最近的每一项研究安全漏洞结果得出得出同样的结论:人类因素对组织的风险更大,而不是技术中的缺陷。
而且,大多数专家都同意,由于缺乏安全意识,人们要么没有意识到越来越复杂的威胁,或者他们就会粗心。
当然,没有100%的安全性。但如果每个组织在每个组织中,避免下面列出的共同安全意识错误可能会更大。
该清单是在几个安全专家的帮助下生成的,他还提供关于组织如何最小化甚至消除它们的建议:
1.堕落网络钓鱼:最常见的错误之一。它可以包括点击图片钓鱼电子邮件中的恶意链接或附件,如Facebook和Twitter等社交媒体网站,甚至是看起来合法的网站上的“广告”。犯罪分子让他们看起来很好,仿佛来自朋友,家庭成员或专业,建立像那些将产品运送到您家的公司。
修复:培训员工 - 经常 - 对所有内容持怀疑态度,并只能点击他们确定的链接来自可信任的发件人。组织应该运行自己的“刺痛”操作,看看有多少员工被内部网络钓鱼攻击所欺骗。它将提高对堕落的工人的意识。
David Monahan,企业管理员工的研究主任,安全和风险管理,警告称,甚至来自似乎可信赖的朋友或家庭成员可能是假的电子邮件。
“他们似乎是谁吗?如果是这样,请不要点击它,“他说。
此外,任何要求您“验证”凭据的电子邮件可能会恶意。如果您认为值得检查,请致电公司或转到其网站。
戴夫弗伦梅尔(Ciso)在Unisys的Ciso,增加了市场上有大量的安全意识产品来帮助培训。
2.未经授权的应用程序或云使用,称为阴影它:Dan Lohrmann,首席策略师和CSO在安全导师,表示,这包括发布私有,或不受控制的数据到云。
Frymier同意。“这有很多形式,”他说。“任何从安装”gotomypc“到购买云虚拟机并使用它们的企业目的。这对我来说是如何在没有意识到危险的情况下做这些事情。“
修复:“例如,例如,提供批准的合理云存储解决方案,而不是说不。”
3.虚弱或滥用密码:它没有专家知道使用默认或简单的密码就像离开公司门解锁一样。但误用还包括对多个站点的相同密码并与同事共享。
“因为一切都要求密码,我们倾向于在各个地点之间做大量的凭证重复,”莫纳潘说。“它恢复了易用性。
“但这是一个关键的,有时悲惨的错误。他说,许多关键账户被黑了被攻击,因为攻击者可以访问电子邮件或其他一些似乎无害的帐户,其中用户已重用其凭据与另一个更敏感的账户,例如银行或医疗保健,“他说。
修复:使其更轻松地管理多个复杂的密码,以减少重新使用它们的激励。安全性和加密Guru和Co3 Systems CTO Bruce Schneier是众多专家,通过使用易于记住的短语或句子的第一个字母建议创建密码,其中一些数字和/或符号抛出。他和其他人也建议使用A.密码管理器- 有一个可用的数字。
专家说,双因素认证还提高了安全性,特别是对于谷歌Gmail或Facebook等共同应用程序。所以不要依赖密码。
最后,不要与任何人共享密码 - 这意味着任何人。
4.远程不安全:这是在家庭工作时在工作和个人计算机之间传输文件的常见做法,或者允许家庭成员在家使用工作设备。Frymier表示,它还可以包括将公司数据备份到第三方云服务。“
这不仅将公司公开到恶意软件,但Monahan也表示它也“离开数据和数据渣滓 - 数据留下了删除后删除,可以通过适当的工具 - 在非托管系统上检索。”
除此之外,它可以将用户暴露给法律烦恼。如果涉及电子发现和律师的诉讼,员工有一个个人设备有任何有关的数据,“他们可以传唤你的系统,所有这些都在审查和相关的审查,”Monahan说。
修复:它应该是公司政策 - 其中一个员工获得定期提醒 - 需要在个人设备上使用公司应用程序或文件的授权。
这是技术可以通过严格加密来帮助提高安全性的领域。
Lohrmann补充说,“良好的身份管理系统可以控制用户访问和配置 - 谁可以做什么和时间 - 并减少访问应用程序所需的密码数。”
5.禁用安全控制:这通常由具有管理权限的用户完成,使员工更容易使用,但它可能具有灾难性的后果。显然,如果禁用安全措施,则提供无保护。
“这是巨大的,”蒙纳潘说。“安全性和可用性之间的持续争斗是最大的摩擦之一。”
修复:除此之外,组织应禁止从行政账户冲浪。如果员工将受害者陷入恶意软件,则可以获得所需的许可水平或至少持续存在。
Frymier说这些天这是一个问题,任何IT部门都应该能够预防。“反病毒/恶意软件和认证世界中的大多数事情都可以被锁定,以便他们无法禁用,”他说。