安全错误导致漏洞频发

引言：最薄弱的环节决定了系统的安全程度。大多数攻击者主要是关注目标系统的基础架构并且找到可以利用的漏洞，秘密进入并长期收集和窃取有价值的数据，用最少的代价赚取最大的经济利益。

最薄弱的环节决定了系统的安全程度。虽然仍有某些攻击者炫耀自己破坏最强大的加密机制的能力，但大多数攻击者主要是关注目标系统的基础架构并且找到可以利用的漏洞，其目的是秘密进入并长期收集和窃取有价值的数据，用最少的代价赚取最大的经济利益。

安全团队的一个重要责任是保证攻击者难以进入企业网络和访问内部敏感数据。不幸的是，有时几乎不可能阻止攻击的发生，但安全团队需要有一套计划可以使影响最小化。有时，如果由于一个小错误或一个被忽视的策略而导致了攻击，那么认识到这些问题的可避免性就显得非常重要。为使安全团队更好地理解如何才能培育安全第一的文化氛围和清除潜在的漏洞，在此提出几个可以避免的安全错误。

不升级

软件厂商在发现软件漏洞后，在第三方帮助发现漏洞后，如不及时发布更新或补丁，就有可能导致攻击。

这种更新可能来自很多方面，其中包括反病毒软件，或来自操作系统自身。无论来自何种途径，用户及时安装更新以防止病毒找到进入系统的方法是很重要的。同样的观念也适用于智能手机、平板电脑以及其他设备。如果公司有专业的IT团队，就应积极地查找更新和补丁，并尽可能地及时安装，但是训练员工经常检查更新以保护自己和公司的利益是大有裨益的。

安全团队不能指望员工不犯错误，而且，你不能指望常识，因为在涉及到技术问题时，并非每个人都能理解为什么要那样处理问题。这正是要求雇员遵循策略的一个原因，但是如果策略并不强健也不易实施，就不会对企业带来任何好处。

安全团队要确保雇员经常改变口令，并且给予他们最少的复杂性要求；要确定哪些类型的信息可以通过雇员的自有设备访问，并且建立文件共享的具体指南；要向员工解释为什么敏感信息不能通过电子邮件发送，以及内部的公司数据绝对不能通过个人邮件发送的原因；要建立身份和文件管理的规则，使雇员可轻松登录系统，同时还要使IT能记录其访问轨迹。还有很多其他的例子，但关键是考虑到公司每天面临的风险，并且制定好策略，以使这些风险最少化。

没有正确理解风险

准备好策略是问题的一方面，但如果用户并没有完全理解与没有在第一时间准备好策略的有关风险，策略最终仅仅是纸上的文字。只要企业理解和认识到风险，就可以决定如何应对风险：接受风险、由第三方解决方案、准备行动计划，或是修复计划。但企业发现了威胁，却认识到自己并没有什么行动计划进行应对。如果企业并不知道风险是什么，就不能以最高效的方式来应对风险。这才是真正的弱点。

如果公司并不理解潜在风险并确定其优先次序，就可能导致优先处理了最不重要的问题，却忽视了最关键的风险。另外，在需要外部帮助时，由此还可能使用错误的资源进行响应和确认。如果将注意力放在了漏洞的错误方面，则可能使问题更严重，或造成全新的问题。关键在于，要知道如果一种安全风险超出了管理者的能力，就要寻求风险管理专家的建议，帮助其看到威胁状况，并且制定强健的易于实施的有效计划。

人员支持不足

知道何时寻求第三方的帮助也可以扩展到全面的IT领域。云计算和其他面向外包技术的出现，公司就有可能不再关注传统IT的重要性。即使对于外包，内部人员完全理解内部系统和基础架构，并快速响应潜在的安全问题。如果公司容易面临某些安全问题，就需要确保雇员得到相应培训。

如果企业并不愿意花钱请熟练的IT专家，就应寻求能提供其专业技术甚至提供全天候监视的管理服务供应商。但无论选择哪种方法，都需要确保有足够的人员处理足够的业务。如果发生攻击，人员短缺只会使问题恶化，或者打开新漏洞。

缺乏培训

企业不仅需要使员工理解风险，还要为员工建立基础，使其树立安全第一的思想。有些公司采取的方法是召开安全教育会议，就企业中最重大的安全威胁向员工讲授最新课程。

有时，企业仍需要为内部的某些雇员提供较多的信息。如果雇员经常与敏感信息打交道，那么这些员工就应该得到正确的培训，甚至在特定的安全协议中保证能够安全工作。例如，对于金融机构而言，这意味着要理解PCI的合规。如果员工遵循了如何正确地处理数据的规则，就不太可能将数据置于风险中。

几乎没有或完全不加密

很多公司并未充分实施加密用以保护自身。加密不但可以确保在外部攻击者进入后不能访问某些文件，而且对于外部通信和数据传输来说更加重要。例如，电子邮件就需要安装加密工具，其目的是为防止别有用心的人嗅探数据。企业在选择产品时，能够与厂商和服务供应商进行交流以确保其是否提供类似的加密工具是很重要的，因为企业不可能总是依赖雇员自己加密数据。

弱认证

认证是一个不断演变的极重要的安全措施，然而很多公司并未充分利用。例如，实际上存在一些USB密钥，可插入到计算机中并用于认证引擎。只需简单的触碰或一个口令，就可以安全地访问所有的应用和账户。

当然，企业还可能犯别的错误，如未要求雇员使用内建于移动设备中的安全特性。其实，用户可以使用一些很明显的安全工具或深入挖掘一些隐藏的功能。