安全錯誤導致漏洞頻發

引言：最薄弱的環節決定了系統的安全程度。大多數攻擊者主要是關注目標系統的基礎架構并且找到可以利用的漏洞，秘密進入并長期收集和竊取有價值的數據，用最少的代價賺取最大的經濟利益。

最薄弱的環節決定了系統的安全程度。雖然仍有某些攻擊者炫耀自己破壞最強大的加密機制的能力，但大多數攻擊者主要是關注目標系統的基礎架構并且找到可以利用的漏洞，其目的是秘密進入并長期收集和竊取有價值的數據，用最少的代價賺取最大的經濟利益。

安全團隊的一個重要責任是保證攻擊者難以進入企業網絡和訪問內部敏感數據。不幸的是，有時幾乎不可能阻止攻擊的發生，但安全團隊需要有一套計劃可以使影響最小化。有時，如果由于一個小錯誤或一個被忽視的策略而導致了攻擊，那么認識到這些問題的可避免性就顯得非常重要。為使安全團隊更好地理解如何才能培育安全第一的文化氛圍和清除潛在的漏洞，在此提出幾個可以避免的安全錯誤。

不升級

軟件廠商在發現軟件漏洞后，在第三方幫助發現漏洞后，如不及時發布更新或補丁，就有可能導致攻擊。

這種更新可能來自很多方面，其中包括反病毒軟件，或來自操作系統自身。無論來自何種途徑，用戶及時安裝更新以防止病毒找到進入系統的方法是很重要的。同樣的觀念也適用于智能手機、平板電腦以及其他設備。如果公司有專業的IT團隊，就應積極地查找更新和補丁，并盡可能地及時安裝，但是訓練員工經常檢查更新以保護自己和公司的利益是大有裨益的。

安全團隊不能指望員工不犯錯誤，而且，你不能指望常識，因為在涉及到技術問題時，并非每個人都能理解為什么要那樣處理問題。這正是要求雇員遵循策略的一個原因，但是如果策略并不強健也不易實施，就不會對企業帶來任何好處。

安全團隊要確保雇員經常改變口令，并且給予他們最少的復雜性要求；要確定哪些類型的信息可以通過雇員的自有設備訪問，并且建立文件共享的具體指南；要向員工解釋為什么敏感信息不能通過電子郵件發送，以及內部的公司數據絕對不能通過個人郵件發送的原因；要建立身份和文件管理的規則，使雇員可輕松登錄系統，同時還要使IT能記錄其訪問軌跡。還有很多其他的例子，但關鍵是考慮到公司每天面臨的風險，并且制定好策略，以使這些風險最少化。

沒有正確理解風險

準備好策略是問題的一方面，但如果用戶并沒有完全理解與沒有在第一時間準備好策略的有關風險，策略最終僅僅是紙上的文字。只要企業理解和認識到風險，就可以決定如何應對風險：接受風險、由第三方解決方案、準備行動計劃，或是修復計劃。但企業發現了威脅，卻認識到自己并沒有什么行動計劃進行應對。如果企業并不知道風險是什么，就不能以最高效的方式來應對風險。這才是真正的弱點。

如果公司并不理解潛在風險并確定其優先次序，就可能導致優先處理了最不重要的問題，卻忽視了最關鍵的風險。另外，在需要外部幫助時，由此還可能使用錯誤的資源進行響應和確認。如果將注意力放在了漏洞的錯誤方面，則可能使問題更嚴重，或造成全新的問題。關鍵在于，要知道如果一種安全風險超出了管理者的能力，就要尋求風險管理專家的建議，幫助其看到威脅狀況，并且制定強健的易于實施的有效計劃。

人員支持不足

知道何時尋求第三方的幫助也可以擴展到全面的IT領域。云計算和其他面向外包技術的出現，公司就有可能不再關注傳統IT的重要性。即使對于外包，內部人員完全理解內部系統和基礎架構，并快速響應潛在的安全問題。如果公司容易面臨某些安全問題，就需要確保雇員得到相應培訓。

如果企業并不愿意花錢請熟練的IT專家，就應尋求能提供其專業技術甚至提供全天候監視的管理服務供應商。但無論選擇哪種方法，都需要確保有足夠的人員處理足夠的業務。如果發生攻擊，人員短缺只會使問題惡化，或者打開新漏洞。

缺乏培訓

企業不僅需要使員工理解風險，還要為員工建立基礎，使其樹立安全第一的思想。有些公司采取的方法是召開安全教育會議，就企業中最重大的安全威脅向員工講授最新課程。

有時，企業仍需要為內部的某些雇員提供較多的信息。如果雇員經常與敏感信息打交道，那么這些員工就應該得到正確的培訓，甚至在特定的安全協議中保證能夠安全工作。例如，對于金融機構而言，這意味著要理解PCI的合規。如果員工遵循了如何正確地處理數據的規則，就不太可能將數據置于風險中。

幾乎沒有或完全不加密

很多公司并未充分實施加密用以保護自身。加密不但可以確保在外部攻擊者進入后不能訪問某些文件，而且對于外部通信和數據傳輸來說更加重要。例如，電子郵件就需要安裝加密工具，其目的是為防止別有用心的人嗅探數據。企業在選擇產品時，能夠與廠商和服務供應商進行交流以確保其是否提供類似的加密工具是很重要的，因為企業不可能總是依賴雇員自己加密數據。

弱認證

認證是一個不斷演變的極重要的安全措施，然而很多公司并未充分利用。例如，實際上存在一些USB密鑰，可插入到計算機中并用于認證引擎。只需簡單的觸碰或一個口令，就可以安全地訪問所有的應用和賬戶。

當然，企業還可能犯別的錯誤，如未要求雇員使用內建于移動設備中的安全特性。其實，用戶可以使用一些很明顯的安全工具或深入挖掘一些隱藏的功能。