经济危机时期所有公司都举步维艰,而网络罪犯们却在暗处偷笑。敏感数据、公司客户以及公司基础设施都面临着巨大的安全风险,可能出现的问题包括:数据泄漏、恶意网站、不满员工以及不受控制的合作伙伴等。
不过,还是有办法加强企业安全性的,选择快速见效的策略可以帮助企业们掌控各种安全威胁,同时又不会忽视网络基础设施安全。本文提供的这10个技巧就是这样的策略,它们能够帮助企业提高风险管理控制,并且不需要投资很高的资金以及人力资源,在最短时间内实现提高安全性的目的。
1. 保护主交换机的安全
首先,我们可以锁定那些未使用的网络端口,同时通过交换机(如Adtran和D-link,当不需要用电的时候,关闭电源)控制减少整体电量消耗来节约资金,对这种设备的投资能够在一年内看到成效。
自动关闭能够更好地保护未使用端口的安全,通过防止窥探电脑进入网络的敏感位置,同时自动关闭还能够提高物理安全,特别是在向公众开放进入的建筑物(如医院和政府办公室等)。
2. 仔细检查低成本端点安全
有很多端点安全设备和代理价格昂贵,并且需要执行长时间的部署筹备时间。
如果你不想花费这么多资金,那么最好的解决办法就是购买TPM功能的笔记本,并开始使用某种形式的保护措施,如指纹识别或者加密密钥(存储在TPM上以防止未经授权的用户操作系统)。结合TPM和识别技术能够有效保护系统安全性,只有通过验证的人才能进行系统操作。
此外,还可以考虑Napera公司的设备或者eEye数字安全公司的Blink软件,这些都是具有代表性的低成本端点安全产品,可以替代那些只能在windows环境使用的产品。
Napera看起来像是网络交换机,能够与代理软件和固件结合使用。你可以启用不同端口的保护功能,确保连接到这些端口的每台电脑更新了最新的防病毒签名和系统补丁,在连接到网络前检查并清除恶意病毒。该产品24端口设备的价格是3500美元,这对很多小公司而言还是很具吸引力的,可以将这种产品部署在公共区域(如会议室和接待室等),因为在公共区域有很多未知电脑接入网络。
Blink软件每年只需30美元获得一个席位,它能够提供很多保护功能,包括个人防火墙保护、防病毒保护和主机入侵保护模块等。
3. 免费获取VPN
如果你还没有部署VPN,那么现在是时候了。由于公司员工变得越来越具流动性,因此在wifi热点或者酒店员工笔记本内的敏感数据很容易被窃取。并且,当你想要安全地在互联网扩展网络共享或者在公司外部访问系统文件时,VPN也能够派上用场。
当然,你可以花费数万美元来部署VPN技术,但是如果你只需要一些基本的简单保护,也可以选择那些价格低廉甚至免费的VPN软件,只要你用用宽带连接。OpenVPN.org网站上就提供免费的开源VPN产品,LogMeln公司的Hamachi则是个人用户可以选择的另一款免费软件,并且安装过程很简单,同时FileShareFreak上也提供一些其他类似产品。
技巧就是让在公司内部普及使用这些VPN产品,并为首次使用VPN的用户提供支持资源,免费的VPN产品同样可以作为更高级VPN的“试金石”,以决定日后是否需要购买更专业的VPN。
4. 避免不必要的Cisco费用
在新的一年里,是时候回过头去仔细看看思科公司提供的产品支持费用,这些费用主要用以保持当前IOS版本和维护响应时间。你应该考虑是否应该购买替代设备以作为备用或者寻找另外的供应商,不会因固件和路由器操作系统软件升级而另外收取费用(Adtran就是这样一种软件)。这样做能够在短期内见到成效,为公司节省很多开支。
5.部署简单加密
一直以来,加密技术都被认为是“不错的,但价格昂贵且很难实现的技术”。不过,近年来,出现了很多免费或者廉价的电子邮件和磁盘加密工具,因此今年企业们应该开始真正实行对可移动磁盘和电子邮件的加密。
这里提供两个很好的选择:免费的开源软件True Crypt和Voltage Security的低成本但易于部署的Voltage Security Networ服务。
TrueCrypt的磁盘加密客户端可以对Mac、Linux以及Windows系统进行加密,虽然该加密软件缺乏企业级管理工具,不过对于小型企业、管理人员和工作组而言,是不错的选择。Voltage提供的电子邮件加密不需要安装任何客户端,可以与Outlook和Webmail结合使用,价格为每年每座65美元,Voltage能够处理所有管理细节,并且托管服务能够轻松快速地执行。
另外就是PGP公司的加密产品,价格为每座100美元以下,取决于用户选择的功能。所有这些产品都是加密密钥管理变得非常简单:部署企业级加密的缺点就是,很难处理员工离开时的过期密钥或者员工忘记密钥时恢复密钥的问题。
同样可以分别为windows系统和Mac系统选择Bitlocker和FileVault,这两种产品能够提供额外的保护,而不需要花费额外的费用。但是它们很难在整个企业进行部署,毕竟一分钱一分货。
6.了解IDS
你可能会认为简单部署一个入侵检查系统就足够了,不过现在是时候仔细了解一下你的IDS,并根据公司特定环境调整IDS,这意味着需要调整IDS的配置,了解其报告和登录行为,并做一些初步分析。
当然,这样做并不能带来明显效果,但是如今存在这么多安全风险,我们有必要花费更多时间进行IDS分析以了解入侵检测情况。如果你使用Snort作为主要IDS,请访问Richard Bejtlich的podcast以及snort.org的论坛以获取更多相关知识。
另一个选择就是对公司的一两个员工进行培训,以了解系统特征和加强系统安全的方法。虽然培训费用在经济危机时期是第一个不予考虑的开支,不过这也是一种提供快速投资回报率的方法,少量资金指出可以为系统提供额外的安全防护。
7. 真正禁止前雇员访问系统
我们这里讨论的是裁员浪潮里所有被裁员的雇员,而不只是IT部门。从公司角度而言,目前最大的威胁来自那些曾经属于公司内部职员而现在失业的员工。研究表明,前雇员可能成为公司的安全噩梦,从未改变任何关键服务器的密码?多台机器使用的是相同的主机密码?那么,现在最好改变这些不好的方式。
同时也应该对前雇员带来的其他风险进行评估,公司访问政策是最新的么?已经禁用了前雇员的所有安全密钥、密码和访问代码么?前雇员是否仍然能够使用远程网关?现在是时候检查访问日志以确保离开的雇员的访问目录项已经删除。
8.摆脱SQL注入攻击的困扰
SQL注入基本上是指通过未受保护的后门进入系统数据库,黑客可以在没有任何编程知识和小技巧的情况下创造和执行后门程序,这也是SQL让人头痛的原因。
真正消除SQL注入攻击需要几个不同部门的合作,共同努力以确保没有漏掉任何安全漏洞。另外的原因就是,漏洞网站很容易被黑客找到,黑客只需要在Google输入几个关键字就能找出网站问题,甚至不需要对你的网络进行调查。
现在,让我们试图解决这个问题,认真检查所有应用程序以确保你的网站再也不会出现在黑客列表上。首先,进行一次审计,聘请专业咨询公司或者学习如何修复数据库/web服务器编程。访问OWASP.org获取更多关于正确设置数据库访问以及如何检查漏洞的信息。
另外,你也可以下载Acunetix的免费的Web Vulnerability Scanner和各种免费使用HP评估工具,如Weblnspect等,链接如下:https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-200%5E14344_4000_100__
也可以尝试modsecurity.org 的开源Web App Firewall软件。
当然,这些免费的扫描仪如果没有发现任何漏洞或者问题,并不意味着你的系统就是百分百安全的,不过至少你可以开始了解如何使用这些工具和了解系统的漏洞问题。技巧就是对系统进行定期扫描,以确保没有黑客能够建立任何后面程序。
9. 防止数据泄漏
一起数据泄漏诉讼就可能毁掉整个公司的声誉,由于越来越多的数据开始遍布在互联网,我们有必要看看那些可以防止数据泄漏或者积极防御数据泄漏的低成本工具。Code Green Networks以及eTelemetry Metron SE就是两个代表性的产品,它们很容易进行部署,并且价格也很低廉,同时还能够扩大相关功能。
当然,这些可能又是你的预算中没有考虑过的部分,如果你尝试过其他成本更低的方法,会发现这里推荐的方法更值得你投资。
10. 让公司内员工找寻更好的创新解决方案
你可能会想为什么自己没有想到这个简单的方案,建立一个奖惩制度,让内部人员根据自己系统的弱点提供更好的解决方案,这样不仅不需要雇佣公司外的安全顾问还能提高公司人员士气。