安全錯誤導(dǎo)致漏洞頻發(fā)

引言：最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞，秘密進(jìn)入并長期收集和竊取有價值的數(shù)據(jù)，用最少的代價賺取最大的經(jīng)濟(jì)利益。

最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。雖然仍有某些攻擊者炫耀自己破壞最強(qiáng)大的加密機(jī)制的能力，但大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞，其目的是秘密進(jìn)入并長期收集和竊取有價值的數(shù)據(jù)，用最少的代價賺取最大的經(jīng)濟(jì)利益。

安全團(tuán)隊的一個重要責(zé)任是保證攻擊者難以進(jìn)入企業(yè)網(wǎng)絡(luò)和訪問內(nèi)部敏感數(shù)據(jù)。不幸的是，有時幾乎不可能阻止攻擊的發(fā)生，但安全團(tuán)隊需要有一套計劃可以使影響最小化。有時，如果由于一個小錯誤或一個被忽視的策略而導(dǎo)致了攻擊，那么認(rèn)識到這些問題的可避免性就顯得非常重要。為使安全團(tuán)隊更好地理解如何才能培育安全第一的文化氛圍和清除潛在的漏洞，在此提出幾個可以避免的安全錯誤。

不升級

軟件廠商在發(fā)現(xiàn)軟件漏洞后，在第三方幫助發(fā)現(xiàn)漏洞后，如不及時發(fā)布更新或補(bǔ)丁，就有可能導(dǎo)致攻擊。

這種更新可能來自很多方面，其中包括反病毒軟件，或來自操作系統(tǒng)自身。無論來自何種途徑，用戶及時安裝更新以防止病毒找到進(jìn)入系統(tǒng)的方法是很重要的。同樣的觀念也適用于智能手機(jī)、平板電腦以及其他設(shè)備。如果公司有專業(yè)的IT團(tuán)隊，就應(yīng)積極地查找更新和補(bǔ)丁，并盡可能地及時安裝，但是訓(xùn)練員工經(jīng)常檢查更新以保護(hù)自己和公司的利益是大有裨益的。

安全團(tuán)隊不能指望員工不犯錯誤，而且，你不能指望常識，因?yàn)樵谏婕暗郊夹g(shù)問題時，并非每個人都能理解為什么要那樣處理問題。這正是要求雇員遵循策略的一個原因，但是如果策略并不強(qiáng)健也不易實(shí)施，就不會對企業(yè)帶來任何好處。

安全團(tuán)隊要確保雇員經(jīng)常改變口令，并且給予他們最少的復(fù)雜性要求；要確定哪些類型的信息可以通過雇員的自有設(shè)備訪問，并且建立文件共享的具體指南；要向員工解釋為什么敏感信息不能通過電子郵件發(fā)送，以及內(nèi)部的公司數(shù)據(jù)絕對不能通過個人郵件發(fā)送的原因；要建立身份和文件管理的規(guī)則，使雇員可輕松登錄系統(tǒng)，同時還要使IT能記錄其訪問軌跡。還有很多其他的例子，但關(guān)鍵是考慮到公司每天面臨的風(fēng)險，并且制定好策略，以使這些風(fēng)險最少化。

沒有正確理解風(fēng)險

準(zhǔn)備好策略是問題的一方面，但如果用戶并沒有完全理解與沒有在第一時間準(zhǔn)備好策略的有關(guān)風(fēng)險，策略最終僅僅是紙上的文字。只要企業(yè)理解和認(rèn)識到風(fēng)險，就可以決定如何應(yīng)對風(fēng)險：接受風(fēng)險、由第三方解決方案、準(zhǔn)備行動計劃，或是修復(fù)計劃。但企業(yè)發(fā)現(xiàn)了威脅，卻認(rèn)識到自己并沒有什么行動計劃進(jìn)行應(yīng)對。如果企業(yè)并不知道風(fēng)險是什么，就不能以最高效的方式來應(yīng)對風(fēng)險。這才是真正的弱點(diǎn)。

如果公司并不理解潛在風(fēng)險并確定其優(yōu)先次序，就可能導(dǎo)致優(yōu)先處理了最不重要的問題，卻忽視了最關(guān)鍵的風(fēng)險。另外，在需要外部幫助時，由此還可能使用錯誤的資源進(jìn)行響應(yīng)和確認(rèn)。如果將注意力放在了漏洞的錯誤方面，則可能使問題更嚴(yán)重，或造成全新的問題。關(guān)鍵在于，要知道如果一種安全風(fēng)險超出了管理者的能力，就要尋求風(fēng)險管理專家的建議，幫助其看到威脅狀況，并且制定強(qiáng)健的易于實(shí)施的有效計劃。

人員支持不足

知道何時尋求第三方的幫助也可以擴(kuò)展到全面的IT領(lǐng)域。云計算和其他面向外包技術(shù)的出現(xiàn)，公司就有可能不再關(guān)注傳統(tǒng)IT的重要性。即使對于外包，內(nèi)部人員完全理解內(nèi)部系統(tǒng)和基礎(chǔ)架構(gòu)，并快速響應(yīng)潛在的安全問題。如果公司容易面臨某些安全問題，就需要確保雇員得到相應(yīng)培訓(xùn)。

如果企業(yè)并不愿意花錢請熟練的IT專家，就應(yīng)尋求能提供其專業(yè)技術(shù)甚至提供全天候監(jiān)視的管理服務(wù)供應(yīng)商。但無論選擇哪種方法，都需要確保有足夠的人員處理足夠的業(yè)務(wù)。如果發(fā)生攻擊，人員短缺只會使問題惡化，或者打開新漏洞。

缺乏培訓(xùn)

企業(yè)不僅需要使員工理解風(fēng)險，還要為員工建立基礎(chǔ)，使其樹立安全第一的思想。有些公司采取的方法是召開安全教育會議，就企業(yè)中最重大的安全威脅向員工講授最新課程。

有時，企業(yè)仍需要為內(nèi)部的某些雇員提供較多的信息。如果雇員經(jīng)常與敏感信息打交道，那么這些員工就應(yīng)該得到正確的培訓(xùn)，甚至在特定的安全協(xié)議中保證能夠安全工作。例如，對于金融機(jī)構(gòu)而言，這意味著要理解PCI的合規(guī)。如果員工遵循了如何正確地處理數(shù)據(jù)的規(guī)則，就不太可能將數(shù)據(jù)置于風(fēng)險中。

幾乎沒有或完全不加密

很多公司并未充分實(shí)施加密用以保護(hù)自身。加密不但可以確保在外部攻擊者進(jìn)入后不能訪問某些文件，而且對于外部通信和數(shù)據(jù)傳輸來說更加重要。例如，電子郵件就需要安裝加密工具，其目的是為防止別有用心的人嗅探數(shù)據(jù)。企業(yè)在選擇產(chǎn)品時，能夠與廠商和服務(wù)供應(yīng)商進(jìn)行交流以確保其是否提供類似的加密工具是很重要的，因?yàn)槠髽I(yè)不可能總是依賴雇員自己加密數(shù)據(jù)。

弱認(rèn)證

認(rèn)證是一個不斷演變的極重要的安全措施，然而很多公司并未充分利用。例如，實(shí)際上存在一些USB密鑰，可插入到計算機(jī)中并用于認(rèn)證引擎。只需簡單的觸碰或一個口令，就可以安全地訪問所有的應(yīng)用和賬戶。

當(dāng)然，企業(yè)還可能犯別的錯誤，如未要求雇員使用內(nèi)建于移動設(shè)備中的安全特性。其實(shí)，用戶可以使用一些很明顯的安全工具或深入挖掘一些隱藏的功能。