7 个网站安全提示,可让您的企业免遭数据泄露

已发表: 2018-10-16

几天,另一名黑客在最新的大规模企业网络安全漏洞中从 Enormo 银行窃取了数百万客户的数据。 中小型企业 (SMB) 窃笑自己,并感谢他们没有大到足以让黑客注意的天空。 如果这是您的心态,我们想第一个告诉您您的看法是错误的。 大错特错。

pap-blog-the-largest-data-breakes-in-us-history

根据美国国会小企业委员会的说法,现实情况是,整整 71% 的在线安全漏洞都是针对员工少于 100 人的公司。 说什么? 你没看错,所以如果“我们太小,坏人无法接受”的心态渗透到你的 SMB,现在可能是放下能量饮料,坐直,并密切关注这些的好时机7 个网站安全提示,可让您的企业免遭数据泄露。

你会很高兴你做到了。

#1 防火墙不仅仅是一个好主意

如果您的网络中没有安装防火墙,那么您不妨立即跳上暗网,并张贴所有密码,让任何路过的黑客都能找到。 现实情况是,您应该将防火墙视为保护客户数据的第一道防线。 快速回顾一下,防火墙是一种安全系统(无论是硬件还是软件),它监控内部网络和 Internet 之间的数据流,并根据预先确定的安全规则筛选出可疑活动。

pap-blog-防火墙

在安装防火墙时,需要关注三个方面。

外部防火墙:这种类型的防火墙通常是路由器或服务器的一部分。 它位于您公司的网络之外,从一开始就可以防止各种黑客尝试到达您的系统。 如果您不确定是否有,请致电您的网络托管服务商并提出一些问题。

内部防火墙:这种类型的防火墙采用安装在网络上的软件的形式。 虽然它的作用类似于外部防火墙,即扫描病毒、恶意软件和其他网络恶意软件,但还应设置对网络进行分段,以便病毒、黑客等可以快速隔离并传播在它感染整个系统之前受到限制。

需要注意的第三个方面是关于访问公司网络的在家工作的员工。 您的整体安全性取决于最薄弱的环节。 在这种情况下,为防火墙保护付费是值得的。

防火墙与您的网站/网络的托管设置有着内在的联系。 对于每月花费的一些额外费用,您可能会考虑放弃共享托管并升级到更强大的东西,专用服务器或虚拟专用服务器,允许对特定安全配置进行更多控制。

#2 保护那些智能设备

2016 年的 Tech Pro 调查发现,59% 的企业遵循自带设备 (BYOD) 政策。 这是进入公司网络的许多潜在的不安全途径,在大厅和办公室周围徘徊。 显然,交叉手指并希望没有坏人注意到这种大规模的安全故障不是合理的政策,那么你打算怎么做? 在信息时代的这个时候,试图让智能手机、平板电脑、健身追踪器和智能手表等个人设备远离工作场所可能会导致整个员工队伍全面罢工。

这是该怎么做。

创建专门适用于个人设备的安全策略。 让员工知道 BYOD 没有问题,但他们必须——用大写字母重复强调——必须遵守确保网络安全的规则。 要采取的两个具体步骤是:

  1. 要求将所有个人设备设置为自动检查和安装安全更新。
  2. 要求所有个人设备遵守公司密码政策。 您确实有密码策略,对吗? 这很重要。 我们稍后会讨论为什么。

如果您开始觉得自己像拥有所有这些要求的 Grinch,请问问自己。 我是愿意用严格的网络安全准则激怒一些员工,还是让我最宝贵的业务资产、客户数据、华尔兹走出门外? 我们就是这么想的。

#3 一本安全手册来统治它们

如前所述,当今的中小型企业通常将数据视为最宝贵的业务资产。 一个员工容易对密码马虎,或者采取随意的态度来目视筛选所有电子邮件以进行网络钓鱼尝试,这实际上可能会破坏您的业务。 给智者一句话。 客户可能会非常无情并犹豫是否进一步光顾一家被认为对他们的个人信息玩忽职守的公司。 如果您的公司需要专业服务,安全软件开发商可能是一个不错的选择。

现在,管理层和每一位员工比以往任何时候都更需要认真对待防止在线安全漏洞的培训,从最白发苍苍的老手到鼻涕虫的新手。 你必须有一份印刷的政策手册,阐明要遵守的协议以及不遵守协议的后果,包括解雇。 您可能已经注意到,网络犯罪分子是一群精明的人。 他们一直在测试您的防御,并通过技术、诡计或两者的结合创造新的方法来渗透您的网络。

SMB 经理和所有者有责任根据当时的最佳实践定期更新手册,并在新员工入职过程中投入足够的时间提供适当的教育。 如果您希望认真对待这项努力,并且应该认真对待,那么您必须认真对待。 至少,任何出于任何原因访问公司网络的员工都需要彻底了解如何确保其安全。 这种安全性的很大一部分在于密码安全性主题,该主题非常重要,足以获得自己的类别。

#4 如果你什么都不做,有一个强大的密码策略

以下是一些统计数据,它们对阐明中小型企业在网络安全方面可能出现问题的确切原因大有帮助。

  • Verizon 2016 年的一份报告发现,63% 的数据泄露是由密码薄弱、丢失或被盗造成的。 这是个问题。
  • Ponemon Institute 的一份报告称,有 65% 的公司制定了密码策略,但并未强制执行。 这是一个更大的问题。

我们从哪里开始呢? 是的,如果您要求员工创建比“1234”更复杂的密码并定期更改密码,员工会向高天抱怨你的网络被敌对势力? 如果您说的是前者,我们礼貌地建议您立即出售您的业务。

7 个网站安全提示,可让您的企业免遭数据泄露

密码安全需要在安全手册中有自己的部分,并且应该遵循最佳实践。 这意味着您应该要求:

  1. 密码每 60-90 天更改一次
  2. 密码长度至少为 8 个字符,但越长越好
  3. 密码包括大小写字母、数字和特殊字符

回顾之前的数字,一旦您遇到创建强密码策略的麻烦,不要成为不执行它的 65% 的一部分。 那太傻了。

密码管理器:我们不想离开本节而不提及密码管理器。 这些程序可作为已安装的软件、云服务甚至物理设备使用,可帮助您生成和检索复杂的密码。 它就像名称所声称的那样,即管理您的密码,似乎我们大多数人都可以在该领域使用帮助。

从《消费者报告》中阅读有关此顶级(且价格低廉)在线安全预防措施的更多信息。

#5 备份? 现在比以往任何时候都更

到目前为止,您已决定准确、准确、完整地遵循我们的每条建议,没有任何偏差。 您现在可以松一口气了,因为您的公司网络是无懈可击的。 为什么不向后靠,撑起你的脚呢? 这就是为什么不。 尽管您和您的全体员工怀有最好的意图,但至少有可能黑客仍会设法潜入并制造骚动。 正如我们所说,这些家伙和女孩是一群致力于犯罪恶作剧的聪明人。 一旦进入,他们可以造成各种破坏,从记录密码击键到使用您的资源发起全面的“机器人攻击”,再到清除您的服务器。

那时,您会希望可以在黑客介入之前将系统回滚到先前的时间点。 您一直在定期将所有内容备份到云端,甚至在物理上偏远的位置存储另一个副本,对吧,因为会发生火灾和洪水? 如果您现在不这样做,请认真考虑备份文字处理文档、电子表格、数据库、财务记录、人力资源文件和应收/应付账款。

pap-blog-acronis-backup

随着云备份服务变得越来越实惠,没有理由不实施全面的备份策略,让您在网络渗透的情况下快速将系统恢复到运行状态。 除非你喜欢从内存中重建你使用的每个文件......

#6 反恶意软件不是可选的

好的,选择是否安装反恶意软件是可选的。 相反,我们应该说否定决定是一个坏主意。 反恶意软件可防止网络钓鱼攻击,出于某种原因,网络钓鱼攻击已成为黑客最喜欢的策略之一——它们的作用就像一种魅力。 为了证明,我们再次转向 2016 年 Verizon 报告。 根据本次调查,30%的员工打开过钓鱼邮件,比上年增长7%!

回顾一下,网络钓鱼是一种黑客发送电子邮件的技术,旨在诱使员工点击其中的链接。 上钩会触发网络上的恶意软件安装,黑客就进来了。这是一件坏事。 防范网络钓鱼的第一道防线是培训您的员工不要点击电子邮件中的任何内容,除非他们非常确定这是合法的。

考虑到 30% 的员工实际上是在邀请黑客进入网络,反恶意软件是拦截和关闭流氓软件安装完成的最佳选择。 特别注意黑客喜欢钓鱼的职位的员工:首席执行官、行政助理、销售人员和人力资源。 这些已被证明是特别受欢迎的目标,因为它们通常可以访问网络最佳部分的软肋。

但不要误以为其他人都免疫了。 任何可以访问网络任何部分的员工都是潜在目标。

#7 多因素身份验证——迅速成为最佳实践

近年来,多因素身份验证 (MFA) 已成为关注其网络安全性的人们关注的焦点。 是的,这可能有点麻烦,但它几乎是确保登录过程安全的一种安全方式。 确切过程有很多排列,但以下是一家公司的登录方式:

  • 用户通过在系统提示中输入密码以传统方式输入密码
  • 生成第二个一次性密码并发送给用户的手机
  • 用户被带到最后的登录页面,他/她在那里从他们的手机输入代码
  • 允许进入网络
pap-blog-multi-factor-authentication-rapidly-becoming-best-practice

实现 MFA 的一种更简单的方法是让员工的手机号码作为第二次登录。 这里的想法是黑客极不可能同时访问第一次登录和手机号码。 这种额外的保护层在大多数系统上激活起来相对简单,并且大大增强了密码安全性。

该领域的许多开创性工作来自谷歌,该公司最近完成了为期一年的工作,其 85,000 人中没有一个人的 Gmail 帐户被黑客入侵。 他们通过使用插入 USB 端口的名为 Titan 的物理安全密钥来做到这一点。 即使使用用户名和密码,黑客也无法在没有物理访问密钥的情况下进一步进入帐户。

最后的想法

大局的想法是,那些参与 SMB 的人必须记住,网站和网络安全不涉及大开关,然后再也不必担心网络犯罪分子。 这是一个反复的过程,每次您朝目标线迈出一步时,目标线都会继续向前移动。 没有设置它并忘记过程。 坏人永远不会停止测试和学习,随着他们的努力变得更加老练,所以你也不能。 如今,公司必须遵守数据隐私法规,因此拥有数据治理系统还将确保以正确的方式收集和管理所有正在使用的数据。

如果您还没有这样做,那么您或您指定的人应该密切关注网络安全行业的脉搏,以便在新的攻击和预防方法出现时加以注意。 在你的对手永远不会停止学习的世界里,你也负担不起。 如果您关心您的业务,在确保您的专用网络和数据保持私密性时,自满不是一种选择。

加里·史蒂文斯

客座作者

加里·史蒂文斯

Gary Stevens 是一名前端开发人员。 他是一名全职区块链极客和一名为以太坊基金会工作的志愿者,也是一名活跃的 Github 贡献者。