毫无疑问,高层管理人员已经成为恶意攻击者及其他不良行为者最青睐的目标之一。究其原因,主要是因为他们更可能持有有价值信息,或者对此类数据拥有较高的访问权限。
正因为如此,各类组织机构必须确保高层管理人员乃至其他领导者遵守最为严格的数据保护标准,且尽可能地使用适当的安全技术——特别是在身处高风险环境的情况之下。
商业与技术咨询厂商West Monroe Partners公司首席网络安全架构师Wayne Lee解释称,“高层管理人员因为自身在组织机构当中的高访问权限与影响力而受到恶意攻击者的关注,其中具备权限查看敏感账务数据或个人身份信息的管理者尤其需要引起警惕。”
信息安全论坛(一家致力于调查并解决信息安全与风险管理等关键性问题的独立机构)执行董事Steve Durbin指出,任何有能力获取有潜在价值信息的个人都面临着遭受网络攻击的风险。
Durbin表示,“当然,企业中的高层人员自然被涵盖于其中,但相关对象不再仅限于董事会之内。个人助理、系统管理员以及其他几乎任何有能力给网络犯罪分子提供有价值信息的人士如今都身处巨大的风险当中。”
您所在的组织机构可采取以下几种操作步骤,旨在保证高层管理人员及其直接联系人不致成为重大安全违规事件中的致命切入点。
向高层管理人员明确强调,他们将成为攻击目标
忙碌的高层管理人员当然不希望为遭受网络攻击侵扰而分神,但我们必须就这一问题向其作出强调与澄清。
马利斯特学院IT副总裁兼CIO Bill Thirsk指出,“高层管理人员需要意识到其成为攻击目标的可能性。网络攻击者会投入时间来观察、规划、实践、磨练并强化自己的攻击能力。他们拥有极强的隐匿性、大量时间、欺诈性以及专门用于实施各类攻击的多种平台——这一切都将借助正常的人类行为、好奇心以及对沟通的渴望化为致命的武器。”
Thirsk表示,高层管理人员的“数字化足迹”需要得到严重控制,并立足实践层面修复其中的薄弱环节。他同时强调称,高层管理人员的社交帐户必须接受注册、确认与监控。
然而,让高层管理人员接受保护也是一大挑战。SoCal Privacy Consultants公司副总裁兼首席安全顾问Paul Boulanger解释称,“我所看到的每一项统计结果都反复证明,高层管理人员最不可能遵守他们希望员工们遵守的管理政策。究其原因,往往正是他们更倾向于为了方便而牺牲他人安全。”
企业需要确保将技术控制方案部署到位,而非期望高层管理人员能够自觉地采取安全的执行方式。Boulanger表示:“举例来说,邮件服务器应强调要求仅启用加密以及密码锁定机制的智能手机方可访问商务电子邮件。如果高层管理人员或者任何其他用户禁用了密码锁定机制,则所访问的电子邮件将被自动删除。”
在某些情况下,这些限制可能并不适用于高层管理人员。Thirsk指出,“我们曾发现对于某些受到高等教育的管理人员来说,任何形式的保护举措——包括设置数字化边界——都完全行不通。”由于需要同各种各样的人交往并保持接触与关注,因此“这种限制对于行政部门而言完全无法接受”。
这意味着在安全对抗中占得先机的惟一方式,就只有通过明智且主要依靠自主设定的行为修正来保证其在线安全。更具体地讲,行政管理人员不能单靠他人为其提供保护。Thirsk表示:“他们必须有能力轻松发现伪造的电子邮件地址、恶意链接或者其它‘伪造’信息。”
认真对待威胁——就攻击活动开展管理者培训
网络钓鱼攻击——以及近期多发的勒索软件攻击——已经成为黑客分子从高层管理人员手中窃取关键信息的常见方式。Thirsk表示,“考虑到近期威胁活动对高层管理人员及其企业所造成的破坏性影响,钓鱼攻击与勒索软件所得到的强调与关注实际漫画家远远不够。更具体地讲,这些议题应该在企业董事会当中得到认真讨论。”
Thirsk同时指出,高层管理人员希望了解最新消息的心态完全可以理解,但也正是这种需求促使其不慎点开了某些看似重要或者可能包含有趣信息的链接。
与此同时,高层管理人员还要求利用一台设备接入其所有信息渠道——包括业务与个人两大用途。Thirsk认为,“将不同的安全要求混合在同一台设备上势必引发灾难,问题早晚都会出现。”
IT与安全领导者需要说服高层管理人员意识到这类攻击的严重程度,并在事件发生之前采取措施。Thirsk提醒称,“只有当高层管理人员相信个人与业务网络保护机制必须配合认真且有针对性的习惯转变才能起效时,这种保护能力才会真正变为现实。”
网络钓鱼活动会针对高层管理人员采取各种极具欺骗性的形式。
Lee表示“目前‘捕鲸攻击’的复杂性有所增加,其目标在于收集身份信息或要求员工从公司帐户中转出款项。”所谓捕鲸攻击,是指那些专门针对高层管理人员、名人以及公众人物的网络钓鱼攻击。
Lee进一步补充称,“从历史角度来看,这些攻击活动的成功率很高。不少高层管理人员都因听信了旅行奖励的诱骗而中招,并因此根据引导在计算机上执行某些高权限操作。在这类情况下,其往往最终都沦为网络攻击活动的受害者。在某些极端案例中,此类攻击甚至会导致企业层面的数据泄露。”
Lee强调道,最重要的是要牢记黑客们会利用领英、Instagram、Facebook乃至其它社交媒体网站上的公共信息来勾勒攻击目标的概况。他表示,这类概况信息将可用于建立定制化钓鱼攻击或对目标进行挟持。
将电子邮件的安全使用视为优先事务
请记住,电子邮件一直是高层管理人员们面临的最为常见的一类攻击来源。事件服务供应商Hargrove公司信息系统与技术主管Barr Snyderwine表示,“我们经常会遇到涉及高层管理人员乃至会计部门的电子邮件攻击事件,且此类事件在发生频率与复杂性方面一直在不断升级。”
Snyderwine解释道,“这是一种典型的欺骗性攻击,旨在利用看似合法的网站或银行界面误导受害者。最近,攻击者们开始使用AP(即应付帐单)提醒来电作为手段,并向高层管理人员发送付款邮件。由于接听电话相当费时,因此管理者们为了方便而经常会直接查看邮件并不假思索地进行交付。更有趣的是,欺诈分子甚至会伪造由某些高管确认的付款邮件,用以蒙蔽其他管理人员。”
作为一项最佳实践,我们应利用端点保护机制去除恶意软件附件。Snyderwine提醒称,“我们需要经常执行更新,而且修复工作也很关键。一切补丁修复都应自动完成。”
此外,还应制定政策以确保收件方必须与发件人进行面对面或者电话验证,同时从另一位主管处得到确认。Snyderwine表示,“培训工作非常成功,现在我们的高层管理人员已经能够成功识别出欺诈邮件。”
再有,企业还应每年定期对高层管理人员及普通员工进行安全能力测试,以确保其遵守与电子邮件相关的管理政策。
差旅途中的高管保护思路
高层管理人员随时随地有可能受到网络攻击的侵害,但这种可能性在其差旅途中无疑将表现得更为显著。
Lee表示,企业应当为需要在差旅途中携带的电子设备及存储介质制定检查/登记程序与安全指南,“其中包括在返回时对这些电子资源进行检查与清理。”
Boulanger指出,“在需要前往某些高风险地区时,我们必须考虑到高层管理人员的设备在过境时会接受内容复制的可能性。因此,高管们应该选择‘烧录’型笔记本电脑,且其中仅存放演示文稿等必要的离线资源。”
Boulanger同时指出,一切需要进行远程访问的数据都应通过安全通道传输(例如使用安全的远程桌面或虚拟专用网络,简称VPN),或者存储在无法禁用加密功能的硬件加密型U盘上。
Boulanger强调称,“在返回时,高层管理人员的笔记本电脑及其它数据存储设备应被默认视为已安装有恶意软件,因此需要在重新使用或接入企业网络之前接受清理。”
Hargrove对此提出了一项标准性政策,即永远不使用公开Wi-Fi——但这一点在差旅途中很难得到保证。Snyderwine表示:“我们提供两个Mi-Fi蜂窝单元,并鼓励员工以付费方式利用自己的手机作为流量热点。这种作法相当有效。”
Wi-Fi网络确实存在巨大风险,这一点在宾馆、饭店、机场乃至会议设施等位置都有所体现。恶意攻击者完全可以设置一个简单的伪造Wi-Fi热点,从而轻松访问高层管理人员的笔记本电脑或移动设备。
增强IT基础设施安全性
很明显,建立强大的安全保护计划将有效缓解甚至彻底避免网络攻击对个人造成的损害,其自然也能够预防针对高层管理人员的数据窃取行为。
Durbin表示,“我们建议从宏观层面着手,即审视企业之内需要保护的各类关键信息资产。在此前提之下,企业自然需要对可能受到某些攻击威胁(例如鱼叉式钓鱼攻击)的无经验用户进行评估。这类政策还能够发现存在安全漏洞的未修复系统,利用扫描工具发现安全性较为低下的系统,攻击者能够访问的低保护度无线网络路由器以及易被窃取或复制的信息处理系统。”
Durbin强调称,“无论立足哪个领域,大家都应考虑到以下三大主要威胁:对抗、意外与环境威胁。以此为基础,企业必须确保所采取的信息与用户管理方法能够高度契合适用于相关信息资产及用户实际情况的安全控制方案。”
举例来说,如果企业需要将大量业务交由身处外部环境的差旅员工进行处理,那么全面防止其使用公共Wi-Fi的举措将毫无意义。
培训工作同样至关重要
与普通员工一样,高层管理人员同样应当获得提醒以了解安全问题的重要性。Durbin指出,“如果高层管理人员需要访问敏感信息,那么除了加密与虚拟网络解决方案之外,教育与培训工作也同样非常重要。但请注意,一定要把这些工作同个人采取安全的信息使用与共享方法所带来的商业利益联系起来。”
咨询企业AsTech Consulting公司首席安全策略师Nathan Wenzler表示,高层管理人员必须定期参与安全意识培训,定期更新并修复其使用的工作站、笔记本电脑以及移动设备,同时坚持使用VPN及其它安全通信技术。
Wenzler解释称,“安全团队应增加员工标准安全意识培训的数量,并为高层管理人员提供额外的指导方针与细节信息,强调高管人群所面临的更为严格的安全风险与信息泄露威胁,特别是考虑到后者的职位信息往往更为公开。另外,应鼓励人们更好地意识到高层管理人员为何以及将如何成为攻击目标,这将有效提升抢先一步阻断并挫败社交工程攻击活动的可能性。”
这种限制可能产生一定程度的短期负面影响,但如果确保高层管理人员高度重视并明确其需要接受的业务与个人限制,那么限制举措终将失败。因为出于习惯,用户总会想办法找到更符合其个人思维的工作执行方式——无论其是否安全。
Durbin总结称,“要实现切实有效的安全保障,如今我们比以往任何时候都更需要理解信息如何流通于生命周期内的所有阶段,以及在各个位置如何接受访问与使用。而最重要的是,我们还需要深入理解其中最为复杂的接口——用户。”
声明:本文来自士冗科技,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。