安全專家只能做這么多。想象一下全球銀行、研究機(jī)構(gòu)的復(fù)雜系統(tǒng)——過多的攝像頭、警衛(wèi)、運(yùn)動(dòng)探測器、重量傳感器、激光和故障保險(xiǎn)裝置。

但是，如果有人打開金庫門會(huì)發(fā)生什么？

同樣，服務(wù)器和網(wǎng)絡(luò)安全措施也只能做到這一點(diǎn)。攻擊者不需要設(shè)計(jì)復(fù)雜且技術(shù)含量高的方法來滲透您的企業(yè)基礎(chǔ)設(shè)施：他們只需要誘使有些容易上當(dāng)或分心的員工點(diǎn)擊鏈接或打開附件。

無論員工是故意行為還是不知情和粗心，所有攻擊中有 60%來自內(nèi)部。會(huì)計(jì)師、系統(tǒng)管理員或 C 級(jí)主管可能會(huì)暴露漏洞，其結(jié)果可能會(huì)導(dǎo)致公司因停機(jī)、銷售損失和品牌聲譽(yù)受損而損失數(shù)百萬美元。

IT 團(tuán)隊(duì)可以通過遵循現(xiàn)場硬件、應(yīng)用程序和網(wǎng)站的行業(yè)最佳實(shí)踐，采取所有現(xiàn)代預(yù)防措施來彌補(bǔ)任何潛在的漏洞。采用這樣值得信賴的托管服務(wù)提供商會(huì)以高接觸、個(gè)性化的托管服務(wù)和最先進(jìn)的DDoS 保護(hù)的形式提供更強(qiáng)大的保護(hù)。但這可能不足以保護(hù)您的組織免受因錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)釣魚計(jì)劃或勒索軟件攻擊而墮落的善意員工的侵害。

強(qiáng)制使用強(qiáng)密碼

這個(gè)似乎很明顯 - 并且相對(duì)容易控制。但即使在 2016 年，也有近三分之二的數(shù)據(jù)泄露涉及利用弱密碼、被盜密碼或默認(rèn)密碼。作為抵御攻擊的第一道防線，確保您的員工遵循嚴(yán)格的身份驗(yàn)證做法是保護(hù)公司敏感數(shù)據(jù)的關(guān)鍵。

就什么構(gòu)成強(qiáng)密碼對(duì)員工進(jìn)行教育，并強(qiáng)制執(zhí)行您實(shí)施的標(biāo)準(zhǔn)。密碼應(yīng)該是大小寫字母、數(shù)字和符號(hào)的唯一且冗長的組合，您可以禁止用戶使用容易猜到的信息，例如他們的名字或姓氏、公司名稱，甚至是粗心的密碼，例如“密碼” '或'1234'。

一旦更強(qiáng)的密碼規(guī)則生效，要求員工定期更新和更改關(guān)鍵密碼。您可以鼓勵(lì)用戶使用密碼管理程序來幫助他們掌握訪問權(quán)限。

當(dāng)不同級(jí)別的員工需要對(duì)某些應(yīng)用程序和軟件進(jìn)行不同級(jí)別的訪問時(shí)，密碼管理會(huì)變得更加復(fù)雜。定期評(píng)估用戶權(quán)限，并確保僅向真正需要的人授予訪問權(quán)限。當(dāng)然，在員工離開公司時(shí)主動(dòng)管理登錄權(quán)限和共享密碼——即使分手的條件很好。

對(duì)員工進(jìn)行網(wǎng)絡(luò)釣魚教育和測試

我們?cè)缫堰^了不公正流放的尼日利亞王子向那些愿意為他出逃的人提供他的家庭財(cái)產(chǎn)的日子。電子郵件網(wǎng)絡(luò)釣魚是通過發(fā)送欺詐性電子郵件并通常冒充知名公司或目標(biāo)受害者認(rèn)識(shí)的人來獲取敏感信息（想想用戶名、密碼、信用卡號(hào)和其他類型的個(gè)人數(shù)據(jù)）的嘗試。

多年來，網(wǎng)絡(luò)釣魚攻擊變得更加微妙和難以檢測，即使對(duì)于 Office 365 和 G Suite 使用的過濾器和保護(hù)措施也是如此。攻擊者將定制消息以利用電子郵件客戶端和流行在線平臺(tái)中的特定弱點(diǎn)。近年來，電子郵件網(wǎng)絡(luò)釣魚取得了一些引人注目的勝利，使索尼影業(yè)和希拉里·克林頓 2016 年總統(tǒng)競選活動(dòng)的電子郵件被泄露。事實(shí)上，后一種嘗試甚至愚弄了競選團(tuán)隊(duì)的計(jì)算機(jī)服務(wù)臺(tái)。

攻擊者更頻繁地針對(duì)企業(yè)和組織而不是隨機(jī)個(gè)人，并且經(jīng)常使用滲透來啟動(dòng)勒索軟件攻擊。個(gè)性化的電子郵件、縮短的鏈接和虛假的登錄表單都用來誘騙用戶共享敏感的登錄信息或網(wǎng)絡(luò)訪問。

培訓(xùn)員工了解現(xiàn)代網(wǎng)絡(luò)釣魚詐騙以及如何發(fā)現(xiàn)它們。實(shí)施使員工能夠報(bào)告可能有害的消息的流程，并考慮部署運(yùn)行網(wǎng)絡(luò)釣魚模擬或使用人工智能或機(jī)器學(xué)習(xí)來檢測欺騙發(fā)件人、惡意代碼或奇怪字符集的服務(wù)。

防止人為錯(cuò)誤

當(dāng)然，沒有人是完美的。錯(cuò)誤發(fā)生了，而且往往沒有一絲惡意和內(nèi)部人員的失誤。然而，鑒于員工可以訪問敏感數(shù)據(jù)，最輕微的錯(cuò)誤可能會(huì)導(dǎo)致災(zāi)難性的后果。

簡單的、愚蠢的錯(cuò)誤的威脅困擾著大大小小的企業(yè)。甚至亞馬遜也指責(zé)一名員工在 2017 年無意中導(dǎo)致了亞馬遜網(wǎng)絡(luò)服務(wù)的重大中斷。幾年前，一名蘋果軟件工程師錯(cuò)誤地將備受期待的 iPhone 4的原型留在了酒吧。

無論您的員工是在處理重要數(shù)據(jù)還是設(shè)備，培訓(xùn)和意識(shí)對(duì)于促進(jìn)穩(wěn)定和安全的運(yùn)營都至關(guān)重要。一個(gè)組織的強(qiáng)大取決于其最薄弱的環(huán)節(jié)，一個(gè)簡單的失誤可能會(huì)產(chǎn)生重大后果。

通過實(shí)施嚴(yán)格的編碼標(biāo)準(zhǔn)、質(zhì)量保證檢查和備份來保護(hù)您的組織。仔細(xì)查看用戶權(quán)限和訪問權(quán)限，以防止員工無意中更改系統(tǒng)或意外下載或安裝未經(jīng)授權(quán)的軟件。考慮如何在整個(gè)組織中處理公司設(shè)備和敏感數(shù)據(jù)，并為最壞的情況做好準(zhǔn)備。

保持警惕并依靠專家

盡管稀有的弱密碼或未使用的管理員帳戶可能不會(huì)對(duì)您的公司構(gòu)成直接威脅，但任何安全疏忽都可能立即導(dǎo)致災(zāi)難性后果。在保護(hù)您的業(yè)務(wù)基礎(chǔ)設(shè)施、設(shè)備和數(shù)據(jù)方面采取全面行動(dòng)——從內(nèi)到外。很樂意保護(hù)和監(jiān)控您的系統(tǒng)，以便在漏洞被利用之前主動(dòng)診斷和修補(bǔ)漏洞，但全面的安全性超出了我們的服務(wù)器強(qiáng)化、托管備份和可擴(kuò)展的 DDoS 保護(hù)服務(wù)。安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)，所以請(qǐng)大家聚在一起，讓我們?yōu)槟慕M織制定安全游戲計(jì)劃。