在應對網路安全威脅時,內部威脅已成為最前沿,並且是違規的主要原因之一。但是,內部威脅並不意味著內部人員有惡意。大多數情況下,威脅是不知情的使用者犯了錯誤,例如對網路釣魚電子郵件採取行動,這反過來又導致違規行為。根據 2021 年內部資料洩露調查,94% 的組織去年經歷了內部資料洩露,84% 的組織直接因人為錯誤而遭受洩露。內部威脅不僅僅是網路釣魚攻擊。 2019年IBM X-Force威脅情資指數 將配置錯誤的系統、伺服器和雲環境列為內部人員無意中使組織容易受到攻擊的兩種最常見方式之一。您無法消除人為錯誤,但透過提供明確的網路安全指南和定期的員工培訓,可以降低事件的頻率和嚴重程度。
減少人為錯誤在網路安全事件中的作用的第一步是制定網路安全政策,併為員工提供教育,以教授網路安全的注意事項。以下是您的政策中要包含的十點清單,以説明您入門。
1. 強調網路安全的重要性
首先解釋為什麼網路安全很重要以及潛在風險是什麼。被盜的客戶或員工資料會嚴重影響相關人員,並危及公司。員工必須能夠快速找到報告安全事件的位置。不要依賴使用者記住要搜索聯繫資訊的內部網站;確保它位於直觀的位置。也許將寫在便簽上的密碼替換為報告事件所需的資訊!
2. 教授有效的密碼管理
密碼可以成就或破壞公司的網路安全系統。包括有關密碼要求的指南。 NIST 特別出版物 800-63 修訂版 3 包含對建議的密碼指南的重大更改。向員工強調,他們不得在不同的網站上使用相同的密碼。言出必行。如果員工需要記住多個密碼,請提供所需的工具以減輕痛苦。密碼管理器具有重要價值。多重身份驗證可降低密碼洩露的影響,即使它是密碼管理器的主密碼。
3. 教員工如何識別詐騙並採用最佳實踐
對員工進行各種網路釣魚電子郵件和詐騙的教育,以及如何發現可疑的東西。如果員工收到一封看起來不尋常的電子郵件,即使它看起來像是其他員工發送的內部電子郵件,他們必須先與寄件者核實,然後再打開附件或點擊連結。最好透過電話或親自與發件者核實。當電子郵件帳戶被劫持時,攻擊者將回復有關電子郵件中包含的資訊有效性的詢問。只要有可能,請存取公司網站,而不是點擊電子郵件中的連結。例如,如果來自 LinkedIn 的電子郵件中包含連結,請鍵入 www.linkedin.com 並登錄您的帳戶以查看該郵件。
此外,提供有關保護檔案案和設備的最佳實踐的一般網路安全知識有助於加強組織的防禦。 OPSWAT 學院 提供有關這些最佳實踐的免費課程,任何希望瞭解更多資訊的人都可以使用。 OPSWAT-特定技術。
4. 應用更新和補丁
現代操作系統、反惡意軟體程式、Web 瀏覽器和其他應用程式會定期更新,但並非所有程式都會更新。當員工安裝未經批准的軟體時, IT 部門可能不知道其資產上存在未修補的易受攻擊的應用程式。驗證作業系統和應用程式是否處於當前的補丁和版本級別是 IT 部門。未能確保端點和伺服器的狀態屬於系統配置錯誤等造成的無意內部威脅的範疇。必須定期進行漏洞掃描和系統審計。
5. 保護 PII
攻擊者通常追求機密資料,例如信用卡資料、客戶姓名、電子郵件地址和社會安全號碼。在組織外部發送此資訊時,員工必須了解他們不能僅透過電子郵件發送資訊。必須使用安全的檔案傳輸系統,該系統對資訊進行加密,並且只允許授權的接收者存取它。更安全,像 OPSWAT的 DLP 可以透過檢測和阻止檔案和電子郵件中的敏感和機密資料(包括信用卡號和社會安全號碼)來説明防止潛在的資料洩露和違反法規合規性。
6.鎖定電腦和設備
當員工離開辦公桌時,他們必須鎖定螢幕或註銷,以防止任何未經授權的存取。員工負責鎖定他們的電腦;但是,IT 部門應將非活動超時配置為故障保護。筆記型電腦在不使用時也必須被實體鎖定。
7.安全的便攜性 多媒體
丟失或被盜 行動電話對擁有者及其聯繫人構成重大威脅。為這些設備使用螢幕鎖定是必不可少的。儲存設備(例如筆記型電腦中的外部 MicroSD 卡和硬碟驅動器)必須加密。攜帶可攜式多媒體時,例如 USB 驅動器 和 DVD,在存取工作電腦和網路等資源之前,掃描這些設備以查找惡意軟體非常重要。 OPSWAT的 MetaDefender Kiosk 為驗證可攜式多媒體的安全性提供了簡單的解決方案。
8. 報告丟失或被盜的設備
告知員工,被盜設備可能成為攻擊者存取機密資料的切入點,員工必須立即報告丟失或被盜的設備。通常,IT 部門可以遠端擦除設備,因此早期發現可以使一切變得不同。
9. 發揮積極作用
說明員工必須使用常識並在安全方面發揮積極作用。如果他們看到可疑活動,他們必須將其報告給他們 IT 管理員。如果員工意識到錯誤,即使在錯誤發生後,也要將其報告給 IT 意味著仍然可以採取措施來減輕損害。網路安全是公司中每個人都關心的問題,每個員工都需要在為公司安全做出貢獻方面發揮積極作用。如果員工擔心因報告錯誤而失去工作,他們不太可能這樣做。確保員工能夠自如地報告事件。
10. 應用隱私設置
告知員工,強烈建議在其社交媒體帳戶(如 Facebook 和 Twitter)上應用最大隱私設置。要求他們確保只有他們的聯繫人才能看到他們的個人資訊,例如出生日期、位置等。限制在線可用的個人資訊量將降低魚叉式網路釣魚攻擊的有效性。特別警惕注意到來自LinkedIn聯繫人的任何可疑情況,即使是輕微的可疑。被入侵的LinkedIn聯繫人的帳戶可以允許一些最複雜的社會工程攻擊。
新員工入職培訓應包括網路安全政策檔案和說明。定期提供網路安全培訓,確保員工瞭解並記住安全策略。確保員工理解該政策的一個有趣方法是進行測驗,以測試他們在示例情況下的行為。
除了通知和培訓員工外,公司還需要確保有一個系統來 監控和管理電腦和設備, 使用反惡意軟體多防毒引擎掃描 來確保伺服器、電子郵件附件、網路流量和可攜式多媒體的安全,並且員工可以 安全地傳輸機密檔。閱讀更多關於公司可以採取的進一步措施, 以確保辦公室和家中的安全存取。
詳細瞭解如何 OPSWAT 可以幫助保護您的關鍵基礎設施,安排與我們的一位網路安全專家 會面 。
