企業又遭遇黑客攻擊了？很多人也許認為這只是運氣太差。恰恰相反，這一切其實是由對基本安全規范的忽視所造成。

大多數企業在黑客活動面前到底有多脆弱？實際情況可能令人錯愕--黑客們宣稱他們可以利用自己的系統工具對任何目標實施攻擊，并信心滿滿地保證攻克速度相當快捷。我個人熟悉的大多數漏洞測試工具都能在數小時甚至更短的時間內成功侵入多數企業內部，更不用說這些保護機制在職業攻擊者面前有多么形同虛設了。

事情原本不該如此。問題在于，大多數IT管理員一次又一次重復著同樣的嚴重安全失誤。

安全失誤第一位：認為當前的補丁更新已經足夠到位

我為許多企業做過安全合規審計工作，而他們無一例外地認為自己已經部署了足夠良好的補丁管理機制。根據這些公司的看法，他們機構內部大多數計算機上所運行的操作系統已經打上最新補丁了。但那些普及度最廣、同時也是最容易受到攻擊的應用程序呢？他們甚至沒有意識到這也是安全規范的一部分。

舉個實例吧，在審計流程中，我發現某臺處于運行中的ApacheWeb服務器完全沒打過任何補丁。如果這臺計算機中還運行著AdobeAcrobatReader、AdobeFlash或者Java（事實上它還真的運行著這些程序），毫無疑問這些近一段時間來鬧出無數安全問題的麻煩星人們肯定也錯過了能夠提升安全性的補丁。這并不屬于偶然事件，因為該公司不可能沒聽過這些程序在安全方面的巨大漏洞。事實上，這家企業多年來幾乎從未在補丁更新方面做過任何積極的努力。

IT管理員們之所以認為他們已經擁有一套完備的補丁更新機制，是因為他們采購了一套全面的補丁管理程序，并且分配了專人進行監督。整個補丁更新流程不僅比之前有了大幅改善，專項負責人還會定期檢查相關列表，以確認還有哪些補丁需要注意。我們得承認，補丁更新這種事情永遠不可能盡善盡美。沒人能為每一臺計算機打上補丁，也不可能照顧到每一款存在漏洞的軟件。然而在這里我想強調的是，大家不應該在工作中三分鐘熱血，在部署階段戴上眼鏡生怕忽略了任何一個小問題，而在日后的平衡運作階段則完全撒手不管。

最重要的是，大多數部門根本無法按照自己的想法及時為應用程序更新補丁，因為這里還存在一個大問題--應用程序兼容性（也許真實存在，也許只是種使用感受）。舉例來說，某些員工原本一直在堅持對Java進行更新，接著有一天他們聽說其它部門在更新中出現了錯誤并造成一定損失，那他們很可能會暫時放棄這一良好習慣--甚至永遠放棄。又或者他們不得不為此保留Java的各個版本，以盡量避免更新過程可能帶來的麻煩。

隨著時間慢慢逝去，我們對于補丁安全之類的話題變得越來越遲鈍，企業中的計算機也就愈發缺乏補丁的保護。看到平靜和諧的情景，管理層天真地以為補丁問題已經得到解決并順利步入正軌，殊不知當前的情況甚至比原先更加危險。而毫無疑問，黑客們會為了這種有利局面而彈冠相慶。

安全失誤第二位：不了解業務流程中哪些程序需要運行

大多數IT部門完全不清楚自己的計算機上到底運行著哪些程序。新計算機到位之后，往往需要預先安裝數十款實用工具及程序，而其中不少用戶根本就用不上。在這種情況下，一方面預裝程序自身可能存在問題，另一方面用戶往往還需要自行添加更多工具及程序。總之真正投入使用時，一臺計算機上運行著數百個進程的情況可謂屢見不鮮。

如果我們根本不了解自己面對的對象是什么，那么管理也就無從談起。這些程序往往規模龐大，擁有大量已知漏洞或是由供應商預留的后門，此類狀況都可能成為攻擊者們組織侵入的契機。如果大家希望自己的工作環境更加安全，那么首先要清點工作中哪些程序處于運行狀態，剔除不需要的冗余內容，并盡全力保護好其它必要程序。

安全失誤第三位：對異常現象重視不夠

盡管黑客們能夠在侵入系統的同時最大程度隱匿自己的形跡，但他們仍然很難做到來去自如而不引發任何異常現象。黑客們需要查探網絡狀況，從一臺計算機接入到其它多臺計算機處而不進行任何信息交互。基本上黑客達成目的的手法還是有一定規律可循的，因為他們的行動模式與一般終端用戶存在較大差別。

大多數IT管理員對于網絡活動及活動水平是否正常及合理都沒什么概念，更別提制訂一套基準進行衡量了。如果大家不對正常網絡活動做出定義，在異常情況發生時我們又該如何識別并及時發出警告呢？根據Verizon數據泄露調查報告中的說法，如果受害人對于信息具備一定的控制機制，那么幾乎每一次嚴重的數據泄露事件都本有機會被提早發現或加以預防；然而年復一年，同樣的悲劇仍在不斷上演。

安全失誤第四位：未制定嚴密有效的密碼管理策略

我想大家都知道，高強度密碼（長度較長、內容較復雜）及定期密碼更換機制的重要性。我所見過的每一位管理員都信誓旦旦地保證他們使用的密碼強度符合要求，但經過實際檢查，我發現根本不是這么回事。當然，相對于民用級賬戶而言他們的密碼強度也許夠用，但現在我們要討論的是企業級服務器賬戶、域際賬戶以及其它超級用戶賬戶，在這方面他們的密碼仍然顯得弱不禁風。

我曾提出過這樣一種理論：賬戶的權限越高，密碼強度就會變得越弱，而且密碼定期更換的頻率也就越低。想了解自己制定的密碼管理機制到底夠不夠完善？方法很簡單，發送一條查詢，看看從最后一次更換密碼到現在，中間間隔了多少天。幾乎可以肯定，大多數人會發現自己已經有好幾年沒更換過登錄密碼了。

安全失誤第五位：未能及時向用戶公布近期安全威脅

這一點在我看來最為普遍，也最令人頭痛。我們都承認終端用戶是安全保護體系中最薄弱的一環，但幾乎沒人意識到應該定期向他們公布最新出現的安全威脅。所謂最新出現的安全威脅，是指在過去五年中出現次數最多、造成影響最大的那些標志性安全問題。令人難以置信的是，大多數用戶都非常了解電子郵件附件也能成為攻擊活動的載體--要知道，這可是十年之前比較流行的攻擊方式，現在早已經過時了。

而每當問起終端用戶是否意識到他們有可能在訪問自己最了解、最信任而且每天都會登錄的網站時被感染，他們的回答總是一片驚呼--是的，對于大多數終端用戶而言，自己喜愛的站點上的惡意廣告或者主流互聯網搜索引擎會帶來安全威脅的言論更像是種天方夜譚。他們也不知道，由Facebook上網友發來的可愛小程序中很可能也包含著惡意內容。他們不了解真正的殺毒軟件與只會在屏幕上彈出提示窗口的假冒殺毒軟件有哪些區別，他們不知道的東西很多，因為我們從沒想過為他們提供系統的指導。

以上提到的五大安全失誤其實根本不具備任何時效性，它們從出現到今天已經超過二十年了。真正令我感到震驚的是管理人員對工作現狀的自滿態度。他們對項目進行檢查，然后將注意力轉移到更大更艱巨的任務上來--但實際上，他們精心打造的安全工作環境甚至不堪一擊。而這一切并不難發現，只需幾個簡單的問題或者查詢指令，管理員們完全能夠發現問題所在。

對于所有意識到上述問題的IT管理人員，我要表達自己最誠摯的敬意，至少大家已經開始正視這些失誤，這是解決問題的先決條件。保持審慎的工作態度，我們必將在未來的安全對抗當中占得先機。

原文鏈接：

http://www.infoworld.com/d/security/5-big-security-mistakes-youre-probably-making-188517