贴到消息盒中。虽然很多时候收件人都是公司内部人员,但是用户也可能将公司外部人员的邮件地址添加到收件人中。
与此同时,电子邮件过滤器并不能阻止每次钓鱼攻击。链接到恶意网站的URL将可能被点击,因为一个用户可能无意中点击到恶意连接,然后感染更多的计算机,从而找到并盗取数据。
这也是为什么用户政策和行为训练能够改变局面的原因,Lawhorn和其他安全人士表示。公司政策中应该明确哪些类型的内容用户可以发送,而哪些类型的内容用户不可以发送,包括客户的信用卡号码、公司的知识产权信息和员工的医疗记录等。攻击者通常会使用新闻事件作为恶意链接的诱饵,一旦点击,就会链接到恶意网站,然后在用户的机器上安装恶意软件。行为训练计划可以通过不断的警告员工恶意社会工程的危害来降低这种风险。
2. 拼接的危险
即时消息器(如QQ和MSN)已经成为员工们的日常应用程序,员工通常依赖于这些程序来远程与老板或者同事联系。沿着这条路线,攻击者又发现了发送恶意链接和附件的方法,通过创建看起来像同事的伪造的帐户,并向其发送消息。而且很多IM应用程序都是可以免费下载的,一旦安装,就很难受到企业IT部门的控制。像电子邮件问题一样,这也是为什么用户政策和行为训练很重要的原因。公司政策需要明确规定IM可以发送或者不可以发送的消息类型。
3.滥用社交网络
当IT部门努力降低电子邮件和IM带来的威胁的同事,攻击者也开始将其攻击方向转移到了社交网络上,如LinkedIn,Myspace,Facebook和Twitter。结果证明,攻击者们可以利用这些社交网络进行恶意攻击。
对于某些社交网络而言,点击链接是很自然的事情,但是攻击者们就是利用这一点,伪装成用户的朋友发送包含恶意链接的消息给用户,只要点击这些链接,用户的计算机就会被感染。Prudent Security的总裁Christophe Veltsos表示,“不要点击任何链接,除非你希望你的计算机受到零日攻击。”
用户行为培训必须强调攻击者在社交网络埋藏恶意链接手段,不管是朋友要求你加入LinkedIn或者Myspace上的图片都可能藏着恶意软件。
4. 密码问题
这又是另一个老问题,但是攻击者却屡试不爽。现代社会用户都会有一大串的密码需要记住,用来访问各种程序,从电子邮件程序到社交网络帐户以及银行网站等。由于记忆范围是有限的,人们总是很容易忘记不常用程序的密码,而他们的方式就是所有的帐户都使用相同的密码。
“为不同的网站使用相同的密码其实是很危险的,每个站点都有漏洞,都可能被攻击者所利用,”Daniel Philpott表示,他是OnPoint咨询公司的信息安全官。
Lawhorn表示这是员工用户政策需要解决的另一个问题,公司政策应该要求员工为每个与工作相关的帐户使用不同的密码(字母大小写和数字)。
5. 拥有太多访问权限
另一个问题就是员工通常能够畅通无阻地访问很多企业应用程序,甚至那些与他们工作无关的程序。如果有哪名不满员工想要报复公司,那么极有可能访问公司系统敏感区域盗取重要数据,从而给公司带来严重影响。
安全专家表示,最佳防御方式就是让员工只能访问与他们工作相关联的应用程序和数据库。