容易被忽視的5個(gè)安全環(huán)節(jié),比想象中的更危險(xiǎn)!

企業(yè)內(nèi)容管理系統(tǒng)對(duì)現(xiàn)代企業(yè)數(shù)字化業(yè)務(wù)開展不可或缺。為了節(jié)省時(shí)間和資金投入,很多公司都使用開源系統(tǒng)來(lái)開發(fā)內(nèi)容管理系統(tǒng),然而有一個(gè)問(wèn)題:這類開源系統(tǒng)幾乎都會(huì)存在安全缺陷,可能被用于獲取敏感信息。

QQ截圖20211119092508.png

本文來(lái)自安全牛。

隨著對(duì)網(wǎng)絡(luò)安全工作的重視,很多組織的安全實(shí)踐正變得越來(lái)越復(fù)雜,這有利也有弊。由于許多新技術(shù)趨勢(shì)需要關(guān)注,比如云計(jì)算應(yīng)用、物聯(lián)網(wǎng)系統(tǒng)和大數(shù)據(jù)應(yīng)用等,會(huì)占用安全團(tuán)隊(duì)很多的精力和時(shí)間,這就容易讓一些簡(jiǎn)單、基礎(chǔ)但又不可或缺的網(wǎng)絡(luò)安全控制措施被忽略。例如,很多組織的安全分析師非常關(guān)注高級(jí)漏洞的發(fā)現(xiàn)與響應(yīng),卻往往忽視賬號(hào)被竊取等更容易導(dǎo)致數(shù)據(jù)泄露的其他危害方式。

為了讓組織的安全建設(shè)避免出現(xiàn)事倍而功半的情況,安全研究人員對(duì)目前容易被忽視的基礎(chǔ)性安全工作進(jìn)行了梳理,可以幫助安全團(tuán)隊(duì)留意常被忽視的安全風(fēng)險(xiǎn),以提高安全性,并隨時(shí)應(yīng)對(duì)那些意想不到的挑戰(zhàn)。

01

企業(yè)內(nèi)容管理系統(tǒng)中的安全漏洞

企業(yè)內(nèi)容管理系統(tǒng)對(duì)現(xiàn)代企業(yè)數(shù)字化業(yè)務(wù)開展不可或缺。為了節(jié)省時(shí)間和資金投入,很多公司都使用開源系統(tǒng)來(lái)開發(fā)內(nèi)容管理系統(tǒng),然而有一個(gè)問(wèn)題:這類開源系統(tǒng)幾乎都會(huì)存在安全缺陷,可能被用于獲取敏感信息。

公司可以采取幾個(gè)簡(jiǎn)單的措施,輕松解決這個(gè)問(wèn)題。借助熟練的IT團(tuán)隊(duì),可以將安全開發(fā)應(yīng)用結(jié)合到內(nèi)容管理系統(tǒng)代碼中,防止安全漏洞出現(xiàn)在代碼中。一旦盡量減小了漏洞的機(jī)率,就可以使用到位的隱私策略非常高效地處理其余方面。

理想情況下,內(nèi)容管理系統(tǒng)全生命周期都應(yīng)使用與其最兼容的安全工具來(lái)夯實(shí),最常用的工具類型是Docker安全工具和Kubernetes安全工具。然而,光有這可能還不夠。企業(yè)還應(yīng)始終落實(shí)一個(gè)持續(xù)評(píng)估代碼的系統(tǒng)。安全控制評(píng)估正式名為安全測(cè)試和評(píng)估(ST&E),評(píng)估有效確立策略的程度,評(píng)估是否按計(jì)劃執(zhí)行,并在滿足系統(tǒng)的安全目標(biāo)方面提供預(yù)期的結(jié)果。定期進(jìn)行此類評(píng)估可以清楚地了解計(jì)劃在安全方面所處的狀況。

02

防范網(wǎng)絡(luò)釣魚的能力不足

網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)犯罪分子進(jìn)入公司內(nèi)網(wǎng)系統(tǒng)的最常用手法。應(yīng)迅速且頻繁地向員工宣講數(shù)據(jù)保護(hù)方法以及如何發(fā)現(xiàn)和防止網(wǎng)絡(luò)釣魚騙局。安全部門需要在工作場(chǎng)所和公司內(nèi)網(wǎng)上持續(xù)開展網(wǎng)絡(luò)安全意識(shí)教育,而不能想當(dāng)然地以為每個(gè)人都已經(jīng)具備識(shí)別網(wǎng)絡(luò)釣魚的能力。

安全技術(shù)部門還應(yīng)該與公司其他部門之間有緊密的聯(lián)系,這可以大幅加強(qiáng)網(wǎng)絡(luò)安全應(yīng)用水平,業(yè)務(wù)人員應(yīng)該毫不猶豫地向IT部門提出問(wèn)題或列出潛在問(wèn)題。

我們可以通過(guò)以下幾種方法來(lái)發(fā)現(xiàn)潛在的系統(tǒng)危害,將它們納入到安全意識(shí)計(jì)劃中,將有助于更好地預(yù)防網(wǎng)絡(luò)釣魚攻擊:

•系統(tǒng)莫名其妙出現(xiàn)運(yùn)行速度減慢是危險(xiǎn)信號(hào);

•如果不足夠了解情況,不應(yīng)打開來(lái)歷不明的彈出式窗口;

•系統(tǒng)存儲(chǔ)空間大幅增加或減少;

•無(wú)法直接識(shí)別的文件和圖標(biāo);

•瀏覽器重定向到非預(yù)期網(wǎng)站應(yīng)該引起警惕;

•無(wú)法識(shí)別的網(wǎng)絡(luò)活動(dòng)可能意味著有人企圖實(shí)施網(wǎng)絡(luò)釣魚。

03

離職員工的系統(tǒng)訪問(wèn)權(quán)限不能及時(shí)取消

員工離開公司后,其具有的業(yè)務(wù)系統(tǒng)訪問(wèn)權(quán)限應(yīng)立即被禁用,這就需要確保公司能夠時(shí)刻了解個(gè)人訪問(wèn)級(jí)別的變化與配置。現(xiàn)實(shí)中,很多社交網(wǎng)絡(luò)密碼之類的簡(jiǎn)單環(huán)節(jié)可能會(huì)被忽略,從而給將來(lái)埋下隱患。

應(yīng)定期審查公司的離職程序,以確保它們能夠與時(shí)俱進(jìn),并且沒(méi)有將公司隱私信息對(duì)外暴露。每當(dāng)員工升職或調(diào)動(dòng)部門時(shí),都應(yīng)該考慮到這一點(diǎn)。為所有重要系統(tǒng)啟用單點(diǎn)登錄(SSO),這是防止人員在離職后訪問(wèn)資源的另一種解決方案。一旦某個(gè)賬戶被禁用,該賬戶可訪問(wèn)的所有其他資源也同樣被禁用。

04

盲目依賴過(guò)時(shí)的加密方法

在企業(yè)中,有一個(gè)最常犯的錯(cuò)誤就是以為所有加密后的數(shù)據(jù)都能永遠(yuǎn)保持安全,盲目相信所使用的加密實(shí)踐始終無(wú)懈可擊。然而實(shí)際情況并非如此,加密過(guò)程中很多隱藏的技術(shù)缺陷,可能會(huì)使敏感數(shù)據(jù)面臨險(xiǎn)境。更糟糕的是,公司可能依賴過(guò)時(shí)的加密方案,這些方案很容易被利用,或者無(wú)法兼顧不同系統(tǒng)之間的數(shù)據(jù)傳輸。

改進(jìn)加密的最佳方法是從標(biāo)準(zhǔn)化的加密策略開始。明確要采用的加密方式,規(guī)范組織各級(jí)部門使用加密密鑰的做法,了解靜態(tài)數(shù)據(jù)加密和動(dòng)態(tài)數(shù)據(jù)加密,并確保IT團(tuán)隊(duì)和管理層符合最新的國(guó)際加密標(biāo)準(zhǔn)。此外,公司還必須制定應(yīng)急程序,必須具體說(shuō)明在黑客攻擊得逞或加密意外失敗的情況下,公司能夠采取有效恢復(fù)原始數(shù)據(jù)的措施。

05

忽視物聯(lián)網(wǎng)設(shè)備的安全評(píng)估

在物聯(lián)網(wǎng)系統(tǒng)中,需要連接大量數(shù)字設(shè)備以實(shí)現(xiàn)優(yōu)化業(yè)務(wù)操作。然而,這種互連性恰恰增加了攻擊途徑和數(shù)據(jù)暴露面。在缺少可信執(zhí)行環(huán)境以及大量原代碼漏洞存在的情況下,廣泛的物聯(lián)網(wǎng)連接并不是一種可靠的業(yè)務(wù)發(fā)展方法。

企業(yè)需要盡早認(rèn)識(shí)到,推動(dòng)物聯(lián)網(wǎng)應(yīng)用也意味著增加安全成本,并從根本上加大保護(hù)網(wǎng)絡(luò)所需的工作量。因此,在決定是否在公司中使用物聯(lián)網(wǎng)之前,安全團(tuán)隊(duì)絕不能忽視安全評(píng)估系統(tǒng)給日常運(yùn)營(yíng)帶來(lái)的可能風(fēng)險(xiǎn)和回報(bào)。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論