随着我们世界之间的联系日益紧密,对企业和机构的网络攻击变得越来越普遍。我们看到了勒索软件WannaCry在全球超过200,000台计算机上造成了严重破坏。与此同时,Petya病毒已经到来,这是另一个重大的网络安全问题,这种病毒已经影响了Mondel?z International,广告巨头WPP和石油生产商Rosneft等全球品牌。
WannaCry的工作原理是加密目标硬盘,只允许他们在支付300美元赎金后恢复文件。在五个小时内,运营商已经收到27笔付款,总计约7,000美元。
这些攻击的引人注目的性质及其频率增加,凸显了这样一个事实,即几乎每个使用互联网的人都有遭受网络犯罪之害的风险。作为企业家,您需要采取适当的安全措施以确保网络和数据的安全。网络攻击可能对您的声誉造成不可挽回的损害,对您的企业造成财务损失。
面对面的进攻是您最好的防御。
控制谁可以访问您的设备和网络是防御黑客的重要组成部分。目前,多因素身份验证(MFA)是限制访问合适人员的更有效工具之一。它要求用户提供多个证据而不是简单的密码。它通常采取两因素身份验证的形式,这是我们目前已经相当习惯的事情。
通常,您需要输入的信息可以分为以下几种:您知道的信息(例如密码或生日),拥有的信息(例如银行卡或电话)或存在的信息(例如使用生物识别标记)例如您的声音)。
显然,这种安全性的前提是,虽然一种信息相对容易被黑客获取,但要获得两种或更多类型的信息要困难得多。
我们现在在这个领域看到了更大的进步。据报道,瑞士安全研究人员找到了通过使用环境噪声作为身份验证令牌消除不便并提高可靠性的方法。该服务记录了尝试登录的设备和用户的智能手机的三秒钟音频,因此可以交叉检查噪音,以确保用户和设备在同一位置。只有这样才能授予访问权限。
确保您的业务-和您的钱。
显然,MFA处于安全性未来的关键,从业务角度来看,实施此安全性策略的成本远远超过了全面数据泄露的惨痛成本。成功实施它需要仔细考虑以下三个步骤:
1.优先考虑易用性。重要的是要记住,安全措施仅与使用它的人一样有效。凤凰城大学的一项研究发现,大约有52%的美国成年人表示,他们优先考虑网络安全而不是网络安全。如果您的身份验证过程太麻烦了,人们会找到在可能的情况下避免使用它的方法,这会适得其反。
Google已支持MFA多年,但去年,它使Gmail和G Suite用户的身份验证过程变得更加轻松。过去,从新设备登录需要通过短信或身份验证器应用手动输入密码。现在,用户可以在收到推送通知后通过轻按手机来批准登录尝试。
相比之下,使用令牌的任何人都可能会遇到挫折感,这是因为您没有足够快地输入登录代码,或者更糟的是,您丢失了登录代码。
2.审核供应商。不用说,您希望安全,安全地管理您的安全解决方案。这意味着您需要能够信任提供它的供应商。但是,根据NAVEX Global的调查,接受调查的IT专业人员中有32%并未采取措施评估与之合作的第三方供应商的安全计划。这令人不安,因为这些公司与您一样容易受到有针对性的网络攻击。
具体来说,您可以要求潜在的供应商评估他们的能力以及他们是否符合您的需求。首先,首先要问他们采取哪种安全措施:他们是否具有考虑了各种情况的策略,并且是否制定了应对最坏情况的恢复计划?如果网络安全提供商未在内部遵循最佳实践,则可能不在外部遵循它们。因此,请避开。
第二,深入研究企业的总体信任度和方法。是否对公司提出了投诉?其他客户对该服务有何看法?寻求参考-以及许可信息和商业改善局对公司的评估-是利用他人的经验来告知自己的好方法。
3.确定正常运行时间。易于使用且安全的系统只有在您的员工必须担心他们是否能够在工作中访问它的情况下才能使用。因此,可靠性也必须是头等大事。根据国家网络安全联盟/赛门铁克的研究,接受调查的企业中有66%表示他们依赖互联网来运营,而近40%的企业表示他们严重依赖互联网。
也就是说,如果员工无法访问执行工作所需的资源,那么不可靠的MFA系统可能会使这些企业(也包括您的企业)迅速瘫痪。您的MFA系统应保证很高的正常运行时间-99%或更高。如果您考虑的供应商不能提供此服务,则您可能需要多花点时间购物。
由于业务所在的行业或所提供的服务类型,法律可能会要求某些企业建立MFA系统。其他人可能根本不需要它。作为业务主管,您应该了解它的工作原理,发展方式以及它对您的组织是否有意义。