這兩年,數(shù)據(jù)泄密事件層出不窮,屢見不鮮,對企業(yè)的品牌資產(chǎn)和信息資產(chǎn)都造成了無法估量的損失。根據(jù)專業(yè)的數(shù)據(jù)泄露報告統(tǒng)計顯示,超過50%的世界五百強企業(yè)都遭受過敏感數(shù)據(jù)的竊取。而利用最新的零日漏洞,黑客通常在短短幾分鐘之內(nèi)就可以攻破企業(yè)的防御系統(tǒng),獲取企業(yè)的核心數(shù)據(jù)。而企業(yè)通常要花費長達(dá)數(shù)周甚至數(shù)月的時間才能檢測到受到攻擊和數(shù)據(jù)泄密。
隨著數(shù)據(jù)價值越來越高,黑色產(chǎn)業(yè)鏈越來越龐大和成熟,零日漏洞和高級網(wǎng)絡(luò)攻擊手法不斷更新,企業(yè)的信息安全建設(shè)和敏感數(shù)據(jù)保護都變得頗具挑戰(zhàn)。面臨這樣嚴(yán)峻的形勢,有些企業(yè)是被動等待,在安全事件來臨時再臨渴掘井,殊死一博。而卓越企業(yè)的管理經(jīng)營者們卻頗具遠(yuǎn)見,未雨綢繆,積極地進(jìn)行各種安全組織建設(shè)活動,主動提升內(nèi)部員工的安全意識和完善自身的安全防范體系。
日前,某知名歐洲跨國車企協(xié)同岱凱一起,舉辦了一場攻防演練的信息安全意識培訓(xùn)活動。這是客戶作為業(yè)界的先行者,率先在信息安全體系建設(shè)中做出又一項新的嘗試。
信息安全
體系建設(shè)
培訓(xùn)的對象為客戶IT架構(gòu)的一線經(jīng)理和全體員工,有近80余人參加。作為紅藍(lán)對抗演習(xí)的第一階段,岱凱的安全咨詢顧問幫助客戶搭建了真實的網(wǎng)絡(luò)攻擊環(huán)境,并在培訓(xùn)中分享了信息安全科技風(fēng)險形勢以及對目前主要信息安全事件的分析和解讀。
針對當(dāng)前主流的攻擊手段,例如無線網(wǎng)絡(luò)的釣魚AP、短信基站、暴力破解密碼、OWASP十大Web攻擊等,岱凱的安全顧問更是上陣實操,在模擬的環(huán)境逐步進(jìn)行演示,讓受眾學(xué)員眼見為實,親眼目睹網(wǎng)絡(luò)攻擊的實施過程。在有趣的現(xiàn)場互動環(huán)節(jié)里,培訓(xùn)講師還對學(xué)員們提供的一些例如QQ、微信真實社交賬號,進(jìn)行現(xiàn)場實時的密碼暴力破解,并將破解出的密碼發(fā)送到學(xué)員個人的郵箱當(dāng)中,進(jìn)而提升學(xué)員們的密碼安全意識。通過真實的攻擊演練演示,培訓(xùn)學(xué)員深刻認(rèn)識到,信息安全事件不再是霧里看花水中望月,而是真切地發(fā)生在身邊。
在提升信息安全意識的同時,針對黑客的主要攻擊路徑和手法對日常工作中種種行為進(jìn)行反思,深入思考如何切合實際地提升自身工作范圍內(nèi)的信息安全。
客戶的IT總監(jiān)在活動結(jié)束后總結(jié)說:信息安全,總結(jié)一句話,就是不能偷懶。無論是在日常的系統(tǒng)開發(fā),還是平時的設(shè)備管理運維,小到一個配置、一個程序,大到一個功能設(shè)計以及架構(gòu)的搭建,都不能偷懶,要處處注重信息安全。如果我們IT架構(gòu)系統(tǒng)的每個人都能夠從小處著手,管理負(fù)責(zé)好自己領(lǐng)域內(nèi)的安全工作,那我們的信息安全體系就會搭建得越來越牢固,讓大家更放心地去發(fā)展我們的新興業(yè)務(wù)。
客戶的總結(jié)切實而中肯,既體現(xiàn)了企業(yè)卓越的經(jīng)營管理思想,也道出信息安全工作體系建設(shè)的關(guān)鍵和精髓。
岱凱作為客戶的IT戰(zhàn)略合作伙伴,持續(xù)地幫助客戶從大處著想,小處實踐,讓良好的意識在先,縝密的行動隨后,逐步塑造起符合業(yè)務(wù)發(fā)展目標(biāo)的信息安全體系,進(jìn)而在持久的信息安全對抗中爭取到寶貴的主動優(yōu)先權(quán)。
