引言：最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞，秘密進(jìn)入并長(zhǎng)期收集和竊取有價(jià)值的數(shù)據(jù)，用最少的代價(jià)賺取最大的經(jīng)濟(jì)利益。

最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全程度。雖然仍有某些攻擊者炫耀自己破壞最強(qiáng)大的加密機(jī)制的能力，但大多數(shù)攻擊者主要是關(guān)注目標(biāo)系統(tǒng)的基礎(chǔ)架構(gòu)并且找到可以利用的漏洞，其目的是秘密進(jìn)入并長(zhǎng)期收集和竊取有價(jià)值的數(shù)據(jù)，用最少的代價(jià)賺取最大的經(jīng)濟(jì)利益。

安全團(tuán)隊(duì)的一個(gè)重要責(zé)任是保證攻擊者難以進(jìn)入企業(yè)網(wǎng)絡(luò)和訪(fǎng)問(wèn)內(nèi)部敏感數(shù)據(jù)。不幸的是，有時(shí)幾乎不可能阻止攻擊的發(fā)生，但安全團(tuán)隊(duì)需要有一套計(jì)劃可以使影響最小化。有時(shí)，如果由于一個(gè)小錯(cuò)誤或一個(gè)被忽視的策略而導(dǎo)致了攻擊，那么認(rèn)識(shí)到這些問(wèn)題的可避免性就顯得非常重要。為使安全團(tuán)隊(duì)更好地理解如何才能培育安全第一的文化氛圍和清除潛在的漏洞，在此提出幾個(gè)可以避免的安全錯(cuò)誤。

不升級(jí)

軟件廠(chǎng)商在發(fā)現(xiàn)軟件漏洞后，在第三方幫助發(fā)現(xiàn)漏洞后，如不及時(shí)發(fā)布更新或補(bǔ)丁，就有可能導(dǎo)致攻擊。

這種更新可能來(lái)自很多方面，其中包括反病毒軟件，或來(lái)自操作系統(tǒng)自身。無(wú)論來(lái)自何種途徑，用戶(hù)及時(shí)安裝更新以防止病毒找到進(jìn)入系統(tǒng)的方法是很重要的。同樣的觀(guān)念也適用于智能手機(jī)、平板電腦以及其他設(shè)備。如果公司有專(zhuān)業(yè)的IT團(tuán)隊(duì)，就應(yīng)積極地查找更新和補(bǔ)丁，并盡可能地及時(shí)安裝，但是訓(xùn)練員工經(jīng)常檢查更新以保護(hù)自己和公司的利益是大有裨益的。

安全團(tuán)隊(duì)不能指望員工不犯錯(cuò)誤，而且，你不能指望常識(shí)，因?yàn)樵谏婕暗郊夹g(shù)問(wèn)題時(shí)，并非每個(gè)人都能理解為什么要那樣處理問(wèn)題。這正是要求雇員遵循策略的一個(gè)原因，但是如果策略并不強(qiáng)健也不易實(shí)施，就不會(huì)對(duì)企業(yè)帶來(lái)任何好處。

安全團(tuán)隊(duì)要確保雇員經(jīng)常改變口令，并且給予他們最少的復(fù)雜性要求；要確定哪些類(lèi)型的信息可以通過(guò)雇員的自有設(shè)備訪(fǎng)問(wèn)，并且建立文件共享的具體指南；要向員工解釋為什么敏感信息不能通過(guò)電子郵件發(fā)送，以及內(nèi)部的公司數(shù)據(jù)絕對(duì)不能通過(guò)個(gè)人郵件發(fā)送的原因；要建立身份和文件管理的規(guī)則，使雇員可輕松登錄系統(tǒng)，同時(shí)還要使IT能記錄其訪(fǎng)問(wèn)軌跡。還有很多其他的例子，但關(guān)鍵是考慮到公司每天面臨的風(fēng)險(xiǎn)，并且制定好策略，以使這些風(fēng)險(xiǎn)最少化。

沒(méi)有正確理解風(fēng)險(xiǎn)

準(zhǔn)備好策略是問(wèn)題的一方面，但如果用戶(hù)并沒(méi)有完全理解與沒(méi)有在第一時(shí)間準(zhǔn)備好策略的有關(guān)風(fēng)險(xiǎn)，策略最終僅僅是紙上的文字。只要企業(yè)理解和認(rèn)識(shí)到風(fēng)險(xiǎn)，就可以決定如何應(yīng)對(duì)風(fēng)險(xiǎn)：接受風(fēng)險(xiǎn)、由第三方解決方案、準(zhǔn)備行動(dòng)計(jì)劃，或是修復(fù)計(jì)劃。但企業(yè)發(fā)現(xiàn)了威脅，卻認(rèn)識(shí)到自己并沒(méi)有什么行動(dòng)計(jì)劃進(jìn)行應(yīng)對(duì)。如果企業(yè)并不知道風(fēng)險(xiǎn)是什么，就不能以最高效的方式來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)。這才是真正的弱點(diǎn)。

如果公司并不理解潛在風(fēng)險(xiǎn)并確定其優(yōu)先次序，就可能導(dǎo)致優(yōu)先處理了最不重要的問(wèn)題，卻忽視了最關(guān)鍵的風(fēng)險(xiǎn)。另外，在需要外部幫助時(shí)，由此還可能使用錯(cuò)誤的資源進(jìn)行響應(yīng)和確認(rèn)。如果將注意力放在了漏洞的錯(cuò)誤方面，則可能使問(wèn)題更嚴(yán)重，或造成全新的問(wèn)題。關(guān)鍵在于，要知道如果一種安全風(fēng)險(xiǎn)超出了管理者的能力，就要尋求風(fēng)險(xiǎn)管理專(zhuān)家的建議，幫助其看到威脅狀況，并且制定強(qiáng)健的易于實(shí)施的有效計(jì)劃。

人員支持不足

知道何時(shí)尋求第三方的幫助也可以擴(kuò)展到全面的IT領(lǐng)域。云計(jì)算和其他面向外包技術(shù)的出現(xiàn)，公司就有可能不再關(guān)注傳統(tǒng)IT的重要性。即使對(duì)于外包，內(nèi)部人員完全理解內(nèi)部系統(tǒng)和基礎(chǔ)架構(gòu)，并快速響應(yīng)潛在的安全問(wèn)題。如果公司容易面臨某些安全問(wèn)題，就需要確保雇員得到相應(yīng)培訓(xùn)。

如果企業(yè)并不愿意花錢(qián)請(qǐng)熟練的IT專(zhuān)家，就應(yīng)尋求能提供其專(zhuān)業(yè)技術(shù)甚至提供全天候監(jiān)視的管理服務(wù)供應(yīng)商。但無(wú)論選擇哪種方法，都需要確保有足夠的人員處理足夠的業(yè)務(wù)。如果發(fā)生攻擊，人員短缺只會(huì)使問(wèn)題惡化，或者打開(kāi)新漏洞。

缺乏培訓(xùn)

企業(yè)不僅需要使員工理解風(fēng)險(xiǎn)，還要為員工建立基礎(chǔ)，使其樹(shù)立安全第一的思想。有些公司采取的方法是召開(kāi)安全教育會(huì)議，就企業(yè)中最重大的安全威脅向員工講授最新課程。

有時(shí)，企業(yè)仍需要為內(nèi)部的某些雇員提供較多的信息。如果雇員經(jīng)常與敏感信息打交道，那么這些員工就應(yīng)該得到正確的培訓(xùn)，甚至在特定的安全協(xié)議中保證能夠安全工作。例如，對(duì)于金融機(jī)構(gòu)而言，這意味著要理解PCI的合規(guī)。如果員工遵循了如何正確地處理數(shù)據(jù)的規(guī)則，就不太可能將數(shù)據(jù)置于風(fēng)險(xiǎn)中。

幾乎沒(méi)有或完全不加密

很多公司并未充分實(shí)施加密用以保護(hù)自身。加密不但可以確保在外部攻擊者進(jìn)入后不能訪(fǎng)問(wèn)某些文件，而且對(duì)于外部通信和數(shù)據(jù)傳輸來(lái)說(shuō)更加重要。例如，電子郵件就需要安裝加密工具，其目的是為防止別有用心的人嗅探數(shù)據(jù)。企業(yè)在選擇產(chǎn)品時(shí)，能夠與廠(chǎng)商和服務(wù)供應(yīng)商進(jìn)行交流以確保其是否提供類(lèi)似的加密工具是很重要的，因?yàn)槠髽I(yè)不可能總是依賴(lài)雇員自己加密數(shù)據(jù)。

弱認(rèn)證

認(rèn)證是一個(gè)不斷演變的極重要的安全措施，然而很多公司并未充分利用。例如，實(shí)際上存在一些USB密鑰，可插入到計(jì)算機(jī)中并用于認(rèn)證引擎。只需簡(jiǎn)單的觸碰或一個(gè)口令，就可以安全地訪(fǎng)問(wèn)所有的應(yīng)用和賬戶(hù)。

當(dāng)然，企業(yè)還可能犯別的錯(cuò)誤，如未要求雇員使用內(nèi)建于移動(dòng)設(shè)備中的安全特性。其實(shí)，用戶(hù)可以使用一些很明顯的安全工具或深入挖掘一些隱藏的功能。