在第二层中建立了托管网络之后,已经做了很多工作来保护您的端点免受攻击。但是,某些企业将需要评估到目前为止所获得的保护是否足以保护具有关键价值,高度敏感或受到严格监管的商业数据。在此风险评估的第三层中,我转向需要量身定制的保护的特定业务用例。
用例1:防范勒索软件
某些类型的中小型企业,例如政府和军事承包商,医疗诊所和诊所,私人调查企业,律师事务所等,通常都拥有绝不应该受到损害的关键数据。如此高价值的数据为勒索软件帮派提供了诱人的机会,他们希望通过投入的时间和精力获得高收益。
一种有效的增加企业支付压力的方法是通过诸如doxing和“拍卖屋”之类的策略,这些策略要求犯罪分子在加密数据之前先窃取数据。拒绝支付解密密钥赎金的企业将受到威胁,将出售其数据。这正是Grubman Shire Meiselas&Sacks律师事务所所发生的事情,据报道,Sodinokibi(又名REvil)勒索软件运营商窃取了756 GB的数据,并威胁要拍卖这些数据,首先是从名人如Nicki Minaj,Mariah Carey和勒布朗·詹姆斯。
对信誉损失的容忍度较低或拥有高度机密数据的企业将受益于针对勒索软件的防弹解决方案,例如ESET动态威胁防御。ESET动态威胁防御功能强大,是基于云的沙箱,它使用高性能的云实例来运行机器学习引擎,该引擎可以分析从您的环境提交的样本以进行勒索软件。
用例2:防止数据被窥探
未加密的数据是任何入侵者都可以轻松访问的数据。这尤其适用于电子邮件通信和数据的物理访问。如果不进行加密,黑客和小偷会在电子邮件,硬盘驱动器或USB设备上笨拙地掌握自己的内容。
因此,请勿在未先加密的情况下通过电子邮件发送您的专利作品,蓝图,研究和其他敏感信息。如果允许员工使用便携式存储设备传输公司数据,请确保始终对这些设备进行加密。您不想成为下一个新闻故事,这是关于如何在停车场中发现带有患者医疗数据的未加密存储设备的。
使用ESET Endpoint Encryption之类的解决方案,它提供电子邮件和文件加密的各种选项和功能,不仅可以建立对公司数据处理实践的信任,还可以防止因违反通用数据保护条例(GDPR),健康保险可移植性和责任法案而导致的数据泄露和罚款。 (HIPAA)和其他数据隐私法规。
为了保护存储在工作台式机和笔记本电脑硬盘上的公司数据,员工应确保在工作时间结束时将其关闭。诸如ESET全盘加密之类的解决方案通过加密将关闭的计算机上的任何数据都变得不可读。为了解密和读取数据,要求员工在操作系统启动之前输入密码。
由于被盗和被篡改的机器上的数据在不知道密码的情况下仍然无法读取,因此这可以极大地限制数据泄露对家庭或办公室闯入和盗窃的影响。根据GDPR 第34条,加密数据后,无需将个人数据泄露通知受影响的数据主体。
用例3:保护IT管理员和企业所有者的帐户
社会工程攻击的最理想目标是公司中的管理员帐户。管理员具有特殊的管理工具和特权访问级别,使他们能够快速,轻松地执行管理任务。
在常见的社会工程攻击中,管理员将收到带有链接的钓鱼电子邮件,该链接会打开一个伪造的登录页面。如果管理员输入其凭据并尝试“身份验证”,则该页面通常会以一条错误消息进行响应,同时还将受害者的凭据发送给网络钓鱼操作人员。
有了管理员凭证,操作员现在可以以管理员身份进行身份验证,并可以使用公司的管理员工具造成更大的损失。实际上,这似乎是最近收购的解释之一众多知名的Twitter帐户,包括Joe Biden,Elon Musk,Bill Gates和Jeff Bezos的帐户。
但是,如果公司要求管理员使用ESET Secure Authentication等多因素身份验证(MFA)解决方案来双重保护登录名,则仅窃取密码已不足以使网络钓鱼攻击成功。黑客要么不得不绕过MFA机制,要么以某种方式窃取身份验证代码。
换句话说,MFA加大了对黑客的投入。企业应强烈考虑为其IT管理员以及企业所有者的帐户(通常具有管理员特权)优先考虑身份验证保护。
结论
在IT可用预算的范围内平衡特定风险并非易事。有时,考虑数据泄露或攻击将给您的业务造成多大的损失,可以帮助您决定需要做什么。尤其是对于小型企业,一次攻击可能会造成足够的破坏,从而导致企业倒闭。但是,确定您可以处理的风险等级,然后进行适当的投资以使IT安全得到同等水平,可以帮助您了解攻击到来时的准备情况。