從未加密電子郵件到開放Wi-Fi再到配置錯誤的防火墻，一部分最為常見的安全威脅很可能將大家的基礎(chǔ)設(shè)施供手讓予惡意人士。

[[134522]]

IT部門需要應(yīng)對的新型安全威脅每一年都在持續(xù)增加。網(wǎng)絡(luò)安全工作正變得越來越具有挑戰(zhàn)性，而攻擊活動亦呈現(xiàn)出愈發(fā)復(fù)雜的發(fā)展態(tài)勢。不過拋開前沿性攻擊技術(shù)不談，很多用戶對于一部分核心基礎(chǔ)保護機制仍然缺乏足夠的重視。

Verizon公司在其《2015年數(shù)據(jù)泄露調(diào)查報告》中指出，在過去一年中共出現(xiàn)了2122起數(shù)據(jù)泄露事故，而安全破壞事件總數(shù)則接近80000起。其中大部分事故都可被歸為幾種有限的常見類型。在一些明顯且完全能夠避免的層面，用戶往往忽略了基礎(chǔ)性保護手段，并因此錯失了依靠最小努力實現(xiàn)最大化保障效果的良機。

任何希望能夠規(guī)避潛在安全風險的IT部門都能夠?qū)⒁韵缕叻N常見威脅作為起點，一步步打下扎實的防御基礎(chǔ)：

移動惡意軟件

大家必須建立起一套切實有效的移動設(shè)備管理政策。如果大家允許用戶通過越獄或者root的方式繞過安全保護系統(tǒng)，并對他們從未知來源安裝應(yīng)用程序的行為視而不見，那么安全問題幾乎必然會發(fā)生。

由此帶來的后果將是毀滅性的。受感染的設(shè)備會在不知不覺中被企業(yè)內(nèi)部員工帶進辦公環(huán)境，并輕松繞過我們重金構(gòu)建的安全保護系統(tǒng)。我們需要識別并刪除這些惡意軟件、遠程清除設(shè)備數(shù)據(jù)并提供安全的企業(yè)服務(wù)器訪問機制?？偠灾眉用芤约鞍踩萜鳈C制對個人及企業(yè)數(shù)據(jù)加以保護應(yīng)該成為移動安全體系中的關(guān)鍵性一環(huán)。

設(shè)備丟失或者被盜

很多最嚴重的數(shù)據(jù)泄露事故都源自用戶不小心將筆記本或者智能手機意外落在了某個地方。有時候人們對于設(shè)備的物理保護確實不太上心——當然，設(shè)備被盜的狀況也是時有發(fā)生。

雖然我們無法徹底避免此類狀況的出現(xiàn)，但讓丟失或者被盜不再意味著數(shù)據(jù)泄露則沒那么困難。目前大多數(shù)設(shè)備已經(jīng)有能力對內(nèi)部保存的數(shù)據(jù)進行加密并配備密碼保護機制。充分利用這些功能，我們可以在設(shè)備丟失或者被盜之后大大降低出現(xiàn)數(shù)據(jù)泄露事故的可能性。

未加密電子郵件

電子郵件可以說是富含有敏感數(shù)據(jù)的潛在寶藏，而且每天都有數(shù)以百萬計的未加密電子郵件被發(fā)出及接收。事實上，我們每個人都能輕松下載到相關(guān)工具，從而收集到這些未加密電子郵件。將未加密郵件與我們的登錄機制相結(jié)合，大家就相當于將有價值數(shù)據(jù)拱手讓給不相關(guān)的外部人士了。

更為可悲的是，對電子郵件內(nèi)容進行加密根本毫無難度可言。目前市面上存在著大量用戶友好型解決方案，其使用過程既不費精力、亦沒什么成本。對電子郵件進行加密的另一大好處在于，這不僅能夠防范網(wǎng)絡(luò)犯罪分子的介入、同時也可以有效避免人為錯誤的影響。具體而言，員工不小心將電子郵件發(fā)送到錯誤的地址時，很有可能導(dǎo)致嚴重的數(shù)據(jù)泄露事故。

開放Wi-Fi

非安全Wi-Fi網(wǎng)絡(luò)的廣泛存在同樣令人驚訝及擔憂。如果大家沒有設(shè)置任何保護機制，那么您的網(wǎng)絡(luò)流量將很容易受到黑客們的窺探。舉例來說，惡意人士很可能會利用中間人攻擊查看我們的未加密電子郵件。我們絕對不應(yīng)在企業(yè)不無道理上使用不安全的消費級路由器設(shè)備，這完全屬于自找麻煩。請大家確保自己已經(jīng)切實落實了網(wǎng)絡(luò)安全策略并將其執(zhí)行到位。

配置錯誤的防火墻

很多企業(yè)都部署了自己的防火墻體系，并因此而誤以為這樣就能給安全帶來保障。然而現(xiàn)代惡意軟件的設(shè)計思路強調(diào)的正是在悄無聲息之間奪取您的有價值數(shù)據(jù)。如果不具備正確的軟件與專業(yè)的管理視角，大家永遠意識不到自己已經(jīng)受到感染。我們需要安全專家來評判防火墻體系的具體配置方案。很多IT部門雖然已經(jīng)付出了大量預(yù)算，但卻仍然沒能真正享受到防火墻帶來的安全優(yōu)勢。除此之外，防火墻還應(yīng)當在不影響性能表現(xiàn)的前提下為所有設(shè)備及位置提供實時保護。

淪陷的網(wǎng)絡(luò)過濾器

大家可能已經(jīng)設(shè)置了一套網(wǎng)絡(luò)過濾器，用以阻斷那些令人反感的內(nèi)容——然而問題在于，目前大多數(shù)網(wǎng)絡(luò)惡意軟件都被托管在了遭到突破的合法網(wǎng)站之上。無論這類入口點是由被支持網(wǎng)站構(gòu)成還是被鏈接在惡意電子郵件當中，用戶都永遠不會意識到自己已經(jīng)成為攻擊活動的受害者。黑客可以購買漏洞包、利用瀏覽器中的安全缺陷并通過第三方軟件獲得攻擊立足點。因此，單單依靠靜態(tài)過濾器還遠遠不夠，大家需要利用實時過濾方案掃描可疑URL地址以及基于網(wǎng)絡(luò)的惡意軟件。

忽視Mac設(shè)備

蘋果公司一直沒能高調(diào)破除人們的一大意識誤區(qū)，即Mac設(shè)備不會受到惡意軟件的影響。2012年的Flashback木馬就曾經(jīng)感染了超過60萬臺Mac設(shè)備，而且事實證明該問題很難被徹底根除。自那時以來，發(fā)生在Mac平臺上的安全問題就一直不斷涌現(xiàn)。蘋果OS X系統(tǒng)確實擁有一些引人注目的安全功能，但它們還遠稱不上完美，而且第三方軟件也在不斷帶來各種安全漏洞。這里我們再次強調(diào)，蘋果并非對所有網(wǎng)絡(luò)攻擊完全免疫。很多安全專家也指出，目前勒索軟件開始大規(guī)模出現(xiàn)，惡意人士會將用戶的設(shè)備鎖定、并在對方交納“贖金”后才將其解鎖。而作為IT工作人員，我們絕不能對此毫無防備;請盡早在Mac上安裝合適的安全軟件。

在今天整理出的這份列表當中，所有條目都能在無需投入大量資源的前提下得以實現(xiàn)，因此大家真的沒有理由不認真加以對待。當然，除了前面提到的層面之外，我們還需要從其它多個角度考慮問題才能真正實現(xiàn)安全保障，而且頂級威脅的發(fā)展步伐也一刻都沒有停歇。不過如果大家先從這七種常見威脅做起，相信各位將在對抗惡意人士的道路上擁有良好的開端。