越来越多的员工开始利用Web应用进行实时沟通甚至是更为复杂的操作,由此受到的企业内部威胁迫使很多公司都开始投资数据保护技术。这里我们将对这类内部威胁进行讨论,并向大家展示企业应如何将数据保护整合到Web2.0安全策略中。
社交网络和Web2.0应用已经充斥于企业之中。Web工具为员工搭起了沟通的桥梁,而且清除了一些物理上的障碍,这些工具使人们可以及时完成商业上的操作。虽然及时通讯,Web会议,端对端文件共享和社交网站可以为企业带来诸多好处,但是他们也为互联网威胁,数据泄漏等安全问题提供了可乘之机。
Web2.0加大了安全保障的复杂性,企业正在寻求一种全面的方法保护企业安全,他们希望这种方法既能减少威胁,又可以减轻管理难度。
对于许多企业而言,社交网络和Web2.0应用已经超越了个人使用的需求,并已经有助于企业销售产品,优化工作效率的工具。
例如,人力资源部的人可以使用LinkedIn等来研究员工展望,销售团队可以利用Facebook等与客户互动,而营销部门则可以利用Twitter等共享头条新闻或者扩大最新新闻或公告的浏览范围。
这些工具同时满足了信息共享,及时通讯等需求,其受关注度和使用频率不可小觑。而其发展势头也非常好。预计到2013年,全球范围内企业投资到Web2.0技术上的资金有望达到46亿美金。企业无法忽视这个利用新工具增加生产效率的契机。
新一代网络威胁
虽然,社交网络和Web2.0应用增加了我们的协作能力,但是他们也引发了新一轮网络威胁。
社交网络的特性使得人们建立了一个基于网络的,互相信任的联络网,而这张网又扩展到了商业领域。于是,用户可以轻易地交换或传播信息,图像和文件——通常这类操作都不需要进行身份验证和信息验证。
而通过社交网络散步的恶意代码数量以及端对端文件共享的网站数量都在迅速增加。这些新工具非常有利于社交工程式攻击,实施这些攻击的人可以利用这类攻击并威胁敏感数据。因此,企业应该确保自己的侵入防御系统优于查探模式,而且要确保此系统将重心真正放在阻止威胁上。
近八成的数据泄漏都是无心之失。这些都是员工的疏忽大意或无意识地违背公司手册中的安全策略造成的。例如,某员工可能讲一份保密文件发送给错误的收件人或是使用Web网页,P2P文件共享网页将容量很大的文件发送给商业伙伴。无论如何,上传文件后,如果没有阅读操作细则,他们就很可能丧失对敏感数据的控制。
非常有必要警告员工哪些数据是企业的敏感数据,并且要告知数据的分类情况。Web2.0应用为企业带来许多好处,可是为了减少随之而来的威胁,企业应该寻求技术部署方案来帮助员工通过自学远离高风险的操作。
Web浏览器虚拟化技术
为了能够在客户端有效抵御Web2.0威胁,一些领先的企业正着手部署方案和一些相应的行为和分析技巧,这些技巧可以让员工利用工具的同时又不损害企业的安全。
例如,许多企业正利用Web浏览器虚拟化技术,因为这一技术既可以隔离已知或未知的威胁,又可以提供高级探索功能来阻止员工打开有危险的网站。现在,几乎任何使用浏览器的用户都可以使用社交网络和Web2.0应用。幸运的是,Web浏览器虚拟化技术可以将企业数据与互联网隔离开,同时又可以让员工在受保护的前提下自由浏览器网络。
和许多安全一样,重在防护的多层级保护对维护企业的互联网安全至关重要。一个好的Web2.0防护策略应该包含下列七个特征:
1. 应用控制:部署用于Web2.0,社交网络和互联网应用的粒度安全控件。
2. 服从:记录并保存记录以便满足调整和电子化搜寻的要求。
3. Web过滤:监控和控制员工使用Web的情况。
4. 阻止恶意攻击:在网关处阻止间谍软件,根工具包和蠕虫。
5. 带宽控制:控制带宽密集型应用的使用,如文件共享和视频流。
6. Web浏览器虚拟化:提供双浏览器模式,使员工有能力将企业数据与互联网隔离。
7. 自学功能:分析用户的行为,预配置策略,当敏感数据面临危险时警告用户。
Web2.0的安全问题非常复杂,而且还涉及如何让企业管理新型威胁。一个有效的Web2.0安全策略可以通过全面的端点安全完善网络保护,可以让企业轻松地将安全服务整合到已有架构中,而不需要消耗有限的IT预算。对于企业而言这样的方案尤为重要,因为它可以提供更好的安全性能,简化管理,而且可以随着商业需求的变化,进行调整。