之前，我們報(bào)道過(guò)不少安全意識(shí)的內(nèi)容，賽門鐵克也曾經(jīng)表示， 如果你不知道網(wǎng)站攻擊工具、漏洞及方法 這本身就是個(gè)漏洞 ，避免最常見(jiàn)的安全威脅，是現(xiàn)代基礎(chǔ)設(shè)施工程師應(yīng)優(yōu)先考慮的事情，因?yàn)槿裟绘i好前門實(shí)際上就是在暗中幫助罪犯分子。所以，本文中就分享一下最常見(jiàn)的威脅，在安全運(yùn)維過(guò)程中，我們應(yīng)該優(yōu)先照顧這7大安全意識(shí)威脅。

1. 網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚 是這樣一種現(xiàn)象：通過(guò)發(fā)送看似合法(但一點(diǎn)也不合法)的電子郵件、社交網(wǎng)站或廣告，攻擊者誘騙受害者點(diǎn)擊惡意附件或鏈接。多數(shù)情況下，一旦附件或鏈接被點(diǎn)擊，受害者就會(huì)被定向至看似原始的網(wǎng)頁(yè)(實(shí)際上并不是原始網(wǎng)頁(yè))，并被要求輸入保密信息，如信用卡號(hào)、社保號(hào)碼等。多年來(lái)，網(wǎng)絡(luò)釣魚攻擊越來(lái)越復(fù)雜，黑客能夠讓攻擊看起來(lái)越來(lái)越真實(shí)(例如，某人收到來(lái)自看似與其哥哥一模一樣的ID的電子郵件，郵件內(nèi)容無(wú)可挑剔，因?yàn)楹诳屠蒙鐣?huì)工程學(xué)手段進(jìn)行高度仿效)。

在企業(yè)層面，這個(gè)漏洞很容易修復(fù)。員工需要接受訓(xùn)練敢于懷疑一切。只有確認(rèn)發(fā)件人后，才能點(diǎn)擊郵件中的鏈接。為確保安全意識(shí)長(zhǎng)存，企業(yè)可聘請(qǐng)安全專家 開展釣魚實(shí)驗(yàn)測(cè)試 ，了解有多少員工會(huì)遭遇實(shí)驗(yàn)性的網(wǎng)絡(luò)釣魚攻擊。安全加公益譯文也將推出網(wǎng)絡(luò)釣魚的專題論述，敬請(qǐng)期待。

2. 未經(jīng)授權(quán)應(yīng)用的安裝/使用

另一種常見(jiàn)的安全威脅是因?yàn)樵趥€(gè)人計(jì)算機(jī)和工作站上安裝未授權(quán)的應(yīng)用程序。如今，驗(yàn)證第三方應(yīng)用程序的真實(shí)性很容易，但有時(shí)人們忽視了操作系統(tǒng)警告，只是繼續(xù)安裝，還想著“會(huì)出什么錯(cuò)呢?這只是一個(gè)應(yīng)用程序，只有幾兆字節(jié)而已。” 這是極其危險(xiǎn)的，因?yàn)橐坏┍皇谟韫芾頇?quán)限(在安裝過(guò)程中選擇“是”)，只需執(zhí)行一個(gè)小腳本，攻擊者就能利用一個(gè)小程序控制整臺(tái)計(jì)算機(jī)。

此漏洞可通過(guò)撤銷企業(yè)設(shè)備和大多數(shù)員工的管理訪問(wèn)權(quán)限進(jìn)行修復(fù)。相反，通過(guò)小小的培訓(xùn)，講解第三方可信度和真實(shí)性的重要性，就足以讓員工意識(shí)到安裝未經(jīng)授權(quán)的應(yīng)用程序的威脅所在。

3. 默認(rèn)密碼或弱密碼

顯然，若要列出最常見(jiàn)的安全錯(cuò)誤，弱密碼不得不提。弱密碼的問(wèn)題在技術(shù)出現(xiàn)之初就已存在，并且仍然是世界上絕大多數(shù)的網(wǎng)絡(luò)攻擊的主要原因。大多數(shù)應(yīng)用程序套件、開發(fā)軟件和企業(yè)解決方案都使用默認(rèn)密碼，這就好比您在晚上打開了自家大門。通過(guò)猜測(cè)密碼是進(jìn)入系統(tǒng)最容易的方法，也一直是黑客首先嘗試的辦法。

顯然，這一漏洞可通過(guò) 培訓(xùn)強(qiáng)密碼意識(shí) 以及解釋強(qiáng)密碼在牽制新手黑客方面的作用來(lái)修復(fù)?，F(xiàn)代復(fù)雜的系統(tǒng)不再接受不符合安全要求的用戶密碼，這點(diǎn)應(yīng)該變得更加規(guī)范。

4. 禁用安全控件

可用性和安全性互為天敵。IT管理員常常禁用安全控件，使員工的應(yīng)用程序更好用，但這顯然會(huì)導(dǎo)致致命的后果。(若擁有絕對(duì)的電腦管理權(quán)限，員工可任意安裝應(yīng)用程序;若計(jì)算機(jī)感染了惡意軟件，他們可以反過(guò)來(lái)?yè)p害網(wǎng)絡(luò)和整個(gè)互連的基礎(chǔ)設(shè)施。)

該漏洞可通過(guò)安裝一層厚厚的防火墻安全進(jìn)行修復(fù)，確保不需要的內(nèi)容不得經(jīng)過(guò)防火墻。這樣，即使員工打算安裝惡意軟件，也不會(huì)被允許，因?yàn)橐坏┧麄兿蚬芾韱T申請(qǐng)安裝權(quán)限，就會(huì)被警告(并記錄)。

5. 遠(yuǎn)程安全缺乏管理

遠(yuǎn)程不安全性也會(huì)帶來(lái)災(zāi)難性后果。員工經(jīng)常在個(gè)人電腦和企業(yè)工作站之前進(jìn)行文件傳輸或者允許家庭成員在家使用其公司設(shè)備，這可能會(huì)造成一些安全漏洞?？紤]這樣一種場(chǎng)景：Bob工作站的處理能力不夠，因此他把專用的可執(zhí)行應(yīng)用程序傳到個(gè)人計(jì)算機(jī)上并運(yùn)行。他在個(gè)人計(jì)算機(jī)上完成了所有工作，記錄好結(jié)果，然后把文件從個(gè)人計(jì)算機(jī)上刪除。然而，專用的可執(zhí)行應(yīng)用程序仍然以片段的形式存在于Bob的個(gè)人計(jì)算機(jī)上。使用高級(jí)的恢復(fù)軟件即可恢復(fù)該應(yīng)用程序，最糟糕是該應(yīng)用程序可能會(huì)被誤用。

修復(fù)方案很簡(jiǎn)單：在公司范圍內(nèi)禁止從企業(yè)設(shè)備向個(gè)人設(shè)備上傳輸數(shù)據(jù)。

6. 笨拙的社交網(wǎng)絡(luò)

社交網(wǎng)絡(luò)可以讓整個(gè)工作場(chǎng)所保持協(xié)作活躍，但也可能造成一些明顯的風(fēng)險(xiǎn)，如公司保密信息被張貼在社交網(wǎng)站上。(小編插一個(gè)典型案例， 錘子員工在GitHub提交文件包含激活數(shù)據(jù) 手機(jī)信息及銷量暴露無(wú)遺 )一旦保密信息被發(fā)布在社交網(wǎng)站上，就超出了組織的保護(hù)范圍。此外，(致命的)復(fù)雜的社會(huì)工程攻擊數(shù)量也在逐年呈指數(shù)式增長(zhǎng)。

為了解決這個(gè)問(wèn)題，需要通過(guò)定期培訓(xùn)提高員工的技術(shù)意識(shí)。

7. 過(guò)時(shí)軟件或未安裝補(bǔ)丁

清單上最后一項(xiàng)威脅(但絕不是最不重要的)是來(lái)自過(guò)時(shí)軟件的威脅。通常，我們都會(huì)延遲更新和/或補(bǔ)丁安裝，總以為“不會(huì)有事”，結(jié)果造成系統(tǒng)中存在大量漏洞。(小編插一個(gè)典型案例， wannacry勒索蠕蟲危及99個(gè)國(guó)家 )

推出更新或補(bǔ)丁的原因有很多種，有時(shí)是為了刪除應(yīng)用程序或其他軟件中的漏洞。若不安裝用于修復(fù)公開漏洞的更新，用戶可能會(huì)遭遇潛在攻擊。

再?gòu)?qiáng)調(diào)一次，員工(和普通個(gè)人)必須意識(shí)到安裝更新和補(bǔ)丁的重要性，防止因?yàn)檫@種常見(jiàn)的錯(cuò)誤而使系統(tǒng)受到攻擊。

總結(jié)

即使最“安全”的基礎(chǔ)設(shè)施也會(huì)時(shí)不時(shí)地遭受攻擊，但這并不意味著遵循標(biāo)準(zhǔn)化的安全強(qiáng)制措施不能保護(hù)系統(tǒng)免受不必要的入侵。以上是現(xiàn)代網(wǎng)絡(luò)攻擊最常見(jiàn)的幾種原因，加強(qiáng)對(duì)這些網(wǎng)絡(luò)攻擊的防范意識(shí)同等重要。