對大多數(shù)企業(yè)而言，改善業(yè)務安全性似乎不可避免地帶來資金投入;但事實上我們也有不必花錢的其它實現(xiàn)途徑。

盡管不少企業(yè)已經(jīng)在應對日常業(yè)務需求時花費大量時間，但仍然無法避免安全問題日益積累的尷尬局面。不過中小企業(yè)的信息技術人士還是能通過小規(guī)模修復在一定程度上改善安全狀態(tài)，而且不必花費大量資金，Thrive Networks公司——一家專為中小企業(yè)提供信息技術管理的服務供應商——首席技術官Dylan O’Connor指出。

“客戶有很多成本很低甚至完全不存在成本的途徑來改善自身安全性，”他表示。“這些步驟對于IT管理者可能并不陌生，但我們的大多數(shù)客戶甚至根本沒有設置IT管理員崗位。”

從評估過時系統(tǒng)與低強度密碼到組織第三方供應商調(diào)查，企業(yè)完全可以在不影響運營底線的前提下將安全性提升至新高度。下面就請大家一同來看由中小企業(yè)安全專家提供的五大省錢改進途徑。

1.評估當前業(yè)務安全性

企業(yè)應當盡早著手評估自己的計算機系統(tǒng)，了解這些系統(tǒng)對于業(yè)務運營及安全性的重要性與實際意義。整個過程并不會給企業(yè)帶來直接開支，只是占用了員工的一部分工作時間。但其效果仍然非常顯著，過時系統(tǒng)與安全隱患最終可能給企業(yè)帶來巨額損失，安全管理服務供應商Trustwave公司研究實驗室主管Charles Henderson如是說。

“如果可能的話，請盡量探索能最大限度降低攻擊面的方法，”他指出。“我發(fā)現(xiàn)很多中小企業(yè)都會在業(yè)務流程中摻雜一些不必要的復雜項目。”

當企業(yè)對現(xiàn)有系統(tǒng)進行匯總整理時，他們還需要確保所有系統(tǒng)都經(jīng)過合理配置、從而限制終端用戶的操作權(quán)限——即不允許使用者以Windows管理員的身份登錄系統(tǒng)。除此之外，企業(yè)還應該通過檢查確定所有密碼——尤其是那些與Windows域及其它關鍵服務器相關的密碼——并未采用默認內(nèi)容且不易被猜出，Thrive公司的O’Connor建議道。

2.培訓終端用戶

要想攻破目標系統(tǒng)，大多數(shù)攻擊者都必須借助終端用戶的不當操作，因此向員工傳授安全知識能夠有效降低攻擊活動的發(fā)生頻繁，戴爾軟件終端用戶產(chǎn)品戰(zhàn)略執(zhí)行理事Brett Hansen表示。

“終端用戶自身已經(jīng)成為最嚴重的安全威脅，”他告訴我們。“盡管安全解決方案能夠以各種方式消弭其它高危因素，但用戶仍然必須時刻保持警惕。”

企業(yè)應當每月組織午餐交流活動，為員工提供安全溝通平臺，Thrive公司的O’Connor建議道。為了保持大家的參與積極性，我們不妨為每次活動設定單獨的主題，例如籌備一些安全案例研究或者網(wǎng)絡釣魚電子郵件，并向員工傳達保障系統(tǒng)與設備安全的重要性，他指出。

“另外，當我們與員工討論互聯(lián)網(wǎng)安全時，不要只以辦公環(huán)境為基礎展開交流，也應該把家中的工作狀況考慮進來，”O’Connor補充稱。

3.定期為系統(tǒng)重新制作鏡像

企業(yè)也應該考慮將員工計算機的鏡像快速重新制作納入工作流程。雖然創(chuàng)建標準化鏡像并將其部署到新系統(tǒng)中屬于IT部門的職責，但定期實施這一方案對企業(yè)安全性保障同樣大有禆益，某中型游戲廠商資深安全分析師Michael Gough表示——他不愿透露自己所在單位的具體名稱。

任何一臺在一周之內(nèi)通過企業(yè)殺毒軟件、公司防火墻或者入侵檢測系統(tǒng)提交過警告信息的設備都應該重新進行鏡像制作。對于那些對取證工作較為重視的企業(yè)而言，IT人員還應該直接將原有硬盤撤換下來并在新驅(qū)動器中制作鏡像。

“如果某位員工收到來自殺毒軟件的警報，并在一周之內(nèi)再次發(fā)現(xiàn)類似提示，請馬上重新制作設備鏡像，”Gough解釋道。“如果大家在一個月內(nèi)發(fā)現(xiàn)三次這類提醒，那么整臺PC的鏡像都需要重新制作。”

此外，公司還可以定期對員工系統(tǒng)的鏡像加以重制以獲得良好的安全保護效果。根據(jù)Trustwave公司發(fā)布的2013年全球安全報告，只有36%的企業(yè)能在入侵活動發(fā)生九十天之內(nèi)檢測到該事故。每個季度定期重新制作鏡像能幫助企業(yè)根除潛在安全威脅，從而將那些已經(jīng)感染了員工系統(tǒng)但尚未造成危害的隱患扼殺在萌芽狀態(tài)。

“只要我們能定期更新設備中的數(shù)據(jù)，停機機率就能被控制在極低的范圍，這樣的收益確實非常顯著，”Gough總結(jié)道。

4.嚴格審查第三方合作伙伴

從云供應商到業(yè)務顧問再到外包交易系統(tǒng)，第三方合作伙伴的介入可能成為企業(yè)業(yè)務環(huán)境安全的致命短板。根據(jù)Trustwave公司的研究報告，由第三方公司引發(fā)的數(shù)據(jù)泄露事故占事故總體數(shù)量的三分之二左右。

“我們真的很難把握第三方合作伙伴在安全性方面的水準，”Trustwave公司的Henderson指出。“而且我們也經(jīng)常需要處理由第三方供應商安全實踐失誤所引發(fā)的安全事故。”

中小型企業(yè)需要在確保第三方供應商具備良好的安全指標之后才著手籌備協(xié)作并簽署合作意見。根據(jù)Thrive公司O’Connor的意見，企業(yè)管理者需要首先弄清以下幾個問題：供應商的基礎設施受到哪種防火墻或安全機制的保護;他們多久安裝一次安全補丁，安裝流程如何進行;第三方擁有多少位常駐安全專家，這些專家擁有如此認證資質(zhì);另外，他們?yōu)榭蛻籼峁┠男┌踩珡娀胧?mdash;—例如雙因素認證等。

“大家不需要在第三方評估工作中投入資金，我們只需要確保對方花錢完成這些任務即可，”Henderson補充稱。

5.使用云服務及托管服務供應商

對第三方服務供應商安全因素感到滿意的企業(yè)也可以利用向云端遷移將自身安全水平推向新高度。盡管大型企業(yè)可能會通過創(chuàng)建內(nèi)部服務實現(xiàn)最高水準的安全性指標，但中小型則幾乎不可能擁有足夠的財力與精力實現(xiàn)同等效果，因此云服務安全性已經(jīng)可以算是相對理想的業(yè)務方案。有鑒于此，將電子郵件、備份以及文件共享等服務遷移至云環(huán)境當中不僅能夠節(jié)約資金，更會獲得相對平衡的安全表現(xiàn)，Thrive公司的O’Connor解釋道。

“現(xiàn)在的關鍵問題已經(jīng)不再是我們?yōu)槭裁匆蛟贫诉w移，而是隨著這一趨勢的持續(xù)升溫，為什么還要拒絕云服務這樣一套極佳的備選方案，”他表示。

托管服務供應商還能夠搞定大部分企業(yè)自身受員工素質(zhì)所限而完成不了的安全任務。員工總?cè)藬?shù)在250人以下的企業(yè)通常都不具備全職信息安全經(jīng)理，因此管理者必須考慮利用托管安全服務供應商來打理復雜的安全設備，例如入侵檢測系統(tǒng)以及日志分析系統(tǒng)等。

“只有真正熟悉并掌握安全知識的頂尖人才能夠順利搞定保護工作，”安全專家Gough指出。“如果大家所在的企業(yè)還沒有專門負責審核防火墻規(guī)則及路由規(guī)則的團隊，那么即使部署了入侵檢測系統(tǒng)、其結(jié)果也不過是形同虛設。”

原文鏈接：http://www.darkreading.com/smb/5-ways-for-smbs-to-improve-security-but/240154276