用戶規避安全措施的5種方式 如何正确防範?

發布日期:2017-12-25首頁 > 安全資(zī)訊

如果組織在工(gōng)作安全方面限制過多的話(huà),工(gōng)作人員(yuán)通常選擇便利性而不是安全性。但是組織可以采取一(yī)些步驟将安全平衡扭轉回來。

作爲一(yī)名網絡安全專家,Oxford Solutions 公司總經理Richard White對于鎖定敏感數據以免被人誤用表示支持。另一(yī)方面,他表示,有些公司在安全方面也有過度限制的情況。


705-1G22016402G61.jpg
 

企業在安全方面如果過度限制,那麽容易将其工(gōng)作人員(yuán)拒之門外(wài),這可能會弄巧成拙,很難讓工(gōng)作人員(yuán)有效的工(gōng)作。因此他們需要找到更好的解決方法。這是一(yī)個降低生(shēng)産力的場景,具有諷刺意味的是,數據本身處于危險之中(zhōng)。

White表示,他在辦公室中(zhōng)就看到這樣的一(yī)件事:一(yī)名工(gōng)作人員(yuán)在其電(diàn)腦屏幕上拍攝了一(yī)張受保護信息的照片,這樣他就可以利用這張圖片完成一(yī)項工(gōng)作。“如果安全措施過于複雜(zá),工(gōng)作人員(yuán)要做的第一(yī)件事是尋找解決方法,而這樣組織所設置的安全措施将完全失敗。網絡安全專家需要根據實際的安全風險真正了解自己的政策、程序、技術,這是非常必要的。”White說:“這必須是理性的安全措施和用戶想要完成工(gōng)作的合理組合。”

White和其他專家表示,網絡安全團隊不需要改變他們的操作來實現安全措施和可用性的更好平衡。相反,他們可以首先解決常見的幾個領域問題,即工(gōng)作人員(yuán)通常會犧牲安全懷來提高生(shēng)産率。

  (1)複雜(zá)的密碼要求

制定密碼是安全的關鍵措施,但安全專家表示,組織已經制定了如此複雜(zá)的密碼策略,以至于工(gōng)作人員(yuán)試圖擺脫這種過度保護的權力,這種行爲反而變成了漏洞。這些安全策略和措施通常要求工(gōng)作人員(yuán)使用過長的密碼,而且需要的特性太多(例如,大(dà)寫和小(xiǎo)寫字母,數字和符号,以及最少數量的字符)。這些安全策略也經常要求工(gōng)作人員(yuán)至少每隔幾個月更換一(yī)次密碼。

其結果是,有些工(gōng)作人員(yuán)将密碼記錄下(xià)來,或者甚至更糟的是,将密碼存儲在計算機文件中(zhōng)。White說,他曾與一(yī)家遭受黑客攻擊的公司合作,在審查中(zhōng)發現一(yī)名行政級别的工(gōng)作人員(yuán)将其密碼存儲在一(yī)個電(diàn)子文件中(zhōng)。雖然目前還不清楚這個存儲的密碼在發生(shēng)的這次攻擊事件中(zhōng)扮演了什麽角色,但White表示這的确是一(yī)個嚴重的問題。

當然,White和其他安全專家說,密碼仍然十分(fēn)重要。他們建議組織更聰明地使用密碼政策,并将複雜(zá)的要求限制在更合理的水平。

(2)共享密碼

總部在德克薩斯州奧斯汀的安全咨詢商(shāng)Spohn公司的高級安全顧問Tim Crosby在一(yī)個相關的說明中(zhōng)表示,一(yī)些工(gōng)作人員(yuán)與同事分(fēn)享他們的密碼。盡管從安全的角度來看這不是一(yī)個聰明的做法,但工(gōng)作人員(yuán)這樣做是因爲他們需要與同事共享文件訪問權限。他說,這種情況發生(shēng)在組織内部的各個層面,從與助手共享密碼的管理人員(yuán)到一(yī)起工(gōng)作級别較低的工(gōng)作人員(yuán)。

爲了抵制這種行爲,他說,網絡安全團隊應該與業務人員(yuán)開(kāi)展合作,以便更準确地識别哪些用戶需要訪問哪些文件,然後創建如何允許共享訪問的安全策略。

  (3)登錄過載

組織不僅在對密碼要求的複雜(zá)性方面具有問題,而且他們希望員(yuán)工(gōng)在登錄簽名的次數也有問題。許多工(gōng)作人員(yuán)在一(yī)天的工(gōng)作中(zhōng)需要進行多次登錄并通過認證,OneLogin公司是一(yī)家基于雲計算身份和訪問管理提供商(shāng),該公司首席信息安全官Alvaro Hoyos表示,許多工(gōng)作人員(yuán)在整個工(gōng)作日都具有多次登錄和身份驗證要求,以緻于他們的工(gōng)作效率下(xià)降。

他和其他專家表示,這樣的舉動迫使工(gōng)作人員(yuán)設法規避登錄要求,例如,将他們需要的數據從安全的應用程序中(zhōng)轉移出來,并将其放(fàng)在一(yī)個易于訪問的地方,而不必擔心如果離(lí)開(kāi)辦公桌幾分(fēn)鍾則必須重新登錄的問題。調研機構Forrester Research公司首席分(fēn)析師,暨ISACA(一(yī)家專注于IT治理的國際專業協會)的董事會主席Rob Stroud說,安全團隊可以采取多種方案來解決這種情況。

這些解決方案包括使用身份管理和單點登錄解決方案、令牌、更高級的用戶和實體(tǐ)行爲分(fēn)析(UEBA)功能,區分(fēn)正常和異常的工(gōng)作模式,指示需要關閉的潛在威脅,以及快速生(shēng)物(wù)測定,并且需要方便的訪問。Hoyos說:“組織必須在安全性和便利性之間找到适當的平衡。”安全專家應該針對“無摩擦的安全性”進行研究。

  (4)數據被劫持

保護敏感數據的需求已經成爲大(dà)多數組織的首要任務,但是網絡安全專家認爲,許多組織創造了如此多的不必要的保護層,以至于他們降低生(shēng)産率,并促使工(gōng)作人員(yuán)實施了不安全的行爲。這種工(gōng)作人員(yuán)不遵守安全規定的證據越來越多。White說,像工(gōng)作人員(yuán)拍攝他所需要的信息的例子屢見不鮮。其他安全專家則表示,曾經目睹工(gōng)作人員(yuán)在不安全的情況複制文件、傳輸文件,以及使用未經批準的文件共享應用程序。

Crosby說:“許多管理者并不知(zhī)道獲取數據是多麽的容易。”他補充說,這樣的解決方案相當于在組織的保護層打穿了一(yī)個漏洞,從而增加了風險。“這不是企業面臨的一(yī)個新困境,它是安全範式的一(yī)部分(fēn)。每當組織推出更安全的舉措時,這爲工(gōng)作人員(yuán)帶來不便,他們會想辦法解決問題,特别是如果他們不明白(bái)原因的話(huà)。”

White說,組織應該認識到,如果他們以相同的敏感度來對待所有的數據,就會給自己己帶來難題。他表示,安全團隊需要花更多的時間在數據分(fēn)類上工(gōng)作,以保護真正敏感的信息,同時消除大(dà)多數工(gōng)作人員(yuán)采用工(gōng)作的低敏感信息的障礙。White說:“這是一(yī)項艱苦的工(gōng)作,但隻有一(yī)次才能完成。”

  (5)繁瑣的工(gōng)作流程

工(gōng)作流程是企業業務的安全性和生(shēng)産力相互沖突的另一(yī)方面。印刷管理解決方案商(shāng)Y Soft公司的掃描部門高級副總裁Wouter Koelewijn說,他看到工(gōng)作人員(yuán)在正常的工(gōng)作中(zhōng)共享、掃描、發送電(diàn)子郵件,以及打印文件。他們或者沒有意識到潛在的安全風險,或者隻是爲了必須完成工(gōng)作而不顧安全措施。

Koelewijn表示,在以往,企業爲了讓工(gōng)作人員(yuán)更加安全地工(gōng)作,錯誤地設計了不容易适應現有日常工(gōng)作流模式的系統。他說:“但我(wǒ)們從用戶那裏看到的行爲是,如果詢問他們太多的安全問題,或者對文件進行分(fēn)類,他們想要達到的目标就失去(qù)了平衡,所以他們會找到自己的解決方案。”

他表示,企業需要投資(zī)技術和系統設計,使工(gōng)作人員(yuán)能夠輕松遵守規則,更重要的是盡可能實現自動化。例如,系統應該被設計成安全地掃描被識别爲敏感的文件,而不會使工(gōng)作人員(yuán)忽略。

Stroud補充說:“我(wǒ)們必須考慮安全性并不突出的工(gōng)作流程,組織需要根據風險适當地加入安全措施,因此并沒有一(yī)個适合所有人的解決方案。”