隨時做好被攻擊的準備 從大型企業被黑客入侵中的啓示(二)

上回講及 Sony 被黑客入侵,其中最愚蠢的是把重要檔案不經過加密,毫無保留地放在本機任由讓黑客唾手可得。今回將談及大家應如何在網絡以外的環節上提高警覺,免得被黑客有機可乘。

上回講及 Sony 被黑客入侵,其中最愚蠢的是把重要檔案不經過加密,毫無保留地放在本機任由讓黑客唾手可得。今回將談及大家應如何在網絡以外的環節上提高警覺,免得被黑客有機可乘。

 

隨時準備黑客入侵

如果企業在幾年前被入侵,我們會否說公司保安措施不夠好?有可能的。不過我們會歸疚於某同事可能不夠精明,被外人入侵。

被黑客入侵盜去帳戶固然是個很差的情況,但如果公司一些人部訊息紀錄泄露外出,亦是一個十分差的情況,令人十分尷尬。當我們使用軟件進行私人聊天時,原來也有機會公諸於世,事實上有些事情不想被別人知道,就像 Sony 的低級錯誤一樣,他們的客戶電郵都被公開,不論這對企業有沒有破壞力,這些入侵還是令人感到困擾。

每次出事時你都不能只看為單一事件,而且這是很難界定哪個是最好的保安系統,也許這世上其實是沒有完美的保安系統。有見及此,準備一個好的心態才是最重要,預計所有東西都會有朝一日被入侵,這才是正面心態。所有人總會面對這一天,而我們的目標就是令保安系統變得更好。當有預備時,面對任何情況都有心理準備,想像一下你所用的東西會否被入侵,那麼就不會自亂陣腳了。

 

不要忽視實質保安

很多時我們都對「黑客入侵」並沒有一個準確的概念,因為我們未必看到它是如何發生。就如電影裡的刺客在黑暗裡入侵某寫字樓或保險庫,盜去重要文件而事主還懵然不知,黑客就是這麼一回事。

美國大型百貨 Target 懂得在錯誤中學習,他們明白不是所有保安系統都能透過防火牆所解決到。過去 Target 曾被黑客入侵,損失了過百萬顧客紀錄,不是因為有人成功入侵保安公司,而是透過電子咭在公司安裝了木馬程式。當人們以為入侵一定要以遙距方式進行(透過網絡解破防火牆或進行各種形式攻擊,如 DDoS),這令人們對實質數據保護有所鬆懈,就假定這些「大型入侵」不會透過實質形式進行。

事實上不法分子可利用讀卡器在企業裡讀取任何資料,包括信用卡及一些私隱,再加以利用軟件及特別工具,就能輕鬆盜取所有東西。 Target 就是這樣被利用,所以不要小看這些電子工具,任何工具都能成為不法之徒犯案工具。

那麼這又對你有何啓示呢?對於新手,不要假設自己處身於安全環境,即使你用上了 1048-bit 、 end2end 加密技術及儲存在嚴密保安的伺服器裡,仍有機會被入侵。 Google 或 Dropbox 可以讓你遙距進行保安監控,但如果你不實質地保護你的電腦,其他人依然可以使用你的電腦和看你的檔案。所以在離開辦公室時要鎖門、在手機、電腦和平板上設置密碼,在路由器上加密,而且不要讓你的手提電腦離開視線範圍。

隨時隨地提高警覺,不要盲目相信任何保安方案或防火牆能為你作最後解救,在生活細節上做好保安措施,這樣才能免除黑客以任何形式入侵,避免招致損失。

Source: Lifehacker