隨著對(duì)網(wǎng)絡(luò)安全工作的重視，很多組織的安全實(shí)踐正變得越來(lái)越復(fù)雜，這有利也有弊。由于許多新技術(shù)趨勢(shì)需要關(guān)注，比如云計(jì)算應(yīng)用、物聯(lián)網(wǎng)系統(tǒng)和大數(shù)據(jù)應(yīng)用等，會(huì)占用安全團(tuán)隊(duì)很多的精力和時(shí)間，這就容易讓一些簡(jiǎn)單、基礎(chǔ)但又不可或缺的網(wǎng)絡(luò)安全控制措施被忽略。例如，很多組織的安全分析師非常關(guān)注高級(jí)漏洞的發(fā)現(xiàn)與響應(yīng)，卻往往忽視賬號(hào)被竊取等更容易導(dǎo)致數(shù)據(jù)泄露的其他危害方式。

　　為了讓組織的安全建設(shè)避免出現(xiàn)事倍而功半的情況，安全研究人員對(duì)目前容易被忽視的基礎(chǔ)性安全工作進(jìn)行了梳理，可以幫助安全團(tuán)隊(duì)留意常被忽視的安全風(fēng)險(xiǎn)，以提高安全性，并隨時(shí)應(yīng)對(duì)那些意想不到的挑戰(zhàn)。

　　01 企業(yè)內(nèi)容管理系統(tǒng)中的安全漏洞

　　企業(yè)內(nèi)容管理系統(tǒng)對(duì)現(xiàn)代企業(yè)數(shù)字化業(yè)務(wù)開(kāi)展不可或缺。為了節(jié)省時(shí)間和資金投入，很多公司都使用開(kāi)源系統(tǒng)來(lái)開(kāi)發(fā)內(nèi)容管理系統(tǒng)，然而有一個(gè)問(wèn)題：這類(lèi)開(kāi)源系統(tǒng)幾乎都會(huì)存在安全缺陷，可能被用于獲取敏感信息。

　　公司可以采取幾個(gè)簡(jiǎn)單的措施，輕松解決這個(gè)問(wèn)題。借助熟練的IT團(tuán)隊(duì)，可以將安全開(kāi)發(fā)應(yīng)用結(jié)合到內(nèi)容管理系統(tǒng)代碼中，防止安全漏洞出現(xiàn)在代碼中。一旦盡量減小了漏洞的機(jī)率，就可以使用到位的隱私策略非常高效地處理其余方面。

　　理想情況下，內(nèi)容管理系統(tǒng)全生命周期都應(yīng)使用與其最兼容的安全工具來(lái)夯實(shí)，最常用的工具類(lèi)型是Docker安全工具和Kubernetes安全工具。然而，光有這可能還不夠。企業(yè)還應(yīng)始終落實(shí)一個(gè)持續(xù)評(píng)估代碼的系統(tǒng)。安全控制評(píng)估正式名為安全測(cè)試和評(píng)估（ST&E），評(píng)估有效確立策略的程度，評(píng)估是否按計(jì)劃執(zhí)行，并在滿足系統(tǒng)的安全目標(biāo)方面提供預(yù)期的結(jié)果。定期進(jìn)行此類(lèi)評(píng)估可以清楚地了解計(jì)劃在安全方面所處的狀況。

　　02 防范網(wǎng)絡(luò)釣魚(yú)的能力不足

　　網(wǎng)絡(luò)釣魚(yú)是網(wǎng)絡(luò)犯罪分子進(jìn)入公司內(nèi)網(wǎng)系統(tǒng)的最常用手法。應(yīng)迅速且頻繁地向員工宣講數(shù)據(jù)保護(hù)方法以及如何發(fā)現(xiàn)和防止網(wǎng)絡(luò)釣魚(yú)騙局。安全部門(mén)需要在工作場(chǎng)所和公司內(nèi)網(wǎng)上持續(xù)開(kāi)展網(wǎng)絡(luò)安全意識(shí)教育，而不能想當(dāng)然地以為每個(gè)人都已經(jīng)具備識(shí)別網(wǎng)絡(luò)釣魚(yú)的能力。

　　安全技術(shù)部門(mén)還應(yīng)該與公司其他部門(mén)之間有緊密的聯(lián)系，這可以大幅加強(qiáng)網(wǎng)絡(luò)安全應(yīng)用水平，業(yè)務(wù)人員應(yīng)該毫不猶豫地向IT部門(mén)提出問(wèn)題或列出潛在問(wèn)題。

　　我們可以通過(guò)以下幾種方法來(lái)發(fā)現(xiàn)潛在的系統(tǒng)危害，將它們納入到安全意識(shí)計(jì)劃中，將有助于更好地預(yù)防網(wǎng)絡(luò)釣魚(yú)攻擊：

　　系統(tǒng)莫名其妙出現(xiàn)運(yùn)行速度減慢是危險(xiǎn)信號(hào)；

　　如果不足夠了解情況，不應(yīng)打開(kāi)來(lái)歷不明的彈出式窗口；

　　系統(tǒng)存儲(chǔ)空間大幅增加或減少；

　　無(wú)法直接識(shí)別的文件和圖標(biāo)；

　　瀏覽器重定向到非預(yù)期網(wǎng)站應(yīng)該引起警惕；

　　無(wú)法識(shí)別的網(wǎng)絡(luò)活動(dòng)可能意味著有人企圖實(shí)施網(wǎng)絡(luò)釣魚(yú)。

　　03 離職員工的系統(tǒng)訪問(wèn)權(quán)限不能及時(shí)取消

　　員工離開(kāi)公司后，其具有的業(yè)務(wù)系統(tǒng)訪問(wèn)權(quán)限應(yīng)立即被禁用，這就需要確保公司能夠時(shí)刻了解個(gè)人訪問(wèn)級(jí)別的變化與配置。現(xiàn)實(shí)中，很多社交網(wǎng)絡(luò)密碼之類(lèi)的簡(jiǎn)單環(huán)節(jié)可能會(huì)被忽略，從而給將來(lái)埋下隱患。

　　應(yīng)定期審查公司的離職程序，以確保它們能夠與時(shí)俱進(jìn)，并且沒(méi)有將公司隱私信息對(duì)外暴露。每當(dāng)員工升職或調(diào)動(dòng)部門(mén)時(shí)，都應(yīng)該考慮到這一點(diǎn)。為所有重要系統(tǒng)啟用單點(diǎn)登錄（SSO），這是防止人員在離職后訪問(wèn)資源的另一種解決方案。一旦某個(gè)賬戶(hù)被禁用，該賬戶(hù)可訪問(wèn)的所有其他資源也同樣被禁用。

　　04 盲目依賴(lài)過(guò)時(shí)的加密方法

　　在企業(yè)中，有一個(gè)最常犯的錯(cuò)誤就是以為所有加密后的數(shù)據(jù)都能永遠(yuǎn)保持安全，盲目相信所使用的加密實(shí)踐始終無(wú)懈可擊。然而實(shí)際情況并非如此，加密過(guò)程中很多隱藏的技術(shù)缺陷，可能會(huì)使敏感數(shù)據(jù)面臨險(xiǎn)境。更糟糕的是，公司可能依賴(lài)過(guò)時(shí)的加密方案，這些方案很容易被利用，或者無(wú)法兼顧不同系統(tǒng)之間的數(shù)據(jù)傳輸。

　　改進(jìn)加密的最佳方法是從標(biāo)準(zhǔn)化的加密策略開(kāi)始。明確要采用的加密方式，規(guī)范組織各級(jí)部門(mén)使用加密密鑰的做法，了解靜態(tài)數(shù)據(jù)加密和動(dòng)態(tài)數(shù)據(jù)加密，并確保IT團(tuán)隊(duì)和管理層符合最新的國(guó)際加密標(biāo)準(zhǔn)。此外，公司還必須制定應(yīng)急程序，必須具體說(shuō)明在黑客攻擊得逞或加密意外失敗的情況下，公司能夠采取有效恢復(fù)原始數(shù)據(jù)的措施。

　　05 忽視物聯(lián)網(wǎng)設(shè)備的安全評(píng)估

　　在物聯(lián)網(wǎng)系統(tǒng)中，需要連接大量數(shù)字設(shè)備以實(shí)現(xiàn)優(yōu)化業(yè)務(wù)操作。然而，這種互連性恰恰增加了攻擊途徑和數(shù)據(jù)暴露面。在缺少可信執(zhí)行環(huán)境以及大量原代碼漏洞存在的情況下，廣泛的物聯(lián)網(wǎng)連接并不是一種可靠的業(yè)務(wù)發(fā)展方法。

　　企業(yè)需要盡早認(rèn)識(shí)到，推動(dòng)物聯(lián)網(wǎng)應(yīng)用也意味著增加安全成本，并從根本上加大保護(hù)網(wǎng)絡(luò)所需的工作量。因此，在決定是否在公司中使用物聯(lián)網(wǎng)之前，安全團(tuán)隊(duì)絕不能忽視安全評(píng)估系統(tǒng)給日常運(yùn)營(yíng)帶來(lái)的可能風(fēng)險(xiǎn)和回報(bào)。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<