這兩年,數據泄密事件層出不窮,屢見(jiàn)不鮮,對企業(yè)的品牌資產(chǎn)和信息資產(chǎn)都造成了無(wú)法估量的損失。根據專(zhuān)業(yè)的數據泄露報告統計顯示,超過(guò)50%的世界五百強企業(yè)都遭受過(guò)敏感數據的竊取。而利用最新的零日漏洞,黑客通常在短短幾分鐘之內就可以攻破企業(yè)的防御系統,獲取企業(yè)的核心數據。而企業(yè)通常要花費長(cháng)達數周甚至數月的時(shí)間才能檢測到受到攻擊和數據泄密。
隨著(zhù)數據價(jià)值越來(lái)越高,黑色產(chǎn)業(yè)鏈越來(lái)越龐大和成熟,零日漏洞和高級網(wǎng)絡(luò )攻擊手法不斷更新,企業(yè)的信息安全建設和敏感數據保護都變得頗具挑戰。面臨這樣嚴峻的形勢,有些企業(yè)是被動(dòng)等待,在安全事件來(lái)臨時(shí)再臨渴掘井,殊死一博。而卓越企業(yè)的管理經(jīng)營(yíng)者們卻頗具遠見(jiàn),未雨綢繆,積極地進(jìn)行各種安全組織建設活動(dòng),主動(dòng)提升內部員工的安全意識和完善自身的安全防范體系。
日前,某知名歐洲跨國車(chē)企協(xié)同岱凱一起,舉辦了一場(chǎng)攻防演練的信息安全意識培訓活動(dòng)。這是客戶(hù)作為業(yè)界的先行者,率先在信息安全體系建設中做出又一項新的嘗試。
信息安全
體系建設
培訓的對象為客戶(hù)IT架構的一線(xiàn)經(jīng)理和全體員工,有近80余人參加。作為紅藍對抗演習的第一階段,岱凱的安全咨詢(xún)顧問(wèn)幫助客戶(hù)搭建了真實(shí)的網(wǎng)絡(luò )攻擊環(huán)境,并在培訓中分享了信息安全科技風(fēng)險形勢以及對目前主要信息安全事件的分析和解讀。
針對當前主流的攻擊手段,例如無(wú)線(xiàn)網(wǎng)絡(luò )的釣魚(yú)AP、短信基站、暴力破解密碼、OWASP十大Web攻擊等,岱凱的安全顧問(wèn)更是上陣實(shí)操,在模擬的環(huán)境逐步進(jìn)行演示,讓受眾學(xué)員眼見(jiàn)為實(shí),親眼目睹網(wǎng)絡(luò )攻擊的實(shí)施過(guò)程。在有趣的現場(chǎng)互動(dòng)環(huán)節里,培訓講師還對學(xué)員們提供的一些例如QQ、微信真實(shí)社交賬號,進(jìn)行現場(chǎng)實(shí)時(shí)的密碼暴力破解,并將破解出的密碼發(fā)送到學(xué)員個(gè)人的郵箱當中,進(jìn)而提升學(xué)員們的密碼安全意識。通過(guò)真實(shí)的攻擊演練演示,培訓學(xué)員深刻認識到,信息安全事件不再是霧里看花水中望月,而是真切地發(fā)生在身邊。
在提升信息安全意識的同時(shí),針對黑客的主要攻擊路徑和手法對日常工作中種種行為進(jìn)行反思,深入思考如何切合實(shí)際地提升自身工作范圍內的信息安全。
客戶(hù)的IT總監在活動(dòng)結束后總結說(shuō):信息安全,總結一句話(huà),就是不能偷懶。無(wú)論是在日常的系統開(kāi)發(fā),還是平時(shí)的設備管理運維,小到一個(gè)配置、一個(gè)程序,大到一個(gè)功能設計以及架構的搭建,都不能偷懶,要處處注重信息安全。如果我們IT架構系統的每個(gè)人都能夠從小處著(zhù)手,管理負責好自己領(lǐng)域內的安全工作,那我們的信息安全體系就會(huì )搭建得越來(lái)越牢固,讓大家更放心地去發(fā)展我們的新興業(yè)務(wù)。
客戶(hù)的總結切實(shí)而中肯,既體現了企業(yè)卓越的經(jīng)營(yíng)管理思想,也道出信息安全工作體系建設的關(guān)鍵和精髓。
岱凱作為客戶(hù)的IT戰略合作伙伴,持續地幫助客戶(hù)從大處著(zhù)想,小處實(shí)踐,讓良好的意識在先,縝密的行動(dòng)隨后,逐步塑造起符合業(yè)務(wù)發(fā)展目標的信息安全體系,進(jìn)而在持久的信息安全對抗中爭取到寶貴的主動(dòng)優(yōu)先權。
