7 個網站安全提示,可讓您的企業免遭數據洩露

已發表: 2018-10-16

幾天,另一名黑客在最新的大規模企業網絡安全漏洞中從 Enormo 銀行竊取了數百萬客戶的數據。 中小型企業 (SMB) 竊笑自己,並感謝他們沒有大到足以讓黑客注意的天空。 如果這是您的心態,我們想第一個告訴您您的看法是錯誤的。 大錯特錯。

pap-blog-the-largest-data-breakes-in-us-history

根據美國國會小企業委員會的說法,現實情況是,整整 71% 的在線安全漏洞都是針對員工少於 100 人的公司。 說什麼? 你沒看錯,所以如果“我們太小,壞人無法接受”的心態滲透到你的 SMB,現在可能是放下能量飲料,坐直,並密切關注這些的好時機7 個網站安全提示,可讓您的企業免遭數據洩露。

你會很高興你做到了。

#1 防火牆不僅僅是一個好主意

如果您的網絡中沒有安裝防火牆,那麼您不妨立即跳上暗網,並張貼所有密碼,讓任何路過的黑客都能找到。 現實情況是,您應該將防火牆視為保護客戶數據的第一道防線。 快速回顧一下,防火牆是一種安全系統(無論是硬件還是軟件),它監控內部網絡和 Internet 之間的數據流,並根據預先確定的安全規則篩選出可疑活動。

pap-blog-防火牆

在安裝防火牆時,需要關註三個方面。

外部防火牆:這種類型的防火牆通常是路由器或服務器的一部分。 它位於您公司的網絡之外,從一開始就可以防止各種黑客嘗試到達您的系統。 如果您不確定是否有,請致電您的網絡託管服務商並提出一些問題。

內部防火牆:這種類型的防火牆採用安裝在網絡上的軟件的形式。 雖然它的作用類似於外部防火牆,即掃描病毒、惡意軟件和其他網絡惡意軟件,但還應設置對網絡進行分段,以便病毒、黑客等可以快速隔離並傳播在它感染整個系統之前受到限制。

需要注意的第三個方面是關於訪問公司網絡的在家工作的員工。 您的整體安全性取決於最薄弱的環節。 在這種情況下,為防火牆保護付費是值得的。

防火牆與您的網站/網絡的託管設置有著內在的聯繫。 對於每月花費的一些額外費用,您可能會考慮放棄共享託管併升級到更強大的東西,專用服務器或虛擬專用服務器,允許對特定安全配置進行更多控制。

#2 保護那些智能設備

2016 年的 Tech Pro 調查發現,59% 的企業遵循自帶設備 (BYOD) 政策。 這是進入公司網絡的許多潛在的不安全途徑,在大廳和辦公室周圍徘徊。 顯然,交叉手指並希望沒有壞人注意到這種大規模的安全故障不是合理的政策,那麼你打算怎麼做? 在信息時代的這個時候,試圖讓智能手機、平板電腦、健身追踪器和智能手錶等個人設備遠離工作場所可能會導致整個員工隊伍全面罷工。

這是該怎麼做。

創建專門適用於個人設備的安全策略。 讓員工知道 BYOD 沒有問題,但他們必須——用大寫字母重複強調——必須遵守確保網絡安全的規則。 要採取的兩個具體步驟是:

  1. 要求將所有個人設備設置為自動檢查和安裝安全更新。
  2. 要求所有個人設備遵守公司密碼政策。 您確實有密碼策略,對嗎? 這很重要。 我們稍後會討論為什麼。

如果您開始覺得自己像擁有所有這些要求的 Grinch,請問問自己。 我是願意用嚴格的網絡安全準則激怒一些員工,還是讓我最寶貴的業務資產、客戶數據、華爾茲走出門外? 我們就是這麼想的。

#3 一本安全手冊來統治它們

如前所述,當今的中小型企業通常將數據視為最寶貴的業務資產。 一個員工容易對密碼馬虎,或者採取隨意的態度來目視篩選所有電子郵件以進行網絡釣魚嘗試,這實際上可能會破壞您的業務。 給智者一句話。 客戶可能會非常無情並猶豫是否進一步光顧一家被認為對他們的個人信息玩忽職守的公司。 如果您的公司需要專業服務,安全軟件開發商可能是一個不錯的選擇。

現在,管理層和每一位員工比以往任何時候都更需要認真對待防止在線安全漏洞的培訓,從最白髮蒼蒼的老手到鼻涕蟲的新手。 你必須有一份印刷的政策手冊,闡明要遵守的協議以及不遵守協議的後果,包括解僱。 您可能已經註意到,網絡犯罪分子是一群精明的人。 他們一直在測試您的防禦,並通過技術、詭計或兩者的結合創造新的方法來滲透您的網絡。

SMB 經理和所有者有責任根據當時的最佳實踐定期更新手冊,並在新員工入職過程中投入足夠的時間提供適當的教育。 如果您希望認真對待這項努力,並且應該認真對待,那麼您必須認真對待。 至少,任何出於任何原因訪問公司網絡的員工都需要徹底了解如何確保其安全。 這種安全性的很大一部分在於密碼安全性主題,該主題非常重要,足以獲得自己的類別。

#4 如果你什麼都不做,有一個強大的密碼策略

以下是一些統計數據,它們對闡明中小型企業在網絡安全方面可能出現問題的確切原因大有幫助。

  • Verizon 2016 年的一份報告發現,63% 的數據洩露是由密碼薄弱、丟失或被盜造成的。 這是個問題。
  • Ponemon Institute 的一份報告稱,有 65% 的公司製定了密碼策略,但並未強制執行。 這是一個更大的問題。

我們從哪裡開始呢? 是的,如果您要求員工創建比“1234”更複雜的密碼並定期更改密碼,員工會向高天抱怨你的網絡被敵對勢力? 如果您說的是前者,我們禮貌地建議您立即出售您的業務。

7 個網站安全提示,可讓您的企業免遭數據洩露

密碼安全需要在安全手冊中有自己的部分,並且應該遵循最佳實踐。 這意味著您應該要求:

  1. 密碼每 60-90 天更改一次
  2. 密碼長度至少為 8 個字符,但越長越好
  3. 密碼包括大小寫字母、數字和特殊字符

回顧之前的數字,一旦您遇到創建強密碼策略的麻煩,不要成為不執行它的 65% 的一部分。 那太傻了。

密碼管理器:我們不想離開本節而不提及密碼管理器。 這些程序可作為已安裝的軟件、雲服務甚至物理設備使用,可幫助您生成和檢索複雜的密碼。 它就像名稱所聲稱的那樣,即管理您的密碼,似乎我們大多數人都可以在該領域使用幫助。

從《消費者報告》中閱讀有關此頂級(且價格低廉)在線安全預防措施的更多信息。

#5 備份? 現在比以往任何時候都更

到目前為止,您已決定準確、準確、完整地遵循我們的每條建議,沒有任何偏差。 您現在可以鬆一口氣了,因為您的公司網絡是無懈可擊的。 為什麼不向後靠,撐起你的腳呢? 這就是為什麼不。 儘管您和您的全體員工懷有最好的意圖,但至少有可能黑客仍會設法潛入並製造騷動。 正如我們所說,這些傢伙和女孩是一群致力於犯罪惡作劇的聰明人。 一旦進入,他們可以造成各種破壞,從記錄密碼擊鍵到使用您的資源發起全面的“機器人攻擊”,再到清除您的服務器。

那時,您會希望可以在黑客介入之前將系統回滾到先前的時間點。 您一直在定期將所有內容備份到雲端,甚至在物理上偏遠的位置存儲另一個副本,對吧,因為會發生火災和洪水? 如果您現在不這樣做,請認真考慮備份文字處理文檔、電子表格、數據庫、財務記錄、人力資源文件和應收/應付賬款。

pap-blog-acronis-backup

隨著雲備份服務變得越來越實惠,沒有理由不實施全面的備份策略,讓您在網絡滲透的情況下快速將系統恢復到運行狀態。 除非你喜歡從內存中重建你使用的每個文件......

#6 反惡意軟件不是可選的

好的,選擇是否安裝反惡意軟件是可選的。 相反,我們應該說否定決定是一個壞主意。 反惡意軟件可防止網絡釣魚攻擊,出於某種原因,網絡釣魚攻擊已成為黑客最喜歡的策略之一——它們的作用就像一種魅力。 為了證明,我們再次轉向 2016 年 Verizon 報告。 根據本次調查,30%的員工打開過釣魚郵件,比上年增長7%!

回顧一下,網絡釣魚是一種黑客發送電子郵件的技術,旨在誘使員工點擊其中的鏈接。 上鉤會觸發網絡上的惡意軟件安裝,黑客就進來了。這是一件壞事。 防範網絡釣魚的第一道防線是培訓您的員工不要點擊電子郵件中的任何內容,除非他們非常確定這是合法的。

考慮到 30% 的員工實際上是在邀請黑客進入網絡,反惡意軟件是攔截和關閉流氓軟件安裝完成的最佳選擇。 特別注意黑客喜歡釣魚的職位的員工:首席執行官、行政助理、銷售人員和人力資源。 這些已被證明是特別受歡迎的目標,因為它們通常可以訪問網絡最佳部分的軟肋。

但不要誤以為其他人都免疫了。 任何可以訪問網絡任何部分的員工都是潛在目標。

#7 多因素身份驗證——迅速成為最佳實踐

近年來,多因素身份驗證 (MFA) 已成為關注其網絡安全性的人們關注的焦點。 是的,這可能有點麻煩,但它幾乎是確保登錄過程安全的一種安全方式。 確切過程有很多排列,但以下是一家公司的登錄方式:

  • 用戶通過在系統提示中輸入密碼以傳統方式輸入密碼
  • 生成第二個一次性密碼並發送給用戶的手機
  • 用戶被帶到最後的登錄頁面,他/她在那裡從他們的手機輸入代碼
  • 允許進入網絡
pap-blog-multi-factor-authentication-rapidly-becoming-best-practice

實現 MFA 的一種更簡單的方法是讓員工的手機號碼作為第二次登錄。 這裡的想法是黑客極不可能同時訪問第一次登錄和手機號碼。 這種額外的保護層在大多數係統上激活起來相對簡單,並且大大增強了密碼安全性。

該領域的許多開創性工作來自谷歌,該公司最近完成了為期一年的工作,其 85,000 人中沒有一個人的 Gmail 帳戶被黑客入侵。 他們通過使用插入 USB 端口的名為 Titan 的物理安全密鑰來做到這一點。 即使使用用戶名和密碼,黑客也無法在沒有物理訪問密鑰的情況下進一步進入帳戶。

最後的想法

大局的想法是,那些參與 SMB 的人必須記住,網站和網絡安全不涉及大開關,然後再也不必擔心網絡犯罪分子。 這是一個反复的過程,每次您朝目標線邁出一步時,目標線都會繼續向前移動。 沒有設置它並忘記過程。 壞人永遠不會停止測試和學習,隨著他們的努力變得更加老練,所以你也不能。 如今,公司必須遵守數據隱私法規,因此擁有數據治理系統還將確保以正確的方式收集和管理所有正在使用的數據。

如果您還沒有這樣做,那麼您或您指定的人應該密切關注網絡安全行業的脈搏,以便在新的攻擊和預防方法出現時加以注意。 在你的對手永遠不會停止學習的世界裡,你也負擔不起。 如果您關心您的業務,在確保您的專用網絡和數據保持私密性時,自滿不是一種選擇。

加里·史蒂文斯

客座作者

加里·史蒂文斯

Gary Stevens 是一名前端開發人員。 他是一名全職區塊鏈極客和一名為以太坊基金會工作的志願者,也是一名活躍的 Github 貢獻者。