据报道,本周,一名十几岁的高中生入侵了中央情报局局长约翰·布伦南 (john Brennanand) 的电子邮件帐户,并向WikiLeaks发布了个人详细信息。当然,布伦南 (Brennan) 使用的是AOL帐户,这次黑客攻击很可能是 “社会工程” 攻击,其中个人信息 (很可能是通过使用在网上容易找到的信息获得的) 被用来闯入。
无论如何,如果给中央情报局局长的电子邮件不安全,我们还有什么机会?
如果您认为电子邮件被黑客入侵是最糟糕的情况,请考虑使用您的信息订购无数比萨饼的人,致电炸弹威胁或代表您在线发表种族主义评论。这是来自伊利诺伊州奥斯威戈的中产阶级夫妇保罗和艾米·斯特拉特 (Amy Strater) 的可怕案例,他们的生活成为了一场针对他们十几岁的黑客儿子的网络战争的不幸附带损害,后者不明智地与另一个 (更好的人) 打架) 黑客在他经常光顾的在线聊天室。
pC pitstop的业务开发副总裁Mike Schroll是安全和性能软件的创建者,他曾是一名黑客,并以专业的方式入侵和识别大型组织的网络基础设施中的脆弱区域为生。
施罗尔指出,网络安全存在几个层面,就像洋葱一样 -- 如果被黑客入侵,这两个层面都会引起很多眼泪 -- 企业家和企业经理需要意识到所有层面,才能最好地保护公司的网络基础设施免受威胁。
1.社会工程
第一层是保护你的公司免受远方的攻击。众所周知,黑客会在网上找到有关个人信息的一般信息-毕竟,我们确实会在社交媒体上分享有关自己的一切-并利用这些信息来操纵公司 (例如银行) 的员工,以披露个人和敏感信息。虽然这些披露是员工的失败,但更常见的是组织培训和强调安全协议的系统性失败。
Schroll建议您确保已声明已与员工一起审查并经常测试的安全流程。有一个过程来验证呼叫者,并且永远不要透露密码或其他敏感的客户信息。
2.物理安全
虽然你可能相信你的建筑和技术 -- 以及你的敏感信息 -- 在物理上是安全的,但优秀的黑客知道 “技巧”,这将允许他们渗透甚至这一层安全。此外,许多企业主很少关注公司运营中构成威胁的其他物理方面,例如使计算机暴露在外或无法破坏旧硬盘驱动器。
与其他员工一样,这些物理安全漏洞并不总是安全人员的问题,而是组织的通用安全协议。Schroll建议您加密驱动器,利用云备份,封闭向公众公开的任何硬件端口,让专业人员处理旧硬件,并在业务设备上使用盗窃恢复软件,例如prey project。
3.无线安全
你的无线互联网也对你的公司构成威胁。我们经常忘记,wi-fi信号可以比我们办公室的墙壁延伸得更远,而拥有良好天线的黑客可以从很远的地方连接到您的信号。一旦进入网络,没有保护的文件共享或具有简单密码的计算机帐户就成为获取其他敏感信息的简便渠道。
施罗尔说,公司应该使用WpA2协议,而不是过时的WEp或WpA。此外,您的路由器密码需要与所有其他密码一样强。切勿使用默认密码,并确保没有什么可以轻易猜到的 (例如,您的公司地址)。
4.密码
根据Schroll的说法,密码就像内裤一样-需要经常更改密码,保持私有状态并且永远不会与任何人共享。最好的密码是长的,使用大写和小写字母,数字和符号的组合,并且在帐户之间是不同的。
Schroll建议使用更容易记住的短语。例如,请考虑电影《阿甘正传》中的这句名言: “生活是一盒巧克力,阿甘正传。你永远不知道你会得到什么,”这将转化为一个非常有效的密码“ L'aboc,F.Ynkwy'gg。"
虽然跟踪所有这些密码可能是压倒性的,但考虑一个服务,如1密码或Lastpass来维护和保持你的密码安全。
5.双因素身份验证
即使有困难的密码,优秀的黑客仍然有办法渗透账户安全。为此,企业应强烈考虑使用双因素身份验证 (2FA)。大多数大型公司 (例如Google,Apple和Dropbox) 都提供带有手机号码或电子邮件帐户的2FA,而asAuthy和Google Authenticator等应用程序可以帮助您通过其他应用程序和服务实现它。
随着更安全的方法的不断发展,例如指纹和面部识别,甚至超声波声音,公司不应回避根据需要经常更新安全措施以领先于黑客。
6.电子邮件安全
如果您没有其他保护,Schroll强调至少需要保护电子邮件帐户。考虑一下,一旦黑客进入电子邮件帐户,就不难访问其他帐户,因为您的电子邮件帐户通常是重置忘记密码的方式。虽然这是个老新闻,但施罗尔说永远不要点击电子邮件或附件中的链接,因为许多人会把你带到看起来非常像真实网站的钓鱼网站。相反,通过在浏览器上创建新选项卡并键入网站URL来打开网站。
Schroll进一步建议使用Gmail和Google应用程序 (当然是2FA),因为Google具有出色的垃圾邮件,病毒和网络钓鱼保护功能。
7.反病毒
大多数防病毒软件都有帮助确保电子邮件帐户和其他敏感信息安全的服务。然而,即使是最好的软件也有漏洞。恶意软件病毒正在以惊人的速度创建,病毒保护公司很难在其 “黑名单” 中跟踪所有这些病毒。
因此,企业应考虑使用使用 “白名单” 的服务,例如pC Matic。使用白名单保护,该安全性仅允许下载预先批准的软件和程序,从而为系统增加了一层保护。
要明白,你的企业很有可能被黑客入侵 -- 这只是时间的问题。采取适当的措施来保护您的硬件,软件和云帐户,并制定清晰,详细和陈述的信息和技术安全策略。
记住: 远离在线聊天室,在任何情况下,都不要与十几岁的黑客或个人资料名称听起来像暴民老板或幻想巫师,大写字母过多的人混在一起。