用户规避安全措施的5种方式 如何正确防范?

【IT168 评论】如果组织在工作安全方面限制过多的话,工作人员通常选择便利性而不是安全性。但是组织可以采取一些步骤将安全平衡扭转回来。

作为一名网络安全专家,Oxford Solutions 公司总经理Richard White对于锁定敏感数据以免被人误用表示支持。另一方面,他表示,有些公司在安全方面也有过度限制的情况。

企业在安全方面如果过度限制,那么容易将其工作人员拒之门外,这可能会弄巧成拙,很难让工作人员有效的工作。因此他们需要找到更好的解决方法。这是一个降低生产力的场景,具有讽刺意味的是,数据本身处于危险之中。

White表示,他在办公室中就看到这样的一件事:一名工作人员在其电脑屏幕上拍摄了一张受保护信息的照片,这样他就可以利用这张图片完成一项工作。“如果安全措施过于复杂,工作人员要做的第一件事是寻找解决方法,而这样组织所设置的安全措施将完全失败。网络安全专家需要根据实际的安全风险真正了解自己的政策、程序、技术,这是非常必要的。”White说:“这必须是理性的安全措施和用户想要完成工作的合理组合。”

White和其他专家表示,网络安全团队不需要改变他们的操作来实现安全措施和可用性的更好平衡。相反,他们可以首先解决常见的几个领域问题,即工作人员通常会牺牲安全怀来提高生产率。

(1)复杂的密码要求

制定密码是安全的关键措施,但安全专家表示,组织已经制定了如此复杂的密码策略,以至于工作人员试图摆脱这种过度保护的权力,这种行为反而变成了漏洞。这些安全策略和措施通常要求工作人员使用过长的密码,而且需要的特性太多(例如,大写和小写字母,数字和符号,以及最少数量的字符)。这些安全策略也经常要求工作人员至少每隔几个月更换一次密码。

其结果是,有些工作人员将密码记录下来,或者甚至更糟的是,将密码存储在计算机文件中。White说,他曾与一家遭受黑客攻击的公司合作,在审查中发现一名行政级别的工作人员将其密码存储在一个电子文件中。虽然目前还不清楚这个存储的密码在发生的这次攻击事件中扮演了什么角色,但White表示这的确是一个严重的问题。

当然,White和其他安全专家说,密码仍然十分重要。他们建议组织更聪明地使用密码政策,并将复杂的要求限制在更合理的水平。

(2)共享密码

总部在德克萨斯州奥斯汀的安全咨询商Spohn公司的高级安全顾问Tim Crosby在一个相关的说明中表示,一些工作人员与同事分享他们的密码。尽管从安全的角度来看这不是一个聪明的做法,但工作人员这样做是因为他们需要与同事共享文件访问权限。他说,这种情况发生在组织内部的各个层面,从与助手共享密码的管理人员到一起工作级别较低的工作人员。

为了抵制这种行为,他说,网络安全团队应该与业务人员开展合作,以便更准确地识别哪些用户需要访问哪些文件,然后创建如何允许共享访问的安全策略。

(3)登录过载

组织不仅在对密码要求的复杂性方面具有问题,而且他们希望员工在登录签名的次数也有问题。许多工作人员在一天的工作中需要进行多次登录并通过认证,OneLogin公司是一家基于云计算身份和访问管理提供商,该公司首席信息安全官Alvaro Hoyos表示,许多工作人员在整个工作日都具有多次登录和身份验证要求,以致于他们的工作效率下降。

他和其他专家表示,这样的举动迫使工作人员设法规避登录要求,例如,将他们需要的数据从安全的应用程序中转移出来,并将其放在一个易于访问的地方,而不必担心如果离开办公桌几分钟则必须重新登录的问题。调研机构Forrester Research公司首席分析师,暨ISACA(一家专注于IT治理的国际专业协会)的董事会主席Rob Stroud说,安全团队可以采取多种方案来解决这种情况。

这些解决方案包括使用身份管理和单点登录解决方案、令牌、更高级的用户和实体行为分析(UEBA)功能,区分正常和异常的工作模式,指示需要关闭的潜在威胁,以及快速生物测定,并且需要方便的访问。Hoyos说:“组织必须在安全性和便利性之间找到适当的平衡。”安全专家应该针对“无摩擦的安全性”进行研究。

(4)数据被劫持

保护敏感数据的需求已经成为大多数组织的首要任务,但是网络安全专家认为,许多组织创造了如此多的不必要的保护层,以至于他们降低生产率,并促使工作人员实施了不安全的行为。这种工作人员不遵守安全规定的证据越来越多。White说,像工作人员拍摄他所需要的信息的例子屡见不鲜。其他安全专家则表示,曾经目睹工作人员在不安全的情况复制文件、传输文件,以及使用未经批准的文件共享应用程序。

Crosby说:“许多管理者并不知道获取数据是多么的容易。”他补充说,这样的解决方案相当于在组织的保护层打穿了一个漏洞,从而增加了风险。“这不是企业面临的一个新困境,它是安全范式的一部分。每当组织推出更安全的举措时,这为工作人员带来不便,他们会想办法解决问题,特别是如果他们不明白原因的话。”

White说,组织应该认识到,如果他们以相同的敏感度来对待所有的数据,就会给自己己带来难题。他表示,安全团队需要花更多的时间在数据分类上工作,以保护真正敏感的信息,同时消除大多数工作人员采用工作的低敏感信息的障碍。White说:“这是一项艰苦的工作,但只有一次才能完成。”

(5)繁琐的工作流程

工作流程是企业业务的安全性和生产力相互冲突的另一方面。印刷管理解决方案商Y Soft公司的扫描部门高级副总裁Wouter Koelewijn说,他看到工作人员在正常的工作中共享、扫描、发送电子邮件,以及打印文件。他们或者没有意识到潜在的安全风险,或者只是为了必须完成工作而不顾安全措施。

Koelewijn表示,在以往,企业为了让工作人员更加安全地工作,错误地设计了不容易适应现有日常工作流模式的系统。他说:“但我们从用户那里看到的行为是,如果询问他们太多的安全问题,或者对文件进行分类,他们想要达到的目标就失去了平衡,所以他们会找到自己的解决方案。”

他表示,企业需要投资技术和系统设计,使工作人员能够轻松遵守规则,更重要的是尽可能实现自动化。例如,系统应该被设计成安全地扫描被识别为敏感的文件,而不会使工作人员忽略。

Stroud补充说:“我们必须考虑安全性并不突出的工作流程,组织需要根据风险适当地加入安全措施,因此并没有一个适合所有人的解决方案。”

本文来自企鹅号 - IT168媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

安全领域 云计算“做得了”和“做不了”的事

现在的这个IT时代,有一些用户对于安全问题并不是太关心,的确,部署安全措施并不能带来业务的增长,只能是当做对于业务风险的防范,为了防止出问题才迫不得已去使用。很...

363120
来自专栏ATYUN订阅号

谷歌重磅推出数据集搜索引擎Dataset Search

谷歌推出了一个搜索引擎Dataset Search,以帮助研究人员找到免费使用的在线数据。该公司于9月5日推出该服务,称其针对的是“科学家,数据记者,数据极客等...

25040
来自专栏SDNLAB

Facebook、NTT、Big Switch共推开放交换机软件

Facebook、NTT、Big Switch公司计划在周五展示一个开源软件组合,该软件可以运行网络交换机,这是利用开源创新取代专有网络硬件和软件的一大进展。 ...

36970
来自专栏腾讯大讲堂的专栏

MUG & ACT 代理游戏运维支撑浅析

前言08年腾讯游戏的“四大名著”,同时在线均过百万,为腾讯游戏带来了丰厚的营收。其中三款为代理游戏,分别由国内及韩国开发商研发,这一点见证了代理游戏业务的多样性...

19380

移动网络运营商:利用SIM的力量克服物联网挑战

物联网(IoT)的扩张对于物联网的垂直行业和移动网络运营商(MNO)来说是一个巨大的发展机遇,但是机遇与挑战并存。在最近的一次针对正在路上行驶的吉普车的黑客攻击...

32980
来自专栏FreeBuf

利用低端手机入侵被物理隔离的计算机

在核电站等保密环境中通常对计算机进行了物理隔离,但是以色列安全研究人员通过一个低端的手机仍然可以黑掉它们。 一台低端手机搞定物理隔离 大多数情况下,在核电站和其...

20060
来自专栏云计算D1net

云爆发给企业出难题 混合云兼容仍存疑

云计算的扩展性和灵活性一直为人称道,企业往往会根据所需选择不同的部署模式。对于零售、娱乐、电商等周期性行业而言,流量瞬时峰值的激增是对计算资源的巨大考验。通常来...

34790
来自专栏IT 指南者专栏

推荐 5 个堪称黑科技的网站

这个周末终于有点闲心来写写自己喜欢的东西了。实话说,可以写的东西其实很多,但是真正属于干货的可能还是有限的。

78130
来自专栏云市场·精选汇

小程序发展解决了什么问题?

对于app,一般用户都会安装这些比较常用,比如微信、支付宝,还有一个购物APP、一个地图、一个游戏,而那些使用频率低却又是刚需的长尾APP的处境就非常尴尬。用户...

1.3K1240
来自专栏FreeBuf

高效IT灾难恢复计划应该涵盖的7大要素

飓风、龙卷风、地震、火灾、洪水、恐怖袭击以及网络攻击,您要知道所有这些问题都可能会随时发生在您的公司。您可能也已经制定了灾难恢复(DR)计划,来保护企业的数据、...

14730

扫码关注云+社区

领取腾讯云代金券