日前,在麻省理工学院进行的一次讨论上,一名首席执行官认为,一台连接到网络的打印机可能会同操作系统的漏洞一样,对企业安全造成很大的威胁,但公司往往担心后者,并忽略了前者。
来自电信服务供应商Markley Group的首席执行官Patrick Gilmore说,随着越来越多的设备获得网络连接以作为物联网的一部分,黑客们有更多可以利用的弱点。而为打印机编写软件的人可能不会考虑安全问题。
“但是没有人讨论如果你的打印机被黑客攻击,CEO打印的每一个文件张贴到博客上该怎么办。”他说。
会议涵盖了一系列的安全议题,包括云计算,新出现的威胁和数据安全。
使用云服务的公司应该考虑什么条件下会允许供应商切断客户的服务,作为Backupify CEO和联合创始人Rob May认为,“你必须承担起保护自身数据的责任,你不能把你的数据安全仅仅交付给一个云供应商。”
在考虑Web服务时,云客户需要问更好的问题,而不是询问一个云提供商的物理和技术安全措施。客户应该询问定价和备份过程,他说,物理计划是特别重要的,因为云数据最终是存储在硬件和一些供应商提供的硬盘驱动器里。
美国道富银行的高级副总裁和首席信息安全执行官的Mark Morrison认为,安全团队面临的挑战是平衡所需要的共享数据以实现企业目标,同时保持安全性的程序。
“美国道富银行正转移管理安全导致的威胁,以抵消新出现的威胁,”Morrison说。安全不再是“如果我们按照某种攻略建议,我们就可以得到的,”他补充说,“企业不能再简单地按照一个清单,比如说包括像建立一个防火墙这样基本的安全措施。”
“你必须意识到预防是不会再成为你的唯一保障,”他说。
例如,Morrison正在通过使发动攻击的成本超过了回报所需要的投资来防止网络攻击。
“如果你能增加发动成本,他们可能就不会继续前进了,”他说。
新的威胁正在从将网络攻击作为其防御计划的部分国家产生。在某些情况下,这些国家正在资助攻击者并将其作为“网络水军”, 他说。
Morrison还希望增加使用的双因素身份验证以减少依赖密码。
物联网、云计算:重新定义企业安全
“密码是完全是浪费时间, ”他说。 “他们是签订信用卡背面的等价物。”
密码必须是14或16个字符长提供保护,他说,所以人们这为了记住将它们写下来,这可能导致人们把他们放在会被别人误用的地方。
Gilmore则认为,试图控制员工使用配备USB设备来传输数据是另一种无效的安全措施。
“数据是普遍存在的,容易转移,”他说。“你怎么使用USB来保证它们的安全性?你并不知道。”
相反,企业应该实施的政策是应该是使工人不想要窃取数据,并考虑如果信息被泄露,要如何遏制损害。
企业招聘IT安全专业人士应该找到像敌人那样思维的候选人,因为网络水军并不遵守规则。
