幾乎每個(gè)人都聽(tīng)過(guò)這樣一句話“如果一件事聽(tīng)起來(lái)像是千真萬(wàn)確的，那它就很可能是真的”，然而很少有人注意到這句話的警示寓言，因?yàn)槊恳荒甓紩?huì)有成千上萬(wàn)的企業(yè)和數(shù)以百萬(wàn)計(jì)的人被欺詐?；ヂ?lián)網(wǎng)讓企業(yè)和用戶遭遇到惡意行為的迫害，致使他們的錢財(cái)和重要信息被竊取。傳統(tǒng)的互聯(lián)網(wǎng)詐騙更青睞于受害者的信用卡信息，而今天的互聯(lián)網(wǎng)詐騙更傾向于免費(fèi)提供***的、有網(wǎng)絡(luò)漏洞的服務(wù)，致使你上當(dāng)受害。

對(duì)于企業(yè)的IT人員和IT安全團(tuán)隊(duì)來(lái)說(shuō)，這將是一個(gè)新奇的、有趣的挑戰(zhàn)。大多數(shù)公司習(xí)慣在相關(guān)的應(yīng)用程序和軟件方面花費(fèi)成本、進(jìn)行安全監(jiān)管，對(duì)免費(fèi)的概念還認(rèn)識(shí)得不夠多。

下面就讓我們來(lái)看看大多數(shù)中大型企業(yè)購(gòu)買新軟件的過(guò)程吧。當(dāng)業(yè)務(wù)需求確定以后，需要啟動(dòng)資金、建立預(yù)算，在訂購(gòu)單批準(zhǔn)以后，需要請(qǐng)教專業(yè)的IT人員推薦合適的技術(shù)解決方案。此時(shí)，IT人員將會(huì)對(duì)可選的軟件進(jìn)行調(diào)查和研究，對(duì)供應(yīng)商的安全和誠(chéng)信進(jìn)行評(píng)估，或許還會(huì)跟分析師一起商量分析，把可選的范圍縮小，然后再做決定。通常情況下，***一個(gè)步驟是待法律審查合同和服務(wù)條款，以確保符合公司政策。軟件一旦購(gòu)買以后，就要安裝和注冊(cè)。

在商業(yè)環(huán)境下，處理免費(fèi)軟件或應(yīng)用程序的下載時(shí)，所有的保障措施沒(méi)有一個(gè)是管用的。隨著預(yù)算的緊縮和IT資源的減少，用戶可能就會(huì)尋找免費(fèi)的軟件，而不是修改采購(gòu)流程去購(gòu)買新的軟件工具。我承認(rèn)，有許多的免費(fèi)軟件和應(yīng)用程序訥能夠提供巨大的商業(yè)價(jià)值，但是用戶和IT人員必須權(quán)衡哪些工具是允許使用在自己的辦公環(huán)境中，這是一個(gè)風(fēng)險(xiǎn)與回報(bào)的權(quán)衡。

許多的企業(yè)組織只允許管理員到企業(yè)網(wǎng)絡(luò)上下載軟件，以為這樣就能夠在軟件安裝上提供安全保障。然而，隨著云計(jì)算應(yīng)用程序和BYOD設(shè)備的增多，軟件安裝的概念在企業(yè)網(wǎng)絡(luò)中已經(jīng)不像原來(lái)那樣重要了，擴(kuò)展關(guān)于云計(jì)算應(yīng)用程序和BYOD設(shè)備的企業(yè)網(wǎng)絡(luò)的權(quán)限已經(jīng)授權(quán)給用戶了，目前面對(duì)的現(xiàn)實(shí)是無(wú)論被不被批準(zhǔn)，大多數(shù)企業(yè)網(wǎng)絡(luò)都在繼續(xù)向云計(jì)算擴(kuò)展。

對(duì)于大多數(shù)企業(yè)用戶而言，相比與風(fēng)險(xiǎn)，下載免費(fèi)軟件和程序有更多的效益和好處。例如，在一臺(tái)平板電腦或智能手機(jī)上下載和使用***的熱門游戲，對(duì)個(gè)人用戶來(lái)說(shuō)基本上是沒(méi)有風(fēng)險(xiǎn)的。在這些設(shè)備上潛在的數(shù)據(jù)丟失風(fēng)險(xiǎn)其實(shí)是非常小的，而且在大多數(shù)情況下，像Google和蘋果這樣的網(wǎng)上應(yīng)用商店會(huì)對(duì)它們主機(jī)上的應(yīng)用程序做一些審查工作，以確保安全。然而，如果在企業(yè)網(wǎng)絡(luò)中引入一個(gè)有漏洞的應(yīng)用程序，其帶來(lái)的風(fēng)險(xiǎn)可能會(huì)是災(zāi)難性的，那時(shí)你要擔(dān)心的就不止一個(gè)用戶了。

因?yàn)槊赓M(fèi)軟件和程序的運(yùn)行通常都是很低調(diào)的，再加上IT和安全團(tuán)隊(duì)也沒(méi)有很積極地監(jiān)測(cè)這些程序，所以很難洞察到它們的存在。從用戶的角度來(lái)看，無(wú)論是下載這些免費(fèi)軟件和程序，還是通過(guò)Web瀏覽器得到企業(yè)的軟件服務(wù)程序的使用權(quán)限，都不會(huì)增加企業(yè)的消費(fèi)成本，所以沒(méi)有理由不把它們引入到企業(yè)中。這種設(shè)想創(chuàng)造了新的安全威脅類型，這些漏洞建立者妄圖把免費(fèi)的軟件或程序變成高代價(jià)的工具。

面對(duì)這新的挑戰(zhàn)，IT人員并不具有完全的抵抗力，因?yàn)檫@些免費(fèi)工具本身是為IT管理服務(wù)的;另一方面，他們也想在完成工作的同時(shí)，盡可能提高速度和降低成本。但是當(dāng)一個(gè)IT管理員安裝或授權(quán)一個(gè)Web瀏覽器使用企業(yè)的軟件服務(wù)程序的時(shí)候，也就說(shuō)明了他的上級(jí)管理員在訪問(wèn)第三方的免費(fèi)應(yīng)用程序。

那么，企業(yè)組織是否應(yīng)該感到恐慌了呢?不應(yīng)該，他們應(yīng)該對(duì)這一問(wèn)題做好處理和解決的準(zhǔn)備，雖然我一直在提倡效率，并且允許員工使用能夠提高自己生產(chǎn)力的工具，但是保護(hù)組織的完整和安全永遠(yuǎn)都是最重要的。記住，如果一件事情好到不像是真的的時(shí)候，它通常就是真的。因此，我建議網(wǎng)絡(luò)安全人員教育自己的職員要考慮到免費(fèi)軟件和程序的潛在風(fēng)險(xiǎn)，提醒他們要從可信網(wǎng)站上去下載授權(quán)的軟件和程序。

一個(gè)軟件或程序的標(biāo)價(jià)不應(yīng)該是安全性的試金石，它僅僅說(shuō)明了該軟件或程序是否值得進(jìn)一步調(diào)查。大多數(shù)可供下載的工具，不管是不是免費(fèi)的，都應(yīng)該考慮它們的使用性能和安全性。但是，盡管我們知道互聯(lián)網(wǎng)是一個(gè)很危險(xiǎn)的地方，還是有很多人為了經(jīng)濟(jì)利益而對(duì)這些漏洞不管不顧。

另外雖然有一句古話說(shuō)，天下沒(méi)有免費(fèi)的午餐，但是如果企業(yè)組織稍加警惕和教育的話，這些免費(fèi)軟件和程序或許會(huì)成為例外。

原文鏈接：http://www.securityweek.com/true-cost-free-enterprise