最近的研究安全漏洞得出了同样的结论:对组织来说,人的因素比技术缺陷的风险更大。
大多数专家认为,这在很大程度上是由于缺乏安全意识——人们不是没有意识到日益复杂的威胁,就是变得粗心大意。
当然,没有100%的安全。但是,如果每个组织的各级员工都能避免下面列出的常见安全意识错误,情况就会好得多。
该列表是在几位安全专家的帮助下生成的,他们还就组织如何最小化甚至消除它们提供了建议:
1.下降为网络钓鱼:最常见的错误之一。它包括在钓鱼邮件、Facebook和Twitter等社交媒体网站上点击恶意链接或附件,甚至在看似合法的网站上点击“广告”。罪犯们更擅长把这些假东西做得像来自朋友、家人或知名公司,比如那些把产品送到你家的公司。
解决办法:定期培训员工,让他们对一切都持怀疑态度,并且只点击那些他们确信来自可靠发送者的链接。组织应该运行他们自己的“钓鱼”行动,看看有多少员工被内部网络钓鱼攻击欺骗。它将提高那些信以为真的工人的意识。
企业管理协会(Enterprise Management Associates)安全与风险管理研究主管戴维•莫纳汉(David Monahan)警告称,即使是来自可信的朋友或家人的电子邮件也可能是假的。
“这是不是不符合他们的性格?”如果是,不要点击它,”他说。
此外,任何要求你“验证”你的证书的电子邮件很可能是恶意的。如果你认为值得检查,打电话给该公司或去它的网站。
Unisys的首席信息官Dave Frymier补充说,市场上有很多安全意识产品可以帮助培训。
2.未经授权的应用程序或云的使用,称为它的影子:Dan Lohrmann是安全顾问公司的首席策略师和首席信息官,他说,这包括将私有或未控制的数据发布到云上。
Frymier表示同意。“这有很多种形式,”他说。“从安装‘gotomypc’到购买云虚拟机并将其用于企业目的,都可以。我很惊讶人们怎么会在没有意识到危险的情况下做这些事情。”
解决办法:“例如,这提供了一个合理的云存储解决方案,并得到了批准,而不仅仅是说不。”
3.弱或滥用密码:不用专家也知道,使用默认或简单的密码就像不锁门一样。滥用还包括在多个网站使用相同的密码,并与同事分享。
莫纳汉说:“因为所有东西都需要密码,所以我们倾向于在我们的各个网站之间进行大量的凭据复制。”“它回到了易用性。
但这是一个关键的、有时甚至是悲剧性的错误。许多重要的账户被黑客攻击,因为攻击者可以访问电子邮件或其他看起来无害的账户,在这些账户中,用户重新使用了另一个更为敏感的账户,比如银行账户或医疗账户,”他说。
解决办法:使管理多个复杂密码更容易,以减少重复使用它们的动机。安全和加密大师、Co3 Systems首席技术官Bruce Schneier和许多专家都建议创建密码,使用易于记忆的短语或句子的首字母,再加入一些数字和/或符号。他和其他人还建议使用a密码管理器-有一个号码。
专家说,双因素认证还提高了安全性,尤其是对谷歌Gmail或Facebook等常见应用来说。所以不要只依赖密码。
最后,不要与任何人共享密码——这意味着任何人。
4.远程不安全感:这是在家工作时在工作单位和个人电脑之间传输文件的常见做法,或者允许家庭成员在家里使用工作设备。Frymier说,它还包括将企业数据备份到第三方云服务中。”
这不仅使公司受到恶意软件的攻击,而且Monahan说这也“在一个非托管系统上留下了数据和数据残余物——可以用适当的工具检索的删除后的数据。”
除此之外,它还会让用户面临法律问题。Monahan说,如果有涉及电子发现的诉讼,律师发现员工在个人设备上有任何可疑的数据,“他们可以传唤你的系统和所有相关的审查。”
解决办法:这应该是公司的政策——关于哪些员工会定期得到提醒——在个人设备上使用公司应用程序或文件需要得到授权。
在这个领域,技术可以通过严格的加密来帮助提高安全性。
Lohrmann补充说:“良好的身份管理系统可以控制用户访问和配置——谁可以在什么时候做什么——并减少访问应用程序所需的密码数量。”
5.禁用安全控制:这通常是由具有管理权限的用户完成的,以便让员工更容易使用,但它可能会带来灾难性的后果。显然,如果安全措施被禁用,它就不能提供保护。
“这是巨大的,”莫纳汉说。“安全和可用性之间的持续斗争是最大的摩擦之一。”
解决办法:除此之外,组织应该禁止使用管理帐户上网。如果一名员工确实成为了恶意软件的受害者,那么他就不太可能获得安装所需的权限级别,或者至少不太可能持续下去。
Frymier说,这是一个任何IT部门都应该能够防止的问题。他说:“反病毒/恶意软件和认证领域的大多数东西都可以被锁定,所以它们不会被禁用。”