桉术CRM:随着Internet技术的飞速发展和广泛应用,网络安全问题愈来愈突出,已成为当前的一大技术热点。国外已有不少企业仅仅因为一次网络攻击就面临倒闭,资金被窃、信息泄露、恶意勒索,而国内中小企业也因为网络安全的问题对云端信息化亦步亦趋,始终没有放开脚步。下面就让我们来谈一谈企业数据安全问题。
在2015年,有数十亿人因为安全漏洞受到了不同程度的影响,其中不乏一些名人。就因为这些安全漏洞,有人的婚外情被揭露了,保险公司的数据被入侵了,前段时间网上还曝光了京东公司有12G的用户数据泄漏了,这样的事情层出不穷,每年都有数不胜数的类似的事件发生,被泄漏的数据包括电子邮件,电话,甚至还有银行卡密码。
也许只有一些大企业遭受到网络攻击的新闻才能吸引到我们的眼球,比如京东的数据泄漏事件。其实,相对大企业而言,中小型企业的安全防御能力更加脆弱,它们更加容易受到攻击,也面临着更大的威胁。安全服务提供商赛门铁克在2015年做了一份统计说到:“其中 60% 的网络攻击都是针对中小企业的”。同期,卡巴斯基实验室也进行了调查研究,他们表明:中小型企业从一次网络攻击中恢复平均需要38000美元(换成人民币就是20万了)。
这样说你可能没有概念。下面就让我们举例子:网络攻击以及安全漏洞是怎么摧毁一个小公司的。
1-信用卡诈骗
T恤制造商 80Tees.com 仅仅因为遭受到了一次网络攻击就损失了 20 万美元。该公司的创始人Kevin Stecko有一天被信用卡公司告知:他网站上的用户似乎在进行一些可疑的交易,因此,Kevin Stecko 暂停网站对信用卡数据的收集工作,并聘请了一个检查团队来进行秘密的检测。不过这个检查团队并没有发现什么可疑的现象,然后Kevin Stecko 便放松了警惕。
但是,事情并不是就这样结束了,几个月之后,信用卡公司又告知Kevin Stecko,他的公司接收到了很多欺诈指控,并且还泄漏了数千名用户的个人信息。这时候 Kevin Stecko 才意识到了事情的严重性。因为网站的漏洞没有被及时的处理,不仅让他的公司直接亏损了 20 万美元,他们的销售量也直线下降,因为受到了指控后,他的公司需要接受调查,同时也被暂停了信用卡服务,所以只能使用在线支付,让它损失了不少用户。
2-软件勒索
教育类玩具制造商Rokenbok 在假期来临之前遭受到了一次网络攻击,这次攻击导致它的所有数据都被一种恶意软件锁定了,如果它想访问自己的数据,就必须向攻击者支付一定的费用。这种数据劫持方式和其他方式相比,更加容易资产套现,因为它不像信用卡欺诈那样,还有需要利用中间平台或者第三方去进行交易。最终Rokenbok 并没有给攻击者支付任何费用,但是,他们却花了大量的资金和时间去重构他们的系统。要知道,假期才是玩具厂商销售的高峰期,在这个时间点去重构系统,他们的损失也许是局外人无法想象的。然而在今天,软件勒索发生的频率却越来越高。
3-旧招:网络页面篡改
SmallBizDaily.com是一家致力于为企业家们提供新闻信息和建议的网站,在2012年的9月,它遭到了网络页面被恶意篡改的网络攻击,网站被挂上了很多奇怪的语言、宣传标语和图片。虽然恶意篡改是很老旧的招数,但是公司业务依然受到了巨大的影响。通常,恶意代码是很难被发现的,即使被发现了,并且将其删除了,可能在几个月后它又会出现。
在人们心中,黑客通常是那种爱用技术去体现自己的存在感,十分高调,同时也扮演着一种反面的角色。不过,真正让人担心的是那些闷声不语的黑客,有些黑客攻击别人的网站只是为了宣传一些信息,或者说仅仅是为了证明自己有技术去做点什么。但是大量的黑客攻击别人的系统是为了盗窃数据或者资产,通常数据或者资产的丢失都是在被黑客攻击后才能被发现。
4-黑客:中小企业的噩梦
随着云计算的发展,越来越多的小企业选择了使用云服务来保护自己,因为云服务的成本相对较低,目前看起来也比较安全。在过去的几年中,网络的部署方式也在不断的变化。到 2015 年为止,有 30% 的网络安全是通过云来部署的。虽然越来越多的小型企业选择了使用云服务,但不表明这样就没有后顾之忧了。Gartner 在2015 年的全球风险与安全调查中(如下图1所示)表明:中小型企业最担心的事情就是黑客们对云发起攻击,其中有七分之一的组织表示,他们最担心的事情就是云端崩溃会造成他们的数据丢失。
图一:云安全和云隐私中最具挑战的事情是什么?
如上图所示,大家最担心的是云服务遭受到黑客的攻击,其次是数据丢失。大家的担心并不是没有依据,所以说,选择一个正确的云服务提供商可以帮助中小型企业避免很多网络攻击。不过,什么样的服务提供商才是正确的呢?我们认为,小企业最需要的应该是那种透明度高,可以提供数据备份服务并且正规的云服务提供商。
GetApp 就是一家云服务提供商平台,他们在客户管理系统、会计和人力资源等系统中采取了很多内置的安全措施,可以有效的避免大部分的网络攻击。不过,目前很多中小型企业对于企业安全服务的重视程度还不够高,直到他们的企业遭受到了不可挽回的攻击以后才会意识到找一家正确的服务提供商是多么重要,不过大多数情况下,这时候再去修复安全漏洞已经为时已晚。
相信大家可以在上文的事例中发现,网络攻击不仅会让企业损失大量的资金,还会降低它们的运营效率,损失不少客户,这些间接损失的影响比直接损失更大,影响时间更加长久。有时候,一个黑客就可以让一个小企业直接倒闭。
Gartner风险与安全调查研究(如图2)表明:有三分之一的中小型企业担心由于数据泄漏而损失客户,但是它们又很不愿意花大量的资金来保护隐私安全。为了解决这个矛盾的问题,中小型企业应该摒弃那些传统的独立性很强的安全产品(比如防火墙),而应该使用更加全面统一的威胁管理平台(UTM),或者使用那些具有兼容性并且基于网络的安全产品。
图 2:隐私安全问题排行榜
什么样的隐私政策才能保证企业不会因为隐私问题而受到法律的制裁呢?
Gartner的风险与安全调查研究表明中小型企业的需要制定的最重要的相关隐私政策是:
•创建个人数据存储库(例如客户列表,电子邮件,内部文档和信用卡详细信息)及其存储位置。
•为员工进行隐私培训。
•制定全公司范围的隐私计划。
图3:排名前三的隐私政策
通过验证用户的身份来防御攻击。由于用户信息泄漏,很多公司受到了巨大的影响,为了防止这种事情的发生,有一个用户认证系统提供了一种敏捷的解决方案。当然,对于用户认证的问题有很多种不同的解决方案,但是截至目前,还没有一个可以堪称完美的解决方案可以同时保护信息的完整性和安全性。
那么,我们该如何去抵御入侵者呢?下图4 统计了在中小企业中最常用的用户身份验证的方法。研究表明,一次性密码验证(OTP)是最常用的验证方式,其次是譬如人脸识别、指纹识别等生物特征或者基于证书的认证。
图4:最常用的用户身份认证方法
为了保护您的企业安全,您可以做些什么呢?为了保护您的企业安全,实施正确的用户身份验证以及引入相关隐私政策是必不可少的,除了这些,当然还需要采取很多其他的措施来确保您的数据是安全的。要达到这些目的,都可以通过寻找正确的企业服务提供商来实现。
原创编译 | 桉术CRM-杨旋
编译源 | Bhavsheel Kohli、Matt Mullarkey-Toner
转载请注明出处-桉术CRM