企業(yè)CSO應(yīng)該部署安全訪問(wèn)策略和進(jìn)程
有些人認(rèn)為曼寧是賣(mài)國(guó)賊,還有一些人認(rèn)為他是無(wú)辜的,視他為英雄。且不論曼寧在你眼里是個(gè)什么樣的人,他的個(gè)案倒是反映出信息安全策略,程序和風(fēng)險(xiǎn)管理存在大量嚴(yán)重漏洞。
有了這個(gè)前車(chē)之鑒,CISO們應(yīng)該學(xué)習(xí)利用“曼寧事件”教育員工如何在內(nèi)部威脅和訪問(wèn)組織威脅中做好管理。有安全意識(shí)的組織應(yīng)該詢問(wèn)以下幾個(gè)問(wèn)題:
1. 用戶訪問(wèn)極度敏感的數(shù)據(jù)時(shí),應(yīng)該對(duì)用戶采取什么類(lèi)型的訪問(wèn)控制和監(jiān)控?曼寧可以訪問(wèn)機(jī)密數(shù)據(jù),似乎這種權(quán)利缺乏限制和監(jiān)管。這種放任的自由便帶來(lái)了災(zāi)難性的影響——維基泄密。CISO們應(yīng)該確保自己的組織清楚了解誰(shuí)有權(quán)訪問(wèn)最敏感的數(shù)據(jù),并且要部署合適的控件來(lái)檢測(cè)是否有異常活動(dòng)出現(xiàn),如突然出現(xiàn)大量文檔的下載。要考慮存在威脅的驗(yàn)證,和觸發(fā)警告,并通過(guò)受過(guò)訓(xùn)練的安全分析師做好監(jiān)控。
2. 應(yīng)該部署哪一類(lèi)物理安全和數(shù)字權(quán)限策略呢?曼寧帶著一張標(biāo)有“Lady Gaga”的CD就進(jìn)到了高度機(jī)密的地方。這個(gè)CD其實(shí)是一個(gè)空白盤(pán),是他用來(lái)保存機(jī)密文檔的。從物理安全的角度而言,CISO們必須要決定是否讓用戶帶著CD,DVD,iPod等訪問(wèn)敏感數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)有可能就是便攜式存儲(chǔ)媒介。更進(jìn)一步考慮,分析師能否保存這類(lèi)極度機(jī)密的數(shù)據(jù)呢?當(dāng)然不行。CISO們需要阻止別人用DRM保存數(shù)據(jù)或是禁用CD/DVD刻錄機(jī)以及USB端口。
3. 對(duì)于存在問(wèn)題的員工,是否有正式的風(fēng)險(xiǎn)管理進(jìn)程?曼寧被捕前在美軍服役期間就出現(xiàn)過(guò)情緒障礙,咨詢過(guò)軍隊(duì)精神健康專家,曾被兩名長(zhǎng)官描述為“是自己和他人的一個(gè)威脅,”。那時(shí),軍隊(duì)因?yàn)槿狈Π踩治鰩煻雎粤诉@個(gè)問(wèn)題。
軍隊(duì)的人不會(huì)和安全團(tuán)隊(duì)討論這些問(wèn)題,而軍隊(duì)本身也沒(méi)有正式的風(fēng)險(xiǎn)管理分析對(duì)高危人群實(shí)施補(bǔ)償控制。在商業(yè)環(huán)境中,CISO和HR都應(yīng)該有標(biāo)準(zhǔn)的進(jìn)程將HR和網(wǎng)絡(luò)安全行為統(tǒng)一起來(lái)。例如,安全分析師可以做一個(gè)調(diào)查追蹤歷史在線操作或是對(duì)某個(gè)特定對(duì)象進(jìn)行監(jiān)控。但采取這種策略是有條件的,它要求組織認(rèn)真考慮過(guò)這些風(fēng)險(xiǎn),用正式策略解決這些問(wèn)題,并與各部門(mén)保持對(duì)話。
你可能認(rèn)為美國(guó)軍隊(duì)已經(jīng)評(píng)估并解決了這些安全風(fēng)險(xiǎn),但顯然不是。除了曼寧之外,還存在其他責(zé)任人。美國(guó)國(guó)防部對(duì)于此事也沒(méi)向公眾披露太多。
對(duì)于商業(yè)環(huán)境中的我們,在遭遇復(fù)雜攻擊和高級(jí)惡意軟件時(shí),我們不能忽略內(nèi)部威脅。美國(guó)軍方忽視了基本的安全信號(hào)。企業(yè)CISO們應(yīng)該確保自己的公司策略部署得當(dāng),具備恰當(dāng)?shù)倪M(jìn)程和溝通渠道,則會(huì)有他們才能解決意外風(fēng)險(xiǎn),避免以后登上頭條。

責(zé)任編輯:和碩涵
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》