• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      安全錯誤導(dǎo)致漏洞頻發(fā)

      2017-03-08 22:45:08
      網(wǎng)絡(luò)安全和信息化 2017年7期
      關(guān)鍵詞:雇員攻擊者漏洞

      引言:最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞,秘密進(jìn)入并長期收集和竊取有價值的數(shù)據(jù),用最少的代價賺取最大的經(jīng)濟(jì)利益。

      最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。雖然仍有某些攻擊者炫耀自己破壞最強(qiáng)大的加密機(jī)制的能力,但大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞,其目的是秘密進(jìn)入并長期收集和竊取有價值的數(shù)據(jù),用最少的代價賺取最大的經(jīng)濟(jì)利益。

      安全團(tuán)隊的一個重要責(zé)任是保證攻擊者難以進(jìn)入企業(yè)網(wǎng)絡(luò)和訪問內(nèi)部敏感數(shù)據(jù)。不幸的是,有時幾乎不可能阻止攻擊的發(fā)生,但安全團(tuán)隊需要有一套計劃可以使影響最小化。有時,如果由于一個小錯誤或一個被忽視的策略而導(dǎo)致了攻擊,那么認(rèn)識到這些問題的可避免性就顯得非常重要。為使安全團(tuán)隊更好地理解如何才能培育安全第一的文化氛圍和清除潛在的漏洞,在此提出幾個可以避免的安全錯誤。

      不升級

      軟件廠商在發(fā)現(xiàn)軟件漏洞后,在第三方幫助發(fā)現(xiàn)漏洞后,如不及時發(fā)布更新或補(bǔ)丁,就有可能導(dǎo)致攻擊。

      這種更新可能來自很多方面,其中包括反病毒軟件,或來自操作系統(tǒng)自身。無論來自何種途徑,用戶及時安裝更新以防止病毒找到進(jìn)入系統(tǒng)的方法是很重要的。同樣的觀念也適用于智能手機(jī)、平板電腦以及其他設(shè)備。如果公司有專業(yè)的IT團(tuán)隊,就應(yīng)積極地查找更新和補(bǔ)丁,并盡可能地及時安裝,但是訓(xùn)練員工經(jīng)常檢查更新以保護(hù)自己和公司的利益是大有裨益的。

      安全團(tuán)隊不能指望員工不犯錯誤,而且,你不能指望常識,因?yàn)樵谏婕暗郊夹g(shù)問題時,并非每個人都能理解為什么要那樣處理問題。這正是要求雇員遵循策略的一個原因,但是如果策略并不強(qiáng)健也不易實(shí)施,就不會對企業(yè)帶來任何好處。

      安全團(tuán)隊要確保雇員經(jīng)常改變口令,并且給予他們最少的復(fù)雜性要求;要確定哪些類型的信息可以通過雇員的自有設(shè)備訪問,并且建立文件共享的具體指南;要向員工解釋為什么敏感信息不能通過電子郵件發(fā)送,以及內(nèi)部的公司數(shù)據(jù)絕對不能通過個人郵件發(fā)送的原因;要建立身份和文件管理的規(guī)則,使雇員可輕松登錄系統(tǒng),同時還要使IT能記錄其訪問軌跡。還有很多其他的例子,但關(guān)鍵是考慮到公司每天面臨的風(fēng)險,并且制定好策略,以使這些風(fēng)險最少化。

      沒有正確理解風(fēng)險

      準(zhǔn)備好策略是問題的一方面,但如果用戶并沒有完全理解與沒有在第一時間準(zhǔn)備好策略的有關(guān)風(fēng)險,策略最終僅僅是紙上的文字。只要企業(yè)理解和認(rèn)識到風(fēng)險,就可以決定如何應(yīng)對風(fēng)險:接受風(fēng)險、由第三方解決方案、準(zhǔn)備行動計劃,或是修復(fù)計劃。但企業(yè)發(fā)現(xiàn)了威脅,卻認(rèn)識到自己并沒有什么行動計劃進(jìn)行應(yīng)對。如果企業(yè)并不知道風(fēng)險是什么,就不能以最高效的方式來應(yīng)對風(fēng)險。這才是真正的弱點(diǎn)。

      如果公司并不理解潛在風(fēng)險并確定其優(yōu)先次序,就可能導(dǎo)致優(yōu)先處理了最不重要的問題,卻忽視了最關(guān)鍵的風(fēng)險。另外,在需要外部幫助時,由此還可能使用錯誤的資源進(jìn)行響應(yīng)和確認(rèn)。如果將注意力放在了漏洞的錯誤方面,則可能使問題更嚴(yán)重,或造成全新的問題。關(guān)鍵在于,要知道如果一種安全風(fēng)險超出了管理者的能力,就要尋求風(fēng)險管理專家的建議,幫助其看到威脅狀況,并且制定強(qiáng)健的易于實(shí)施的有效計劃。

      人員支持不足

      知道何時尋求第三方的幫助也可以擴(kuò)展到全面的IT領(lǐng)域。云計算和其他面向外包技術(shù)的出現(xiàn),公司就有可能不再關(guān)注傳統(tǒng)IT的重要性。即使對于外包,內(nèi)部人員完全理解內(nèi)部系統(tǒng)和基礎(chǔ)架構(gòu),并快速響應(yīng)潛在的安全問題。如果公司容易面臨某些安全問題,就需要確保雇員得到相應(yīng)培訓(xùn)。

      如果企業(yè)并不愿意花錢請熟練的IT專家,就應(yīng)尋求能提供其專業(yè)技術(shù)甚至提供全天候監(jiān)視的管理服務(wù)供應(yīng)商。但無論選擇哪種方法,都需要確保有足夠的人員處理足夠的業(yè)務(wù)。如果發(fā)生攻擊,人員短缺只會使問題惡化,或者打開新漏洞。

      缺乏培訓(xùn)

      企業(yè)不僅需要使員工理解風(fēng)險,還要為員工建立基礎(chǔ),使其樹立安全第一的思想。有些公司采取的方法是召開安全教育會議,就企業(yè)中最重大的安全威脅向員工講授最新課程。

      有時,企業(yè)仍需要為內(nèi)部的某些雇員提供較多的信息。如果雇員經(jīng)常與敏感信息打交道,那么這些員工就應(yīng)該得到正確的培訓(xùn),甚至在特定的安全協(xié)議中保證能夠安全工作。例如,對于金融機(jī)構(gòu)而言,這意味著要理解PCI的合規(guī)。如果員工遵循了如何正確地處理數(shù)據(jù)的規(guī)則,就不太可能將數(shù)據(jù)置于風(fēng)險中。

      幾乎沒有或完全不加密

      很多公司并未充分實(shí)施加密用以保護(hù)自身。加密不但可以確保在外部攻擊者進(jìn)入后不能訪問某些文件,而且對于外部通信和數(shù)據(jù)傳輸來說更加重要。例如,電子郵件就需要安裝加密工具,其目的是為防止別有用心的人嗅探數(shù)據(jù)。企業(yè)在選擇產(chǎn)品時,能夠與廠商和服務(wù)供應(yīng)商進(jìn)行交流以確保其是否提供類似的加密工具是很重要的,因?yàn)槠髽I(yè)不可能總是依賴雇員自己加密數(shù)據(jù)。

      弱認(rèn)證

      認(rèn)證是一個不斷演變的極重要的安全措施,然而很多公司并未充分利用。例如,實(shí)際上存在一些USB密鑰,可插入到計算機(jī)中并用于認(rèn)證引擎。只需簡單的觸碰或一個口令,就可以安全地訪問所有的應(yīng)用和賬戶。

      當(dāng)然,企業(yè)還可能犯別的錯誤,如未要求雇員使用內(nèi)建于移動設(shè)備中的安全特性。其實(shí),用戶可以使用一些很明顯的安全工具或深入挖掘一些隱藏的功能。

      猜你喜歡
      雇員攻擊者漏洞
      漏洞
      基于微分博弈的追逃問題最優(yōu)策略設(shè)計
      正面迎接批判
      愛你(2018年16期)2018-06-21 03:28:44
      淺談海外項(xiàng)目當(dāng)?shù)毓蛦T管理和風(fēng)險處理
      三明:“兩票制”堵住加價漏洞
      香港破產(chǎn)機(jī)制中的雇員權(quán)利及其保障
      漏洞在哪兒
      兒童時代(2016年6期)2016-09-14 04:54:43
      高鐵急救應(yīng)補(bǔ)齊三漏洞
      有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
      臺媒:美企CEO薪酬是雇員300倍 迪士尼差距最大等4則
      海峽姐妹(2015年4期)2015-02-27 15:10:26
      鄢陵县| 民勤县| 佛坪县| 社会| 禄丰县| 盐亭县| 车险| 漯河市| 霍城县| 淅川县| 昌邑市| 九龙城区| 楚雄市| 大宁县| 苗栗市| 原平市| 九龙城区| 皋兰县| 理塘县| 盘山县| 安化县| 阜康市| 九寨沟县| 德格县| 铁岭市| 金湖县| 吉林市| 克什克腾旗| 同心县| 奇台县| 昭平县| 扶余县| 虞城县| 新邵县| 山阳县| 永平县| 贡山| 沐川县| 镇康县| 恩施市| 马鞍山市|