日前，在今年第四個(gè)也是***一個(gè)美國(guó)國(guó)家網(wǎng)絡(luò)安全宣傳月( NCSAM)期間，安全風(fēng)險(xiǎn)信息解決方案提供商Rapid7討論了云,以及如何避免云風(fēng)險(xiǎn)等問題。

此前，Rapid7的話題涵蓋釣魚、BYOD和密碼保護(hù)。

本周Rapid7的主題是云,旨在幫助員工使用云服務(wù)時(shí)避免一些安全風(fēng)險(xiǎn)。

“一些機(jī)構(gòu)會(huì)為其員工選擇制定完整的沒有云服務(wù)的政策并有足夠的資源去執(zhí)行,但對(duì)于絕大多數(shù)的安全團(tuán)隊(duì)而言,防止數(shù)據(jù)泄漏到云的唯一途徑是正確教育員工認(rèn)識(shí)固有風(fēng)險(xiǎn),”Matt Hathaway公司高級(jí)產(chǎn)品經(jīng)理表示。

沒有人期望你是一個(gè)安全專家，但希望你能保持警惕，熟悉公司的政策,如果有疑問一定要聯(lián)系安全團(tuán)隊(duì)。切記,盡管云應(yīng)用看起來非常***和專業(yè),但你根本無從知曉此時(shí)公司已經(jīng)暴露了什么級(jí)別的風(fēng)險(xiǎn)。在此有一些基本的技巧來減少這種風(fēng)險(xiǎn):

Ø 與IT/安全團(tuán)隊(duì)合作：當(dāng)你開始考慮使用一個(gè)新的云應(yīng)用程序時(shí)，務(wù)必考慮與IT和安全團(tuán)隊(duì)協(xié)作。他們會(huì)基于你的預(yù)算和需求篩選出潛在選項(xiàng)，然后為你審查程序。IT和安全人員清楚地了解你想要達(dá)到的目的，能***程度地確保你得到全部利益且規(guī)避許多額外的風(fēng)險(xiǎn)。

Ø 不要未經(jīng)許可在線儲(chǔ)存信息：當(dāng)你使用一個(gè)云解決方案時(shí)會(huì)發(fā)現(xiàn),你認(rèn)為將數(shù)據(jù)存儲(chǔ)到公有云是理所當(dāng)然的。但是可曾考慮過存儲(chǔ)什么樣的數(shù)據(jù)?或者供應(yīng)商是如何存儲(chǔ)和保護(hù)這些數(shù)據(jù)的?我們有責(zé)任保護(hù)數(shù)據(jù)安全,但第三方供應(yīng)商或許不會(huì)認(rèn)為他們也應(yīng)分擔(dān)這份責(zé)任。向IT人員征求意見會(huì)知道在線存儲(chǔ)數(shù)據(jù)是否安全。

Ø 不要用私有云儲(chǔ)存工作文件：能夠在家使用在線服務(wù)存儲(chǔ)多媒體文件確實(shí)非常誘人。擁有一個(gè)訪問公司信息的帳戶,這樣無論身處何處都可以工作。使用你的個(gè)人帳戶似乎是一個(gè)最簡(jiǎn)捷的辦公途徑，但事實(shí)并非如此。向IT求助,我們會(huì)被告知一些能夠得到企業(yè)認(rèn)可的方法，之后可啟動(dòng)并運(yùn)行。

Ø 不要共享公司文件的權(quán)限：在公司里嚴(yán)格限定訪問特定類型信息的員工身份是一個(gè)標(biāo)準(zhǔn)的做法，這有助于保護(hù)信息安全。同樣，共享訪問存儲(chǔ)在云的文件時(shí)，應(yīng)與公司經(jīng)理或IT人員事先商議。

Ø 不要共享密碼和其他訪問憑證: 共享云服務(wù)的訪問憑證在企業(yè)團(tuán)隊(duì)中是非常常見的。這本質(zhì)上是一種不安全的行為,同樣不安全的行為還包括電子郵件認(rèn)證，隨手寫下密碼，或者使用非常弱且容易被猜到的密碼。這些行為增加了使用云服務(wù)的風(fēng)險(xiǎn)，應(yīng)該堅(jiān)決予以避免。