不論我們做多大的努力,終端使用者甚至是企業的IT部門,仍然會忽視那些本來很容易被糾正的安全疏漏。本文將與大家討論10個可以被避免的安全疏漏,並告訴大家該如何糾正這種疏忽。
1:使用脆弱的密碼
曾經有段時間,有些人自作聰明的用“password”作為密碼,用來愚弄那些千方百計猜測密碼的駭客和其它惡意分子。畢竟很多人都不會用這麼明顯的詞語作為密碼。如今,很多人意識到了用這種密碼所能實現的安全性實在是脆弱,但仍然有很多人樂意使用這種簡單易猜的密碼,尤其是在如今高度社交化的網路中。比如,有人會用自己的名字縮寫加上生日作為密碼,而這方面的資訊資料很容易透過Facebook或其它渠道獲取,有心的駭客只要將少量的資訊組合一下就能破解這種密碼了。而就算是在一些擁有強力密碼策略的企業中,只要有人存在,就會有這種脆弱的密碼存在。
解決方案:不要用明顯的模式來設定密碼。將各種因素混雜起來,比如用感嘆號代替數字1,&標記代替數字8。密碼設定的越複雜,被破解的機率就越小。如果你在為企業設定密碼策略,應該要求密碼中使用多個字符集。
2:從來不改密碼
這種情況我見得次數太多了。很多人多年來一直不曾更改密碼,而且這個密碼還被用於多個網站。這是一個很大的安全漏洞。在企業裡,就算有密碼修改的策略,但是很多員工還是能找到辦法繞過這種強制策略。比如,我的公司裡曾經有一個擁有域管理員許可權的員工,他將自己的賬戶排除在了密碼策略之外。發現後我嚴厲的批評了他,並讓他將自己的賬戶至於密碼策略規範之內(後來我覺得真的應該開除這個人,因為他濫用了自己的權利)。當然,我說的情況可能比較特殊,但是我們可以想想,有多少人在使用相同或近似的密碼來訪問不同的網站呢?而到了必須修改密碼的時候,是不是有很多人只改掉一個字元來應付密碼策略的強制要求呢?
解決方案:對員工或使用者進行培訓,讓他們知道一個強壯的密碼有多麼重要,以及為什麼要定期更換密碼。作為密碼策略的一部分,你也可以考慮採用第三方軟體來禁止使用者使用類似的密碼應付密碼策略的強制要求。
3:不安裝防毒軟體
這個疏忽是完全可以避免的。如果你的工作環境中沒有安裝反病毒軟體,那麼你真的是大錯特錯了。就算有最好的防火牆,仍然要記住安全屏障的層次概念。一旦防火牆沒有成功攔截惡意程式碼,反病毒軟體將成為終端系統上最後的屏障。
解決方案:馬上安裝防毒軟體。
4:不使用防火牆或設定不嚴謹
不論是在家還是在企業IT環境中,都應該使用防火牆裝置。雖然Windows和其它作業系統現在都自帶有內建的防火牆,我仍然建議大家購置一部硬體防火牆裝置,或類似的裝置,硬體防火牆與軟體防火牆相配合,是最好的安全方案。另外,如果使用防火牆,就要對其進行嚴謹的設定。
解決方案:有條件就在家或在企業環境都配備上防火牆硬體裝置。確保防火牆不會允許不必要的資料從外部流入內網環境。
5:從不給系統打補丁
作業系統開發商和應用程式開發商定期推出補丁程式是有其原因的。雖然很多升級或更新都是為了增加新功能,但仍然有不少更新是純粹為了彌補系統和軟體的安全漏洞的。我見過很多家用電腦系統中,使用者都將系統自動更新選項關閉了。而在企業環境,很多時候人們覺得網路邊緣有了防火牆,就不需要再為系統安裝升級補丁了。這並不正確,因為很多攻擊程式碼會透過防火牆的防護進入企業內網。
解決方案:為系統打補丁!開啟系統和軟體的自動更新功能,並立即為企業建立補丁管理策略並實施。
6:不安全的資料儲存
你將多少敏感資料(比如個人資訊,公司業務資料等)存放在了隨身碟裡?你是不是曾經帶著這種存有敏感資訊的隨身碟外出過?我見過很多人將隨身碟作為鑰匙鏈,帶在身上到處走動。有的時候,隨身碟就和鑰匙一起放在了食堂的飯桌上忘記拿走。
現在,還有多少人會將企業資料備份在磁帶上?這些磁帶是否會被搬離備份場所,這個過程是否處於你的控制之中?
不受保護的資料是安全的一大問題。一次簡單的丟失隨身碟、筆記本、iPad或備份磁帶的事件,就會讓企業面臨財務、司法以及公共關係上的巨大挑戰。
解決方案:對任何可移動的儲存資料進行加密儲存。大多數備份軟體都支援對備份資料進行加密,比如BitLocker以及BitLockerToGo可以用來保護筆記本裝置和隨身碟。對於其他裝置,比如iPad,可以考慮使用移動安全管理軟體對其中的資料進行加密儲存。
7:過於慷慨的許可權
在企業環境中,許可權決定了一個使用者能做什麼不能做什麼。要讓員工順利工作,最簡單的方式是給他們賦予管理員許可權,以便讓他們能夠訪問企業網路的所有內容。但是這種方式很快就會帶來混亂。因此大多數公司都會根據員工的工作關係,透過許可權策略為其賦予適當的許可權。不幸的是,就算有這種策略,還是會發生許可權蔓延的情況。比如員工從一個崗位調換到另一個崗位,而之前的許可權並沒有被移除。
解決方案:Make確保企業應用了明確的許可權管理策略。企業的許可權管理策略和實施方法應該定期的進行審視和調整,以便適應企業當前的需求。不需要的許可權要及時清除。
8:薄弱的或沒有Wi-Fi安全設定
就算現在很多人都知道開放的Wi-Fi網路具有很大安全風險,仍然有很多家庭或企業讓自己的無線網路保持開放和不安全的狀態。另外,由於WEP加密方式的普及,仍然有很多網路在使用這種加密驗證方式,但是這種方式已經很不安全了,甚至四秒鐘就可以破解WEP密碼。不過就算如此,這樣比完全開放的無線網路要安全一些。
解決方案:使用WPA或者更高階的WPA2加密驗證措施。WPA2是目前流行的無線網路安全標準,多數作業系統都支援這個標準。另外,在採用WPA2標準後,還要設定一個足夠強壯的密碼,這個密碼應該是不容易被猜測出的,或者不容易被暴力破解的,否則再好的加密標準也是虛設。WPA2加密也有可能被破解,但是破解WPA2的難度要遠高於破解WEP或WPA。
9:忽視簡單的移動裝置安全措施
未來幾年,移動裝置將成為駭客們的天堂。很多人隨身攜帶的移動數碼裝置都儲存有未加密的個人資訊,這些裝置中儲存的資訊可以在短時間內被駭客獲取。而且這種裝置很容易被盜或丟失。前面我提到過,你應該留意該在移動裝置中儲存什麼樣的資訊,並將敏感的資訊刪除或加密。但是利用移動裝置的聯網功能進入企業網路並竊取資訊的情況還是會出現的。
解決方案:雖然很簡單,但是非常必要,即當移動裝置試圖訪問企業網路時,要求使用密碼登入。雖然這種方式不能跟不上杜絕移動裝置竊取企業網路資料的情況發生,但是會讓那些偶爾獲得移動裝置的人知難而退。
10:從來不檢查備份
讓我們假設一種情景,企業的所有安全機制都失效了,企業資料和網路已經遭到了嚴重的入侵和破壞,系統和資料都已經不再可靠了。這時候,可能唯一能做的就是透過備份資料來回復整個環境。但是,如果遇到如下幾種情況,對於企業來說,就真的是無可挽回了:
備份資料損壞。
備份磁帶有損傷。
雖然每晚備份系統都在向磁帶上記錄備份資料,但實際上沒有任何資料被備份。
以上任何一條出現,對企業來說都是致命的打擊。
解決方案:立即制定和實施相應的策略和工作程式,定期檢查備份資料。另外,考慮新增額外的備份系統,將備份資料進行再次備份,並儲存在與網路隔離的環境中,防止備份資料在企業網路遭遇駭客攻擊時被一起破壞。