根据《纽约时报》最近的新闻报道，美国第二大零售商家得宝公司对于其客户数据信息的安全管理是非常宽松和不规范的。其情况到底有多么糟糕?该公司零售商的安全管理人员曾警告其朋友在商店购物消费时最好只使用现金支付。

　　似乎没有任何一个特定的原因能够解释得通为什么家得宝在应对其客户数据信息安全管理方面的进展如此进展缓慢，我认为这应该是由多种因素相综合所导致的。但无论如何：假设这篇新闻报道是准确的话，那么家得宝绝对是不可原谅的。他们应该知道，多年来，零售商早已成为黑客们所专门袭击的目标了。

　　现如今，各大新闻媒体的头条新闻都纷纷将焦点集中到对全美零售商的网络漏洞方面，但另一个威胁则是更加迫在眉睫需要处理的——一些专门针对CRM系统的恶意攻击。

　　几周前，Salesforce通知其顾客，恶意软件Dyre通过专门以大型金融机构的客户数据信息为目标实施攻击，也已经调整其目标，开始瞄准Salesforce的用户了。

　　该款恶意软件并不是针对Salesforce平台内的漏洞;相反，其驻留在受感染的计算机系统，窃取用户的登录凭据信息。据推测，它可以以搭载的方式进入企业系统，使用任何CRM中的应用程序。一旦其获得进入企业系统的入口，企业内部的各种数据可以轻而易举的被盗取，包括：付款信息，客户数据，甚至可能还包括敏感的知识产权信息。而一些企业的企业关系以及企业内部谁拥有采购权等信息也具备相当的价值。

　　“通常，CRM系统将保持并记录与企业有生意往来的其他合作企业的CXO级别的高管们的联系信息。” LogRhythm 实验室的主管David Pack说。利用这些信息，“可以制作一个逼真的鱼叉式网络钓鱼电子邮件，并将这些钓鱼电邮植入潜在的供应链攻击其他企业。”

　　您是否已然开始对此表示担忧了呢?下面，就是您企业可以采取的一些措施，来尽量比例这些恶意攻击。

　　对此，CITEworld采访了一系列的安全专家，请这些安全专家们来探讨一下企业具体可以采取怎样的步骤来保护自己的CRM数据。在开始本话题的探讨之前，我们有一些基本的假设——假设你企业的安全软件并没有过时，同时安全管理团队有权限访问企业所有的网络，包括客户的资料(据报道称这一点家得宝失败的关键)。我们还假设更先进的——但仍然也经常被广泛引用的一些保护措施是可获得的，如双因素认证。

　　换句话说，我们采访了这些专家企业还可以采取哪些措施来保护他们的CRM数据?如下是我们所已经了解的。

　　了解你的任务范围

　　正如阿汤哥在电影《碟中谍1》中所说的那样：“放松，其比你想象的要糟糕得多。”

　　要了解到在攻击向量中，“中间人”是易受攻击的，STEALTHbits Technologies公司的首席技术官Kyle Kennedy说。

　　“不幸的是，当这一切发生的时候，每个人都会埋怨服务提供商，即使其通常是企业的某些粗心的员工的过失如使用了已被病毒感染的家用机与公司的数据进行交互，或者个人愚蠢地点击了某些超链接导致恶意软件被安装在他的商业机器上所导致的。

　　不断提醒员工和合作伙伴相关风险的存在

　　针对这些恶意攻击的风险最好的应对方式是针对企业员工和合作伙伴实施广泛、持续的教育活动。“要确保每个人都清楚的知道一款授权的技术永远都不会问诸如密码方面的问题。”据SingleHop公司的首席运营官Andy Pace表示。“同样，企业员工也必须清楚的认识到绝对不能通过未经认证的发送者所发送的电子邮件访问您企业的CRM系统。”

　　知道保护数据要比保护边界/容器设备更有效

　　鉴于业务流程中数据的传输，企业需要保护数据本身在其生命周期内免受先进攻击的威胁，负责处理Voltage Security公司云产品营销的Trish Reilly表示。

　　“容器设备只保护静态数据——其只能从一个很窄的范围屏蔽数据免受一系列威胁的攻击。在今天的云环境，先进的攻击往往威胁到那些在运动传输中的数据信息——这就导致了必须使用连续的，以数据为中心的方法来减轻这些威胁。”

　　在设备容器中对数据实施加密是一种保护数据信心被删除、盗窃等的一种有价值的手段。Trish Reilly继续说。”如果目的是保护数据及其传输运动(或未知的运动)那么就必须实施更高级别的加密——通过一个数据为中心的方法在应用层实施加密才是更安全的，”她说。

　　选择明智的加密

　　随着越来越多企业急于保护在云中的数据的需求的激增，许多解决方案已经出现，这也带来了安全方面需要的严重的权衡问题，如通过弱加密来实现搜索和数据排序，Reilly也注意到了。

　　企业需要选择那些经过了供应商验证过的安全与独立的验证加密方法，她说。

　　有明确的审计和透明度

　　企业主管需要对企业内部谁从何处采用什么设备执行了怎样的操作有一个清晰的了解，FireLayers的安全工程管理负责人Boris Gorin说。

　　“检测到任何异常行为，并及时排查是至关重要的，如：发现‘管理员’半夜从中国登录，以及任何潜在的或实际的违约行为均需要进行调查。”

　　确保只有被需要的信息才能被访问到

　　确保每个用户只能访问他们所需要的信息。这将有助于限制客户信息被暴露。

　　同样，绝对不要建立一个群组账户;每个账户均需要为每个用户单独设立，做到专人专用，SingleHop的Pace说。“这可以让你企业确保具备良好的额问责制，和更容易隔离违规账户。”

　　添加VPN和IP适用范围的限制，他补充说。“许多用户只能从工作场所访问CRM系统，而每个用户应该有他们的VPN访问限制。”

　　利用DLP取得主动

　　企业IT可以通过使用数据丢失防护系统(DLP)来防止终端水平的恶意软件事故， Cososys公司的首席执行官Roman Foeckl说。

　　“DLP技术应该被结合起来使用，这意味着其应该在数据在传输运动过程中、静态状态下、以及数据在被使用的情况下，采用DLP技术来实施数据保护。”他说。在静态状态下主动扫描数据，以确定端点是否特别脆弱，毕竟有大量的CRM数据驻留在其上面。

　　重视移动终端

　　移动终端——包括智能手机和平板电脑——也需要有一个MDM解决方案，由于CRM数据可以通过这些移动终端被访问，同时还有大量数据信息是存储在这些移动终端设备上的，Foeckl补充说。

　　确保正确的数据备份和恢复解决方案

　　Spanning公司的首席执行官Jeff Erramouspe说，Salesforce大多数的企业客户均是要么并没有任何数据保护方面的管理措施，要么是最多使用Salesforce每周发送的报告。企业每天都需要自动备份相关的数据信息，以确保这些数据在最坏的情况下能够恢复，以保证企业业务的连续性，”他说。