NEWS

防止黑客破坏初创公司数据的7种方法. 2020-01-15


  公平地说,初创公司有很多板块。
  
  从筹集资金到产品开发再到市场营销和公共关系,再到保持头脑清醒,初创公司通常都是非常繁忙的地方。因此,尽管您的创业公司可能难以平衡关键要素,例如领导力,人员配备,产品开发,市场差异化和客户获取,但请理解,只有在我们有最佳意图的情况下,我们才会在您的待办事项清单中增加一项-安全。
  
  
  尽管许多因素(包括成本,技术意识和首次进入市场的竞争)可能会使安全性看起来像是阻碍增长的因素,但无疑可以做到。甚至有人认为,即使声称拥有InfoSec部门或员工,您的公司也不再是一家创业公司。
  
  从最早的阶段开始,公司就需要优先考虑网络安全,以确保其与业务有机结合,并将其融入文化的DNA中(如果您愿意)。为了发展和促进组织对风险以及随业务发展而制定的策略的全面理解,以下列出了任何发展中公司及其领导团队应采用的七个关键安全要素。
  
  1.从一开始就坚持访问管理。
  
  无论您努力创造一个多么水平或平等的环境,并不是每个人都需要成为一切的管理员。最常建议初创企业使用的安全规则是,先分配服务,然后再进行个别登录,而不是在整个公司中共享相同的用户名和密码。
  
  为什么?因为所有公司-无论您的弹性工作时间政策多么慷慨,还是您的技术创新-都经历着流失。永远不要强迫创始人在每个人离开时争先恐后地改变所有人员的访问权限,尤其是对于心怀不满的员工-或即将成为前员工-可以访问您的专有和关键IT,IP等关键数据。适当地使用访问管理后,启动程序可以调整权限级别,我们的建议是尽量减少权限级别。
  
  2.强制执行两因素身份验证(2FA)。
  
  双重身份验证确实听起来像是-用户名和密码之外还需要第二级身份验证-通常以带有数字代码的令牌,智能卡,发给手机的短信的形式甚至是生物特征(思维指纹)扫描。
  
  2FA特别适用于关键系统,例如电子邮件,Git存储库,数据库和云提供商。要求密码和设备-您知道什么和拥有什么-可以阻止坏演员闯入,并让您尽早知道出了什么问题。想象一下,能够抵御鱼叉式网络钓鱼攻击或恶意软件造成的凭证盗窃所造成的损害,这就是2FA的优点。
  
  3.使用密码管理器,如1Password。
  
  现在是2020年。没有两个密码应该相同,并且没有理由使用少于25个字符的密码-字母,数字和字符。因此,除了2FA之外,还要在公司的安全策略中插入一个密码管理系统。密码管理器是一种软件服务,可在加密的虚拟容器中生成并安全地存储长而复杂的密码。它的优点在于,员工只需要记住一个密码(希望是健壮的密码)即可解锁管理器,然后可以从中剪切并粘贴或自动填充到各个站点和服务中。密码管理器解决了您每天使用的所有站点的复杂密码问题。确保公司中的每个人都使用一个。
  
  
  4.使用您的手机。
  
  培训员工在要求对方提供敏感数据或材料(如电汇,密码或人事数据)时打电话。不管请求是否来自与您共享隔间墙的某人的电子邮件地址。当某人确实确实需要访问服务时(例如,他们需要您的2FA代码才能进入Twitter),然后他们会向您发送便笺以要求提供这些凭据,进行呼叫并与他们交谈。尤其是在您了解每个人的声音的小型初创企业中,口头确认是避免被骗的最有效方法。
  
  5.使用GPG加密共享敏感信息。
  
  GPG工具  在Mac上运行非常出色,您不仅应该使用加密功能,还需要使用电子邮件加密功能。即使您的公司通讯发生在2FA之后,并且使用复杂的唯一密码登录,仍然可能发生不良情况。如果您要共享任何敏感信息,请对其进行加密,因为如果另一位网络钓鱼者欺骗了您,则没有预期收件人的私钥,他们将一无所获。而且,如果通信服务提供商-电子邮件,Slack等-被黑,您不必担心关键密钥被盗。
  
  6.使用全盘加密。
  
  诸如macOS,Windows 10,iOS和Android之类的现代操作系统都具有全磁盘加密功能。使用它,并确保公司中的其他所有人都在使用它。
  
  iPhone迷路了。人们将笔记本电脑留在咖啡桌上。平板电脑塞满飞机座椅的口袋,被人遗忘。东西发生了。
  
  这些机器具有您公司的知识产权,战略计划以及对电子邮件,密钥和通信的访问权,这实质上是一家技术公司的命脉。同样,请确保您的设备需要密码才能开机并从睡眠中唤醒。我也鼓励您也加密备份。这也是现代操作系统中的一项功能,因此当您不在办公桌旁时,别人无法拿起您的外部硬盘驱动器并走开,也无法进行复制。
  
  7.不要因拿铁而失去IP。
  
  初创企业以其灵活的工作时间和随处工作的态度非常出色,可为员工提供自由随心所欲的工作。嘿,为什么不呢,因为实际上每个角落都有免费的Wi-Fi-价格不菲。
  
  有没有听说过《Firesheep》?这是一个免费程序,可让黑客从未加密的代码中获取Cookie,并获得对您的私人信息的访问权限。这意味着在公共wi-fi上与员工接近的任何人都可以访问该人-甚至他们公司的Facebook,Twitter和LinkedIn帐户。
  
  更糟糕的是,黑客将建立看起来还很不合法的wi-fi热点-即当心任何称为“免费公共Wi-Fi”的东西-因此,当您通过脱机双重macchiato连接到公司VPN时,他们可以看到任何您通过此连接共享和接收的数据。如果您的数据计划和电池可以支持的话,请密切注意2FA,加密,甚至是将网络共享作为热点。
  
  更好的是,订阅像Dispel这样的“隐私即服务”平台,该平台为所有员工的日常浏览,电子邮件,文件传输,消息传递和社交媒体加密数据和连接,并将每个设备与相邻用户进行分段和隔离。
  
  不要单击粗略的链接或从Internet下载怪异的东西,请认真研究您的防病毒软件。
  
  http://www.wonderonline.cn


上一篇:网络钓鱼攻击经常针对企业中的这5种员工
下一篇:安全意识培训对于小型企业至关重要