對(duì)大多數(shù)企業(yè)而言，改善業(yè)務(wù)安全性似乎不可避免地帶來(lái)資金投入;但事實(shí)上我們也有不必花錢的其它實(shí)現(xiàn)途徑。

盡管不少企業(yè)已經(jīng)在應(yīng)對(duì)日常業(yè)務(wù)需求時(shí)花費(fèi)大量時(shí)間，但仍然無(wú)法避免安全問(wèn)題日益積累的尷尬局面。不過(guò)中小企業(yè)的信息技術(shù)人士還是能通過(guò)小規(guī)模修復(fù)在一定程度上改善安全狀態(tài)，而且不必花費(fèi)大量資金，Thrive Networks公司——一家專為中小企業(yè)提供信息技術(shù)管理的服務(wù)供應(yīng)商——首席技術(shù)官Dylan O’Connor指出。

“客戶有很多成本很低甚至完全不存在成本的途徑來(lái)改善自身安全性，”他表示。“這些步驟對(duì)于IT管理者可能并不陌生，但我們的大多數(shù)客戶甚至根本沒(méi)有設(shè)置IT管理員崗位。”

從評(píng)估過(guò)時(shí)系統(tǒng)與低強(qiáng)度密碼到組織第三方供應(yīng)商調(diào)查，企業(yè)完全可以在不影響運(yùn)營(yíng)底線的前提下將安全性提升至新高度。下面就請(qǐng)大家一同來(lái)看由中小企業(yè)安全專家提供的五大省錢改進(jìn)途徑。

1.評(píng)估當(dāng)前業(yè)務(wù)安全性

企業(yè)應(yīng)當(dāng)盡早著手評(píng)估自己的計(jì)算機(jī)系統(tǒng)，了解這些系統(tǒng)對(duì)于業(yè)務(wù)運(yùn)營(yíng)及安全性的重要性與實(shí)際意義。整個(gè)過(guò)程并不會(huì)給企業(yè)帶來(lái)直接開(kāi)支，只是占用了員工的一部分工作時(shí)間。但其效果仍然非常顯著，過(guò)時(shí)系統(tǒng)與安全隱患最終可能給企業(yè)帶來(lái)巨額損失，安全管理服務(wù)供應(yīng)商Trustwave公司研究實(shí)驗(yàn)室主管Charles Henderson如是說(shuō)。

“如果可能的話，請(qǐng)盡量探索能最大限度降低攻擊面的方法，”他指出。“我發(fā)現(xiàn)很多中小企業(yè)都會(huì)在業(yè)務(wù)流程中摻雜一些不必要的復(fù)雜項(xiàng)目。”

當(dāng)企業(yè)對(duì)現(xiàn)有系統(tǒng)進(jìn)行匯總整理時(shí)，他們還需要確保所有系統(tǒng)都經(jīng)過(guò)合理配置、從而限制終端用戶的操作權(quán)限——即不允許使用者以Windows管理員的身份登錄系統(tǒng)。除此之外，企業(yè)還應(yīng)該通過(guò)檢查確定所有密碼——尤其是那些與Windows域及其它關(guān)鍵服務(wù)器相關(guān)的密碼——并未采用默認(rèn)內(nèi)容且不易被猜出，Thrive公司的O’Connor建議道。

2.培訓(xùn)終端用戶

要想攻破目標(biāo)系統(tǒng)，大多數(shù)攻擊者都必須借助終端用戶的不當(dāng)操作，因此向員工傳授安全知識(shí)能夠有效降低攻擊活動(dòng)的發(fā)生頻繁，戴爾軟件終端用戶產(chǎn)品戰(zhàn)略執(zhí)行理事Brett Hansen表示。

“終端用戶自身已經(jīng)成為最嚴(yán)重的安全威脅，”他告訴我們。“盡管安全解決方案能夠以各種方式消弭其它高危因素，但用戶仍然必須時(shí)刻保持警惕。”

企業(yè)應(yīng)當(dāng)每月組織午餐交流活動(dòng)，為員工提供安全溝通平臺(tái)，Thrive公司的O’Connor建議道。為了保持大家的參與積極性，我們不妨為每次活動(dòng)設(shè)定單獨(dú)的主題，例如籌備一些安全案例研究或者網(wǎng)絡(luò)釣魚(yú)電子郵件，并向員工傳達(dá)保障系統(tǒng)與設(shè)備安全的重要性，他指出。

“另外，當(dāng)我們與員工討論互聯(lián)網(wǎng)安全時(shí)，不要只以辦公環(huán)境為基礎(chǔ)展開(kāi)交流，也應(yīng)該把家中的工作狀況考慮進(jìn)來(lái)，”O’Connor補(bǔ)充稱。

3.定期為系統(tǒng)重新制作鏡像

企業(yè)也應(yīng)該考慮將員工計(jì)算機(jī)的鏡像快速重新制作納入工作流程。雖然創(chuàng)建標(biāo)準(zhǔn)化鏡像并將其部署到新系統(tǒng)中屬于IT部門的職責(zé)，但定期實(shí)施這一方案對(duì)企業(yè)安全性保障同樣大有禆益，某中型游戲廠商資深安全分析師Michael Gough表示——他不愿透露自己所在單位的具體名稱。

任何一臺(tái)在一周之內(nèi)通過(guò)企業(yè)殺毒軟件、公司防火墻或者入侵檢測(cè)系統(tǒng)提交過(guò)警告信息的設(shè)備都應(yīng)該重新進(jìn)行鏡像制作。對(duì)于那些對(duì)取證工作較為重視的企業(yè)而言，IT人員還應(yīng)該直接將原有硬盤撤換下來(lái)并在新驅(qū)動(dòng)器中制作鏡像。

“如果某位員工收到來(lái)自殺毒軟件的警報(bào)，并在一周之內(nèi)再次發(fā)現(xiàn)類似提示，請(qǐng)馬上重新制作設(shè)備鏡像，”Gough解釋道。“如果大家在一個(gè)月內(nèi)發(fā)現(xiàn)三次這類提醒，那么整臺(tái)PC的鏡像都需要重新制作。”

此外，公司還可以定期對(duì)員工系統(tǒng)的鏡像加以重制以獲得良好的安全保護(hù)效果。根據(jù)Trustwave公司發(fā)布的2013年全球安全報(bào)告，只有36%的企業(yè)能在入侵活動(dòng)發(fā)生九十天之內(nèi)檢測(cè)到該事故。每個(gè)季度定期重新制作鏡像能幫助企業(yè)根除潛在安全威脅，從而將那些已經(jīng)感染了員工系統(tǒng)但尚未造成危害的隱患扼殺在萌芽狀態(tài)。

“只要我們能定期更新設(shè)備中的數(shù)據(jù)，停機(jī)機(jī)率就能被控制在極低的范圍，這樣的收益確實(shí)非常顯著，”Gough總結(jié)道。

4.嚴(yán)格審查第三方合作伙伴

從云供應(yīng)商到業(yè)務(wù)顧問(wèn)再到外包交易系統(tǒng)，第三方合作伙伴的介入可能成為企業(yè)業(yè)務(wù)環(huán)境安全的致命短板。根據(jù)Trustwave公司的研究報(bào)告，由第三方公司引發(fā)的數(shù)據(jù)泄露事故占事故總體數(shù)量的三分之二左右。

“我們真的很難把握第三方合作伙伴在安全性方面的水準(zhǔn)，”Trustwave公司的Henderson指出。“而且我們也經(jīng)常需要處理由第三方供應(yīng)商安全實(shí)踐失誤所引發(fā)的安全事故。”

中小型企業(yè)需要在確保第三方供應(yīng)商具備良好的安全指標(biāo)之后才著手籌備協(xié)作并簽署合作意見(jiàn)。根據(jù)Thrive公司O’Connor的意見(jiàn)，企業(yè)管理者需要首先弄清以下幾個(gè)問(wèn)題：供應(yīng)商的基礎(chǔ)設(shè)施受到哪種防火墻或安全機(jī)制的保護(hù);他們多久安裝一次安全補(bǔ)丁，安裝流程如何進(jìn)行;第三方擁有多少位常駐安全專家，這些專家擁有如此認(rèn)證資質(zhì);另外，他們?yōu)榭蛻籼峁┠男┌踩珡?qiáng)化措施——例如雙因素認(rèn)證等。

“大家不需要在第三方評(píng)估工作中投入資金，我們只需要確保對(duì)方花錢完成這些任務(wù)即可，”Henderson補(bǔ)充稱。

5.使用云服務(wù)及托管服務(wù)供應(yīng)商

對(duì)第三方服務(wù)供應(yīng)商安全因素感到滿意的企業(yè)也可以利用向云端遷移將自身安全水平推向新高度。盡管大型企業(yè)可能會(huì)通過(guò)創(chuàng)建內(nèi)部服務(wù)實(shí)現(xiàn)最高水準(zhǔn)的安全性指標(biāo)，但中小型則幾乎不可能擁有足夠的財(cái)力與精力實(shí)現(xiàn)同等效果，因此云服務(wù)安全性已經(jīng)可以算是相對(duì)理想的業(yè)務(wù)方案。有鑒于此，將電子郵件、備份以及文件共享等服務(wù)遷移至云環(huán)境當(dāng)中不僅能夠節(jié)約資金，更會(huì)獲得相對(duì)平衡的安全表現(xiàn)，Thrive公司的O’Connor解釋道。

“現(xiàn)在的關(guān)鍵問(wèn)題已經(jīng)不再是我們?yōu)槭裁匆蛟贫诉w移，而是隨著這一趨勢(shì)的持續(xù)升溫，為什么還要拒絕云服務(wù)這樣一套極佳的備選方案，”他表示。

托管服務(wù)供應(yīng)商還能夠搞定大部分企業(yè)自身受員工素質(zhì)所限而完成不了的安全任務(wù)。員工總?cè)藬?shù)在250人以下的企業(yè)通常都不具備全職信息安全經(jīng)理，因此管理者必須考慮利用托管安全服務(wù)供應(yīng)商來(lái)打理復(fù)雜的安全設(shè)備，例如入侵檢測(cè)系統(tǒng)以及日志分析系統(tǒng)等。

“只有真正熟悉并掌握安全知識(shí)的頂尖人才能夠順利搞定保護(hù)工作，”安全專家Gough指出。“如果大家所在的企業(yè)還沒(méi)有專門負(fù)責(zé)審核防火墻規(guī)則及路由規(guī)則的團(tuán)隊(duì)，那么即使部署了入侵檢測(cè)系統(tǒng)、其結(jié)果也不過(guò)是形同虛設(shè)。”

原文鏈接：http://www.darkreading.com/smb/5-ways-for-smbs-to-improve-security-but/240154276