科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网CIO与应用频道人物企业面临的六大安全问题及解决方案

企业面临的六大安全问题及解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

安全漏洞在过去的2014年可是大新闻,尽管多年来安全专家一再告诫,企业(或个人)需要对保护敏感数据做的更好,许多企业仍然没有准备好应对安全威胁。本文中IT安全专家讨论安全漏洞的主要原因,并建议企业如何规避风险。

作者:Jennifer Lonoff Schiff 来源:ZDNet CIO与应用频道 2015年4月15日

关键字: 加密 安全 BYOD 移动安全 风险管理 数据外泄

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

风险四:云计算应用

解决方案:“最好的防御对基于云的威胁是在数据层面使用强大的加密,如AES 256位,被专家称为加密金标准,防止任何第三方访问数据,即使它驻留在公共云, CipherCloud的创始人兼首席执行官Pravin Kothari说.“由于很多2014年的违规行为表明,没有足够多的公司正在使用的数据级云加密来保护敏感信息。

风险五:未安装修补程序或Unpatchable设备

“这些是网络设备,诸如路由器,服务器以及采用软件或固件在它们的操作,但还没有创建或发送任一个补丁在其中的一个漏洞,或者它们的硬件不被设计,使它们能够及时发现漏洞进行更新, CyActive的联合创始人兼首席技术官Shlomi Boutnaru说。

“在2015年7月14日,微软将不再提供对Windows Server 2003的支持 -这意味着企业将不再接收补丁或安全更新这个软件,互联网安全中心 的程序高级副总裁notes Laura Iwan说。

拥有超过1000万物理单位仍在使用Windows 2003服务器,还有数百万人在使用虚拟机,根据Forrester,“希望这些过时的服务器成为所在网络的主要目标。”他说。

解决方案:学会补丁管理程序,以确保设备和软件,保持最新的时刻。

“第一步是部署漏洞管理技术,看看您的网络上,什么不是最新的,” Force 3的安全专家Greg Kushto说, “真正的关键,是有到位的政策,如果某台设备不更新或修补不及时,一定时间内它被脱机“。

要避免再次Windows Server 2003中可能出现的问题,“识别所有的Windows Server 2003清单中的所有软件和每台服务器的功能; 优先考虑基于风险和每个系统;映射出的迁移策略,然后执行它,“ Iwan 建议。如果无法执行的所有步骤,雇人来解决。

风险六:第三方服务提供商

“随着技术的日益专业化和复杂,公司正在更多地依靠外包商和供应商,支持和维护系统,Bomgar CEO notes Matt Dircks指出: “比如,餐厅的加盟商往往以第三方服务提供商外包他们的销售点终端(POS)系统的维护和管理。”

但是,“这些第三方通常使用远程访问工具连接到公司的网络,但并不总是遵循安全性的最佳实践,”他说。“举个例子,他们会使用相同的默认密码,远程连接到所有的客户。如果黑客猜测密码,他马上就通过这点连接这些客户的网络。“

事实上,“过去一年中think Home Depot,、Targe等等是由于承包商的登录凭证被盗,”ObserveIT的产品营销经理Matt Zanderigo,, “据最近的一些报道,大多数数据泄露( 76%) -都归因于供应商的远程访问通道的开发,”他说。“即使合同没有恶意企图可能会损坏您的系统或受到攻击。”

“这种威胁是成倍成倍的,由于缺乏允许审查的第三方访问他们的网络之前由公司完成的, Dynamic Solutions International.的网络安全专家Adam Roth补充说:“一个潜在的数据泄露通常不直接攻击最有价值的服务器,但更多的是像飞跃青蛙的游戏,从低层次的计算机然后旋转到其他设备并获得特权去,是不太安全的”他解释说。

“公司做了相当不错的工作,确保关键服务器避免恶意软件从互联网上被攻击,”他继续说。“但大多数公司都相当可怕的,在保持这些系统与其他系统更容易妥协分割。”

解决方案: “公司需要验证任何第三方远程访问安全,如强制多因素身份验证,需要唯一的凭据为每个用户设置最小权限和捕捉所有远程访问活动的全面审计线索,Dircks说。

尤其是,“第三方账户登录尝试监控失败,有一个红色的标志提醒有攻击。”

规避风险的一般指导

“大多数企业现在认识到风险不是一个问题,” RSA技术解决方案总监Rob Sadowski, 表示,为了最大限度地减少安全漏洞和泄漏的影响进行风险评估,以找出重要数据的位置,并用程序控制来保护它。

那么,“打造出一个全面灾难恢复的业务连续性计划,将涉及来自IT,法律,公关,行政管理等,并对其进行测试。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章