9.4 及时更新软件
大多数企业都必须向公众和客户发布一些信息。即便就我的业务而言,我也必须公开电话号码、电子邮箱和网站地址,必须收发PDF文件,必须能够与客户、供货商以及厂商在电话中沟通自如。
然而,前面提到的观点表明向公众公开此类信息就意味着公司与隐私的终结。要想公布某些信息,同时又不会造成信息泄露,应该怎么办呢?
不断更新软件。在竞赛中,60%以上的公司还在使用IE6 和Adobe Acrobat 8。这一数据真是令人震惊啊。
这两款应用软件中存在大量公开的漏洞。如果知道目标使用这两款软件,就可以对其发起大规模恶意攻击,连入侵检测系统、防火墙以及杀毒软件都无法阻挡。但是你知道有效的防御措施是什么吗?
答案就是更新升级。软件的最新版本通常修补了其安全漏洞,至少是其中的大部分。如果某款软件的安全记录很糟糕,尽量不要使用它,请选择一些漏洞较少的软件。
问题在于公司怠于进行软件更新。IE6是一款相当古老的软件,微软差不多已经停止对它的安全更新支持了。1Adobe 8有几十个已经公开的漏洞。这只是我们在比赛中发现的众多软件中的两个。然而,现实是你不得不发布信息,你必须能够自由地告诉别人你的近况。为了减少担忧,你必须确保你和员工都及时更新软件。
1. 由于IE6的安全问题,微软在2011年初发布了一个有关停止使用IE6的倒计时站点(http://www.ie6countdown.com/),建议用户尽快停止使用IE6。——译者注
在竞赛中的打电话环节,如果某个员工透露了公司使用的是Firefox、Chrome或其他安全浏览器,又或者是FoxIt或最新的Adobe软件,参赛者就将无从下手了。我并不是说那些软件本身不存在任何问题,某些版本的漏洞肯定仍然存在,但是这些软件明显要更安全。获得这部分信息还是有价值的,只是如果没有漏洞可以利用的话,就无法启动下一步的攻击了。
及时更新软件这一提醒可能会遭受巨大的抨击,因为它的工作量很大且耗资巨大。在旧版本软件依然在运行的情况下更改内部规则和方法是十分困难的,这可能会引起内部系统的整体转换。
然而,如果公司在安全方面不遗余力,并且要树立员工的个人安全意识,那么渐渐地这些变化就将成为企业文化的一部分。