工作場所中的網路郵件 另一個安全威脅(轉)

工作場所中的網路郵件 另一個安全威脅(轉)[@more@]出處：賽迪網

賽門鐵克公司的高階經理Javier Santoyo解釋說，網路郵件不受針對透過公司內部的電子郵件傳輸的安全措施的控制，它直接到達使用者桌面，因而對公司資訊保安造成了額外的威脅。“網路郵件開啟了通往公司組織的後門，並且得依靠使用者來阻止對系統的攻擊或者感染，”他繼續說。

根據一個安全公司本週釋出的調查顯示，如果不限制從辦公室訪問個人網路電子郵件的話，它將對商務活動造成安全風險，而這種風險被人們大大地忽略了。

根據網際網路安全跟蹤入口網站，總部在英國的Marshal所進行的一項調查表明，242位受訪者中的48%稱他們公司不限制他們在工作場所開啟個人網路郵件。

“很少的公司——確實有相關的允許對網路郵件訪問的理由——但是卻有很多理由來禁止在工作場所開啟網路郵件,”Marshal公司的CEO ED Macnair在一次演講中說。

“網路郵件,”他繼續說，“將是僱員交換企業私有資訊，下載或交換不適當的資料或者只是在工作時間和他們的朋友聊天的後門。”

“48%的公司沒有適當的阻止此類問題的措施，這個比例太高了。”他宣稱。

危險的企業

在任何擁有很多智慧財產權的組織內允許僱員登陸網路郵件都是風險很大的，Javier Santoyo提醒道。

“很大比例的惡意攻擊都是攻擊瀏覽器的，”他說。“即使像Hotmail,Yahoo（Nasdaq:YHOO）和Google（Nasdaq:GOOG）這樣的公司，也都在修改他們的網路郵件以使它們更安全，感染使用者的最有效方法就是透過電子郵件。”

Santoyo解釋說，網路郵件不受針對透過公司內部的電子郵件傳輸的安全措施的控制，它直接到達使用者桌面，因而對公司資訊保安造成了額外的威脅。

“網路郵件開啟了通往公司組織的後門，並且得依靠使用者來阻止對系統的攻擊或者感染，”他繼續說。

網路郵件 也是安全風險，因為它通常都是網頁格式，或者HTML，而不是無格式文字，卡巴斯基實驗室的高階技術顧問Shane Coursen稱。

“電子郵件本身就可以包含指令碼語言，因此HTML電子郵件存在威脅性，”他告訴TechNewsWorld說。“它們不需要使用者過多介入，就可以允許駭客感染計算機。”

根據StillSecure的CTO Mitchell Ashley稱，儘管一些公司意識到了網路郵件的危險性，但是他們沒有怎麼處理這個問題。

“很多組織也許都有可以接受的使用策略，但是他們沒有積極地執行這些策略，”他說。

不受重視的威脅

“一些公司確實是用了比如Web過濾器此類的工具來監控僱員的活動，並且執行紀律措施，但是那主要是為了發現進入企業內部的色情資訊，”Ashley提醒說。

“網路郵件就像即時訊息，”他繼續說，“只是，它不被提及也不被注意。”

“僱員們可以透過訪問網路郵件 來在家以外的地方做自己的買賣。”

“人們已經有點注意它了，”他補充道，“但是關注的程度遠遠不夠。”

規模問題

ADNET Technologies的CEO及總裁Edward Laprade說，對這個問題的關注程度主要取決於公司的規模。ADNET是美國康涅狄格州Windsor的一家系統整合商，他們的客戶大部分都是中小型企業。

“前1000強的公司非常注意他們的僱員在做什麼，”他說，“但是如果是那些中小型企業話，他們就並不特別關注他們的僱員在用郵件做些什麼。”

危險與否，不是所有的安全專家都認為各類公司應當禁止僱員訪問網路郵件。

加利福尼亞聖克拉拉的White Hat 安全公司的CTO Jeremiah Grossman評論說，如果僱員懷有不良動機，關閉網路郵件也無濟於事。

監視勝過阻止

“如果一個內部人員確實心懷不軌，他們會想盡辦法來將資訊帶出去，”Grossman說。“完全阻擋這個渠道，那麼你有可能就是在切斷自己監視對公司不利行為的視窗。”

“如果你監視僱員的活動而不是禁止，那麼你更有可能控制局面並禁止不利行為，”他補充說。

總部在費城的網路監控軟體開發商Ascente的CEO Adam Schran說，監視是公司在採取網路郵件政策時的兩種極端選擇之間的折衷選擇。

“你可以阻擋所有人並且把你的僱員當孩子般對待，或者可以允許訪問，使公司處於風險之中，”他說。“監控使公司允許訪問網路郵件，但可以詳細審查僱員的活動。”