酒店(diàn)不得(de)不提防的六大(dà)數據黑(hēi)洞
根據Trustwave的三份全球安全報告得(de)出,酒店(diàn)行業是最具安全漏洞的三大(dà)行業之一。而且,Privacyrights.org也有相(xiàng)關報道,即2014年(nián)酒店(diàn)行業内違法信息披露增加了50%。
Trustwave與全球一些酒店(diàn)企業攜手共同研究了酒店(diàn)行業的許多安全黑(hēi)洞。有些時候,酒店(diàn)會采取一些标準的安全管理(lǐ)措施,但(dàn)是也隻是停留在表面,并沒有深入。而有些時候,是因爲員(yuán)工(gōng)們過多地接觸到那些他(tā)們沒有權限的數據信息。以下是Trustwave爲酒店(diàn)行業評定的六大(dà)最嚴重的安全隐患。
對惡意軟件(jiàn)的防範不足:在酒店(diàn)行業經常會出現一些惡意軟件(jiàn)通過網站(zhàn)或電子郵件(jiàn)侵入網絡的證據,而實際上酒店(diàn)是有一些基本的抗病毒軟件(jiàn)的。這主要就(jiù)是因爲當下黑(hēi)客專門(mén)設計(jì)了一些能夠躲避病毒檢測的高級惡意軟件(jiàn)。
員(yuán)工(gōng)過多接觸無權限數據:員(yuán)工(gōng)們在不斷探究他(tā)們究竟能夠接觸到多少數據。酒店(diàn)行業内90%以上的安全問(wèn)題都(dōu)涉及到了員(yuán)工(gōng)沒有權限的數據訪問(wèn)記錄。這很可(kě)能會導緻有價值的數據遺失,以及相(xiàng)關網站(zhàn)數據無故被黑(hēi)。許多企業沒有有效控制共享賬号和密碼存儲系統的使用,也沒有限制管理(lǐ)員(yuán)的權限。他(tā)們也缺乏全面的審計(jì)能力,也就(jiù)是說(shuō),他(tā)們不能追蹤到究竟是誰在什麽時候對他(tā)們的網絡做了手腳,是誰在什麽時候動用了什麽數據。
缺少BYOD安全程序:許多酒店(diàn)企業沒有一個确切的程序來(lái)辨别無線流氓設備。這就(jiù)意味着,物理(lǐ)訪問(wèn)攻擊者可(kě)以輕而易舉地進入酒店(diàn)數據系統。酒店(diàn)企業也很少用他(tā)們的BYOD程序測試無線安全性問(wèn)題,确保任何安全漏洞。尤其是在酒店(diàn),提供給客人(rén)的無線網絡根本沒有什麽安全性可(kě)言,因此潛在黑(hēi)客就(jiù)可(kě)以通過截獲浏覽信息進行攻擊(例如(rú)MITM攻擊)。
安全管理(lǐ)程序落後:許多酒店(diàn)企業都(dōu)有一點安全管理(lǐ)程序,例如(rú)防火(huǒ)牆。然而,他(tā)們并沒有及時更新,沒有安裝補丁、修複漏洞。一般來(lái)說(shuō),實現安全漏洞修複至少需要七天——這個時間太長了。一些酒店(diàn)總是在更新落後設備方面太過滞後,所以他(tā)們的安全管理(lǐ)程序也就(jiù)徒有擺設,毫無實際用處。
應用程序和數據庫不安全:從(cóng)積極的一面看(kàn),許多酒店(diàn)在關鍵公開的應用程序上采取了滲透式的測驗掃描。因爲這些測驗能夠幫助企業辨别并修複應用程序内的安全漏洞,以免被黑(hēi)。然而,數據庫的安全問(wèn)題則往往被擱置一邊,這就(jiù)等于把自(zì)家後門(mén)開着歡迎攻擊者随時光(guāng)臨。許多酒店(diàn)業推出了一些新的内部面向客戶的應用程序,但(dàn)這些都(dōu)缺乏一定的安全性,因爲這些往往都(dōu)被視爲馬後炮。
“客人(rén)至上”取代了安全問(wèn)題:酒店(diàn)行業内,消費者至上。但(dàn)是,爲了真正滿足消費者的需求,員(yuán)工(gōng)往往會忽略一些安全問(wèn)題,因此給社交工(gōng)程攻擊鑽了個空。例如(rú),一個酒店(diàn)客人(rén)(真實身(shēn)份可(kě)能是名黑(hēi)客)走近一名前台員(yuán)工(gōng),讓他(tā)幫忙打印一份拷在U盤裡(lǐ)的文件(jiàn)。而這位前台爲了滿足客戶的需求,沒有考慮是否這個U盤帶有惡意軟件(jiàn),便直接将U盤插入酒店(diàn)前台電腦。
其實,隻要酒店(diàn)能将安全意識作(zuò)爲所有員(yuán)工(gōng)的中心思想,這些安全漏洞都(dōu)是可(kě)以解決的。酒店(diàn)應該好好部署安全管理(lǐ),檢測并阻止惡意軟件(jiàn)的攻擊,好好規劃網絡存取管理(lǐ),限制敏感數據的權限名額,防止有價值的數據遺失。
酒店(diàn)還(hái)應确保自(zì)己有足夠的人(rén)力和專業知識,監控、更新并管理(lǐ)他(tā)們的安全機(jī)制。這樣他(tā)們才能預先阻止信息的違法披露,實時防範任何不法侵入。酒店(diàn)越快(kuài)地檢測出違法侵入,就(jiù)能盡快(kuài)将損失最小化。