写在前面
我们在上周分享了密码安全不可忽视(上),主要谈到许多企业因为密码安全性差,缺乏网络安全技能,以及为求得便利而忽略安全性,无谓地使公司和员工处于风险之中。在【密码安全不可忽视(下)】中,我们将分享面对相关风险所应该采取的对应之策。
这些挑战也是近期Orange CyberDefense和Okta共同举办的一场圆桌会议的主题。Orange CyberDefense是一家安全托管、威胁检测和威胁情报服务提供商,Okta是一家专注身份和访问管理的公司。这场活动聚集了来自众多公共和私营机构的CTO和高管,他们探讨了用户可以如何安全地进行身份验证,以及如何全力构建能够鼓励数字化转型的环境,而不会为企业带来不必要的风险。
吃一堑长一智,学无常师
企业应寻求能够轻松集成到工作场所应用程序中的身份和访问管理解决方案,让用户丝毫不会察觉到额外的安全等级(因此更加便利)。基于单次密码的单点登录使用户能够在单一仪表板上安全地访问所有应用程序。一家医疗保健服务领域的机构已经采用了这种方式,来自该机构某部门的一位参会代表建议道:“如果您要做一件能够提高企业安全性的事,那么请采用单点登录。”
很多公司都有可能成为漏洞攻击的目标,因此,他们如何处理事件,以及如何积累经验教训就很重要。一家律师事务所的安全负责人在会上说道:“如果出现问题,我会鼓励所有人开诚布公。监管机构也会宽容以待,不会闭门不理,您的客户可能也会采取类似的方法。”
经历破坏性事件的同时也可以收获一些价值,包括对漏洞进行评估,就像针对自己的业务一样。这家医疗机构的安全人员分享了该策略的实际应用示例,并解释道,在英国航空公司遭黑客入侵后,“他基于[英国航空公司的]情境运行了该事件,以试图揭露自身架构中存在的差距和弱点。” 他接着说道:
我发现这种特殊情况原本也可能发生在我们身上。作为网络专业人士,需要查看这些免费信息并承担集体责任,这一点很重要。
网上有很多免费的建议,其中也不乏价值,例如英国国家网络安全中心(NCSC)和欧盟网络安全局(ENISA)。
自我审核
任何安全策略都应从全面的许可审核开始:您无法对不了解的内容进行管理。您需要评估谁拥有哪些访问权限,以及曾授予过他们哪些访问权限。根据会上一位来自非营利组织的参会者所说的,其中必须包括:
云审核:您会被员工采用云服务的数量所震惊。您认为需要保护的端点和应用程序还只是冰山一角。
同样,实施单点登录可能会很有帮助,能够降低孤立解决方案下管理多个用户身份的复杂性。这一点在员工离职时尤为重要。一位参会者评论道,该解决方案“将安全流程与HR流程集成在了一起。” 人力资源专业人士不是技术专家。因此,实施严格的安全策略时,必须为HR人员提供合适的工具,使其能够通过单一的用户友好型管理控制台,对用户配置文件、群组和设备(以及分配权限)进行管理。
通过外包业务提升安全性
随着越来越多的企业开始了解托管服务相对于硬件的价值,网络安全支出的趋势正在发生变化。近期一份报告显示,2018年安全服务支出超过了产品支出,至2020年,安全服务预计至少将占安全软件交付量的50%。
活动参与者的评论也体现了这一点,其中包括一位来自医疗保健领域的参会者,他对机构的发展演进做了如是总结:
我们曾经一度专注于技术,但现在我们将重点转移到了人员和流程上。
大多数公司自身内部并不具备所需的资源,因此必须进行外包。找对了团队,就无需仰赖某一种技术来减轻风险,他们会从整体角度审视网络安全,提供一系列解决方案,以评估风险,检测威胁,保护IT资产,并对安全事件作出响应。
不要让网络安全成为人员问题
变革也必须始于内部。员工必须警惕网络钓鱼诈骗,并采取严格的密码惯例。团队应对IT基础设施、应用程序和内部网络、以及黑客使用的常见策略、技术和流程都有基本的了解。托管安全服务提供商通常会提供培训课程,使企业能够提高对网络安全的集体责任,从而降低风险。
最后,变革还必须从自上而下的,需要获得高管的支持。围绕网络安全威胁的沟通可能成为一项挑战。
“他们认为规则并不适用于自己。”一位参会者表示,他解释说,这并非总是错在高管,因为“我们经常会用高管们不理解的术语进行交谈。”这里提倡的解决方案很简单,就只是让高管们参与进来。
当您向他(首席执行官)展示他自己的收件箱时,他才会真正意识到问题严重性。这非常奏效:我们破解了他的密码,并介绍了访问他的帐户有多么容易。我们需要用他们能够理解的方式来说话。
结论
员工和客户的身份信息对于企业安全及其数字化转型的成功至关重要。密码重用是大多数机构中最大的危险,而单点登录是将风险最小化的最简单方法之一。企业必须保持开诚布公,并分享知识和经验,让其他人也能从中学习。
在过去20年中,情况可能并未发生太大变化,但这并不意味着转型是不可能的。机构可以通过采用正确的工具,与合适的人员协作,以及对所有员工进行培训,在保持无缝用户体验的同时降低风险。当然,也千万不要再使用简单至极的密码。
