這兩年,數(shù)據(jù)泄密事件層出不窮,屢見不鮮,對(duì)企業(yè)的品牌資產(chǎn)和信息資產(chǎn)都造成了無法估量的損失。根據(jù)專業(yè)的數(shù)據(jù)泄露報(bào)告統(tǒng)計(jì)顯示,超過50%的世界五百?gòu)?qiáng)企業(yè)都遭受過敏感數(shù)據(jù)的竊取。而利用最新的零日漏洞,黑客通常在短短幾分鐘之內(nèi)就可以攻破企業(yè)的防御系統(tǒng),獲取企業(yè)的核心數(shù)據(jù)。而企業(yè)通常要花費(fèi)長(zhǎng)達(dá)數(shù)周甚至數(shù)月的時(shí)間才能檢測(cè)到受到攻擊和數(shù)據(jù)泄密。
隨著數(shù)據(jù)價(jià)值越來越高,黑色產(chǎn)業(yè)鏈越來越龐大和成熟,零日漏洞和高級(jí)網(wǎng)絡(luò)攻擊手法不斷更新,企業(yè)的信息安全建設(shè)和敏感數(shù)據(jù)保護(hù)都變得頗具挑戰(zhàn)。面臨這樣嚴(yán)峻的形勢(shì),有些企業(yè)是被動(dòng)等待,在安全事件來臨時(shí)再臨渴掘井,殊死一博。而卓越企業(yè)的管理經(jīng)營(yíng)者們卻頗具遠(yuǎn)見,未雨綢繆,積極地進(jìn)行各種安全組織建設(shè)活動(dòng),主動(dòng)提升內(nèi)部員工的安全意識(shí)和完善自身的安全防范體系。
日前,某知名歐洲跨國(guó)車企協(xié)同岱凱一起,舉辦了一場(chǎng)攻防演練的信息安全意識(shí)培訓(xùn)活動(dòng)。這是客戶作為業(yè)界的先行者,率先在信息安全體系建設(shè)中做出又一項(xiàng)新的嘗試。
信息安全
體系建設(shè)
培訓(xùn)的對(duì)象為客戶IT架構(gòu)的一線經(jīng)理和全體員工,有近80余人參加。作為紅藍(lán)對(duì)抗演習(xí)的第一階段,岱凱的安全咨詢顧問幫助客戶搭建了真實(shí)的網(wǎng)絡(luò)攻擊環(huán)境,并在培訓(xùn)中分享了信息安全科技風(fēng)險(xiǎn)形勢(shì)以及對(duì)目前主要信息安全事件的分析和解讀。
針對(duì)當(dāng)前主流的攻擊手段,例如無線網(wǎng)絡(luò)的釣魚AP、短信基站、暴力破解密碼、OWASP十大Web攻擊等,岱凱的安全顧問更是上陣實(shí)操,在模擬的環(huán)境逐步進(jìn)行演示,讓受眾學(xué)員眼見為實(shí),親眼目睹網(wǎng)絡(luò)攻擊的實(shí)施過程。在有趣的現(xiàn)場(chǎng)互動(dòng)環(huán)節(jié)里,培訓(xùn)講師還對(duì)學(xué)員們提供的一些例如QQ、微信真實(shí)社交賬號(hào),進(jìn)行現(xiàn)場(chǎng)實(shí)時(shí)的密碼暴力破解,并將破解出的密碼發(fā)送到學(xué)員個(gè)人的郵箱當(dāng)中,進(jìn)而提升學(xué)員們的密碼安全意識(shí)。通過真實(shí)的攻擊演練演示,培訓(xùn)學(xué)員深刻認(rèn)識(shí)到,信息安全事件不再是霧里看花水中望月,而是真切地發(fā)生在身邊。
在提升信息安全意識(shí)的同時(shí),針對(duì)黑客的主要攻擊路徑和手法對(duì)日常工作中種種行為進(jìn)行反思,深入思考如何切合實(shí)際地提升自身工作范圍內(nèi)的信息安全。
客戶的IT總監(jiān)在活動(dòng)結(jié)束后總結(jié)說:信息安全,總結(jié)一句話,就是不能偷懶。無論是在日常的系統(tǒng)開發(fā),還是平時(shí)的設(shè)備管理運(yùn)維,小到一個(gè)配置、一個(gè)程序,大到一個(gè)功能設(shè)計(jì)以及架構(gòu)的搭建,都不能偷懶,要處處注重信息安全。如果我們IT架構(gòu)系統(tǒng)的每個(gè)人都能夠從小處著手,管理負(fù)責(zé)好自己領(lǐng)域內(nèi)的安全工作,那我們的信息安全體系就會(huì)搭建得越來越牢固,讓大家更放心地去發(fā)展我們的新興業(yè)務(wù)。
客戶的總結(jié)切實(shí)而中肯,既體現(xiàn)了企業(yè)卓越的經(jīng)營(yíng)管理思想,也道出信息安全工作體系建設(shè)的關(guān)鍵和精髓。
岱凱作為客戶的IT戰(zhàn)略合作伙伴,持續(xù)地幫助客戶從大處著想,小處實(shí)踐,讓良好的意識(shí)在先,縝密的行動(dòng)隨后,逐步塑造起符合業(yè)務(wù)發(fā)展目標(biāo)的信息安全體系,進(jìn)而在持久的信息安全對(duì)抗中爭(zhēng)取到寶貴的主動(dòng)優(yōu)先權(quán)。
