預防公司資料被竊

隨着網絡應用的普及,中小企業對網絡的依賴程度已經越黎越高。而黑客也把目標放在防護能力較弱的企業,從而獲取所需的信息資料。

據賽迪網報道,2015年6月,互聯網上出現被稱爲Grabit的針對企業的最新網絡間諜攻擊行動。攻擊造成大量中小型企業約10000份文件被盜,這些企業主要位於泰國,印度和美國。受攻擊的行業包括化工行業、納米技術行業、教育業、農業、媒體以及建筑業等。攻擊者使用Hawkeye Products公司出品的一款商業間諜工具——HawkEye鍵盤記錄器和一個包含大量遠程管理工具(RAT)的配置模塊控制受害者。Grabit的攻擊規模較大,僅需命令和控制服務器中的一個鍵盤記錄器,攻擊者就可以從4928臺不同的內部和外部主機中竊取2887個密碼、1053封電子郵件和3023個用戶信息,包括Outlook、Facebook、Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服務以及銀行賬戶和其它賬號。

就上述案例,可見警醒公司內的網絡安全是需要重度關注的,萬一被有心人盯上就麻煩了。如何避免災難,就是要做足預防。Steve Zurier,美國IT專欄作家,列出以下十五點建議,特別針對用第三方供應商服務黎維護公司網絡安全的公司。

  • 用上第三方服務,可以參考幾間美國大銀行,如JP Morgan、American Express的做法,以問卷形式問對方的做法,仲要定期去拜訪,睇下對方有否跟足。
  • Verizon 2018 Mobile Security Index報告話,32%受訪機構指會因爲遷就商業表現加上方便,而犧牲流動裝置的保安性能,有38%指流動裝置保安原因,公司有好大機會出事。所以需要找一間提供可靠流動裝置的供應商。
  • 確保供應商有足夠技術和程序,在公司系統有機會出事前作出提醒。
  • 確保第三方供應商能跟上市場變化,能及時更新。
  • 留意供應商的員工,除了工程師有沒有CISSP依類資格外,有軍事、執法、政府背景或工作經驗的,出事時都會幫到手。
  • 有跟從ISO 27001的供應商,就確保距地無論在賬務、知識產權及員工等方面都有良好管理能力。
  • 如果公司需要接收處理來自外國的數據、供應商最好能通過GDPR壓力測試。
  • 要肯定供應商不會被黑客入侵,供應商能認清黑客的詐騙手法。
  • 假如出現問題,確保供應商的資訊保安總監(CISO),能直接找到CEO或CFO,及公司最高職位的人。
  • NIST的FIPS 140-2 標準最初是為美國國防部而設計,現在好多政府部門和大機構都在使用,是加密通訊的最高標準,如果供應商有跟從這款標準,出事機會就自然低好多。
  • 有與SOC(Security Operations Centres)合作,而且有用上自動工具監察網絡保安。
  • 清楚出事後供應商的處理流程。
  • 問清楚供應商如何確保你的客戶資料。
  • 雖然 threat hunting 費用昂貴,但如果供應商或合作夥伴未來六個月或一年有打算做,就絕對值得考慮。
  • 確保供應商對客戶的數據是保持高度重視,公司對員工是否也有對客戶資料,敏感資料,知識產權等數據的處理方法。
ICON Data Centre Limited
Latest posts by ICON Data Centre Limited (see all)