盤一盤：那些年企業在犯的網路安全錯誤！

儘管有證據表明在一些全球知名的企業組織中存在價值數十億美元的網路安全漏洞，但企業仍然沒有認真對待網路安全。大公司在尋找各種理由來減少其網路安全預算，從而削減成本。而不是對其基礎設施進行投資，而小企業更是直接忽略了網路安全所帶來的威脅。

那麼，為什麼網路安全仍然沒有得到充分利用和重視？企業高管最常見的錯誤又有哪些？

沒有認真對待網路安全問題

這裡最大的問題之一是，企業管理人員仍然沒有認真對待網路安全，或者至少沒有足夠重視它。對於大企業來說，這是多種因素綜合作用的結果。例如，他們可能已經在IT團隊和網路安全工具上花費了大量資金，但是他們可能沒有一個衡量這些投資是否足夠的標準，並且很難看到自己投資的結果。畢竟，如果網路安全策略有效，就不會成為重大攻擊或駭客攻擊的目標。

最重要的是，大型企業經常在部門孤島中掙扎。網路安全專家發現自己與組織的其他成員出於隔絕狀態，無法提供指導或建議，其影響組織的能力非常有限。因此，其他部門的人並沒有過多考慮網路安全問題。

對於小型企業來講，儘管他們是最常見的網路犯罪分子攻擊的目標之一，但他們普遍的態度是“我們太小了，不會成為駭客的攻擊目標”。哪怕是選擇最基本的網路安全措施需要支付高額賬單時，小企業都不願意為此花錢。

在任何情況下，如果一個企業不重視網路安全，他們就不會做太多的安全措施來保護自己。

有應對網路安全，但並不是主動應對

網路安全要想發揮作用，就需要積極行動起來。企業需要在遭受資料洩露或駭客攻擊之前很長時間投入工作;如果等到確定自己會成為受害者，就為時已晚了。

這就是主動網路安全與被動網路安全的區別。在遭遇資料洩露後，企業更加熱衷於投資必要的基礎設施，以防止未來再次發生類似的攻擊;而如果他們一開始就這樣做，他們就可以節省數百萬甚至數十億美元。

即使目前看起來可能沒有問題企業，但企業最好將網路安全作為日常工作，這是企業要不斷投資和改進的東西。

設立網路安全獨立部門

很多企業將網路安全視為自己或IT部門的一個分支。這種方法可以讓企業僱傭網路安全領域的專家，並專門為網路安全提供資金。雖然這不一定是一個糟糕的策略，但這可能會對企業產生誤導，並可能使企業容易受到其他領域的攻擊。

相反，網路安全應該是團隊合作的最佳方式。例如，採用DevOps實踐的團隊會透過努力工作來確保將安全性融入到開發過程的每個階段，而不是簡單地在最後硬塞進去。

企業要解決的最大問題是，安全漏洞無處不在，它會存在於組織的每個部門或個人，只有互相協作，才能將這些漏洞降到最低。

實施錯誤的密碼實踐

說到個人漏洞，很多企業仍在因錯誤使用密碼而帶來困擾。大多數網路攻擊和數字入侵併非是由技術高超的駭客造成，而是由於個人(可能是非技術人員)發現、猜測或竊取密碼。有了正確的登入憑證，任何人都可以被視為“駭客”。

密碼策略在很多方面都會出錯。企業員工可能會使用弱密碼，比如帶有常見單詞或可預測數字序列的密碼。他們可能不會定期更新密碼。或者他們可能有儲存密碼的壞習慣;例如，將密碼記錄在辦公桌旁邊的便利貼上。

一些企業還使用全組織範圍的密碼，平臺上的所有人使用相同的序列密碼，由此會導致巨大的安全漏洞。

使用錯誤的軟體

很多企業需要配合不同的工具來運作，包括CRM平臺、專案管理平臺和溝通平臺。而每一個軟體都將成為潛在的漏洞;這些應用程式將儲存與企業業務相關的資訊，如果被攻破，可能會帶來安全隱患。

因此，企業需要仔細選擇使用的工具。瞭解軟體開發商的聲譽，瞭解有哪些安全措施;例如，某些應用程式會採用人工智慧來加強網路安全，或使用強大的加密標準等。

無法持續更新

無論開發人員有多熟練，都不會有完美的軟體編碼。無論如何都會存在安全漏洞和長期完整性問題。如果這些漏洞被人發現，他們就可能利用這個漏洞發起攻擊。

幸運的是，大多數開發團隊和開源社群都在不斷地尋找潛在威脅，當他們發現新的威脅時，會透過補丁來進行修復。

但這些補丁只有在下載後才會起作用。然而，許多企業未能及時更新他們的軟體或裝置。最簡單的方法是強制進行自動更新，但許多企業只是允許員工根據自己的意願進行更新，而不是要求及時更新。

寄希望於單一的解決方案

有些安全產品和服務可以最大限度減少安全漏洞，包括防火牆、防病毒軟體和虛擬專用網路。但是大部分企業管理人員把他們所有的希望都寄託在單一的解決方案上。他們認為，只要使用了防火牆就不會遭受網路安全攻擊。

然而，完整的資料保護需要企業密切關注多種潛在威脅，並根據情況採取有效的解決方案進行防範。如果只是使用一兩種技術，可能會讓企業受到其他攻擊。

忽視個人裝置漏洞

如今，很多企業都允許員工自帶裝置進行辦公(BYOD)。一是可以節省購買員工裝置的費用，二是員工可以對自己使用的裝置型別和使用方式進行更多的控制。但是，如果企業員工沒有正確管理他們的裝置，那麼接入企業網路的個人裝置可能會帶來重大的安全風險。此外，員工可能在公共Wi-Fi網路上使用帶有公司賬戶的裝置或直接使用公司的裝置，都會帶來安全風險。

沒有對員工進行安全培訓

小型企業遭受網路攻擊最常見的原因之一是簡單的員工錯誤。很多網路罪犯都不是老練的駭客進行的，而是機會主義者，他們會尋找並利用因員工無知而造成的錯誤方法。例如，他們可能試圖欺騙員工放棄登入憑證，或者可能只是透過一個社交軟體來了解企業。員工往往會掌握很多資訊，員工表在網路安全實踐方面接受的培訓越多，企業面臨的安全漏洞也就越少。然而，很多企業都忽視了這一點。

讓企業高管認真對待網路安全並不是一件容易的事，現在已經有很多企業因為網路安全意識薄弱而造成巨大損失。當然，你對企業網路安全的常見漏洞瞭解得越多，就越有能力預防此類問題的發生。