信息化觀察網(wǎng)

寫在前面

我們在上周分享了密碼安全不可忽視（上），主要談到許多企業(yè)因為密碼安全性差，缺乏網(wǎng)絡安全技能，以及為求得便利而忽略安全性，無謂地使公司和員工處于風險之中。在【密碼安全不可忽視（下）】中，我們將分享面對相關風險所應該采取的對應之策。

這些挑戰(zhàn)也是近期Orange CyberDefense和Okta共同舉辦的一場圓桌會議的主題。Orange CyberDefense是一家安全托管、威脅檢測和威脅情報服務提供商，Okta是一家專注身份和訪問管理的公司。這場活動聚集了來自眾多公共和私營機構的CTO和高管，他們探討了用戶可以如何安全地進行身份驗證，以及如何全力構建能夠鼓勵數(shù)字化轉型的環(huán)境，而不會為企業(yè)帶來不必要的風險。

吃一塹長一智，學無常師

企業(yè)應尋求能夠輕松集成到工作場所應用程序中的身份和訪問管理解決方案，讓用戶絲毫不會察覺到額外的安全等級（因此更加便利）?；趩未蚊艽a的單點登錄使用戶能夠在單一儀表板上安全地訪問所有應用程序。一家醫(yī)療保健服務領域的機構已經(jīng)采用了這種方式，來自該機構某部門的一位參會代表建議道：“如果您要做一件能夠提高企業(yè)安全性的事，那么請采用單點登錄。”

很多公司都有可能成為漏洞攻擊的目標，因此，他們如何處理事件，以及如何積累經(jīng)驗教訓就很重要。一家律師事務所的安全負責人在會上說道：“如果出現(xiàn)問題，我會鼓勵所有人開誠布公。監(jiān)管機構也會寬容以待，不會閉門不理，您的客戶可能也會采取類似的方法。”

經(jīng)歷破壞性事件的同時也可以收獲一些價值，包括對漏洞進行評估，就像針對自己的業(yè)務一樣。這家醫(yī)療機構的安全人員分享了該策略的實際應用示例，并解釋道，在英國航空公司遭黑客入侵后，“他基于[英國航空公司的]情境運行了該事件，以試圖揭露自身架構中存在的差距和弱點。” 他接著說道：

我發(fā)現(xiàn)這種特殊情況原本也可能發(fā)生在我們身上。作為網(wǎng)絡專業(yè)人士，需要查看這些免費信息并承擔集體責任，這一點很重要。

網(wǎng)上有很多免費的建議，其中也不乏價值，例如英國國家網(wǎng)絡安全中心（NCSC）和歐盟網(wǎng)絡安全局（ENISA）。

自我審核

任何安全策略都應從全面的許可審核開始：您無法對不了解的內容進行管理。您需要評估誰擁有哪些訪問權限，以及曾授予過他們哪些訪問權限。根據(jù)會上一位來自非營利組織的參會者所說的，其中必須包括：

云審核：您會被員工采用云服務的數(shù)量所震驚。您認為需要保護的端點和應用程序還只是冰山一角。

同樣，實施單點登錄可能會很有幫助，能夠降低孤立解決方案下管理多個用戶身份的復雜性。這一點在員工離職時尤為重要。一位參會者評論道，該解決方案“將安全流程與HR流程集成在了一起。” 人力資源專業(yè)人士不是技術專家。因此，實施嚴格的安全策略時，必須為HR人員提供合適的工具，使其能夠通過單一的用戶友好型管理控制臺，對用戶配置文件、群組和設備（以及分配權限）進行管理。

通過外包業(yè)務提升安全性

隨著越來越多的企業(yè)開始了解托管服務相對于硬件的價值，網(wǎng)絡安全支出的趨勢正在發(fā)生變化。近期一份報告顯示，2018年安全服務支出超過了產(chǎn)品支出，至2020年，安全服務預計至少將占安全軟件交付量的50％。

活動參與者的評論也體現(xiàn)了這一點，其中包括一位來自醫(yī)療保健領域的參會者，他對機構的發(fā)展演進做了如是總結：

我們曾經(jīng)一度專注于技術，但現(xiàn)在我們將重點轉移到了人員和流程上。

大多數(shù)公司自身內部并不具備所需的資源，因此必須進行外包。找對了團隊，就無需仰賴某一種技術來減輕風險，他們會從整體角度審視網(wǎng)絡安全，提供一系列解決方案，以評估風險，檢測威脅，保護IT資產(chǎn)，并對安全事件作出響應。

不要讓網(wǎng)絡安全成為人員問題

變革也必須始于內部。員工必須警惕網(wǎng)絡釣魚詐騙，并采取嚴格的密碼慣例。團隊應對IT基礎設施、應用程序和內部網(wǎng)絡、以及黑客使用的常見策略、技術和流程都有基本的了解。托管安全服務提供商通常會提供培訓課程，使企業(yè)能夠提高對網(wǎng)絡安全的集體責任，從而降低風險。

最后，變革還必須從自上而下的，需要獲得高管的支持。圍繞網(wǎng)絡安全威脅的溝通可能成為一項挑戰(zhàn)。

“他們認為規(guī)則并不適用于自己。”一位參會者表示，他解釋說，這并非總是錯在高管，因為“我們經(jīng)常會用高管們不理解的術語進行交談。”這里提倡的解決方案很簡單，就只是讓高管們參與進來。

當您向他（首席執(zhí)行官）展示他自己的收件箱時，他才會真正意識到問題嚴重性。這非常奏效：我們破解了他的密碼，并介紹了訪問他的帳戶有多么容易。我們需要用他們能夠理解的方式來說話。

結論

員工和客戶的身份信息對于企業(yè)安全及其數(shù)字化轉型的成功至關重要。密碼重用是大多數(shù)機構中最大的危險，而單點登錄是將風險最小化的最簡單方法之一。企業(yè)必須保持開誠布公，并分享知識和經(jīng)驗，讓其他人也能從中學習。

在過去20年中，情況可能并未發(fā)生太大變化，但這并不意味著轉型是不可能的。機構可以通過采用正確的工具，與合適的人員協(xié)作，以及對所有員工進行培訓，在保持無縫用戶體驗的同時降低風險。當然，也千萬不要再使用簡單至極的密碼。