從未加密電子郵件到開放Wi-Fi再到配置錯(cuò)誤的防火墻，一部分最為常見的安全威脅很可能將大家的基礎(chǔ)設(shè)施供手讓予惡意人士。

[[134522]]

IT部門需要應(yīng)對(duì)的新型安全威脅每一年都在持續(xù)增加。網(wǎng)絡(luò)安全工作正變得越來越具有挑戰(zhàn)性，而攻擊活動(dòng)亦呈現(xiàn)出愈發(fā)復(fù)雜的發(fā)展態(tài)勢。不過拋開前沿性攻擊技術(shù)不談，很多用戶對(duì)于一部分核心基礎(chǔ)保護(hù)機(jī)制仍然缺乏足夠的重視。

Verizon公司在其《2015年數(shù)據(jù)泄露調(diào)查報(bào)告》中指出，在過去一年中共出現(xiàn)了2122起數(shù)據(jù)泄露事故，而安全破壞事件總數(shù)則接近80000起。其中大部分事故都可被歸為幾種有限的常見類型。在一些明顯且完全能夠避免的層面，用戶往往忽略了基礎(chǔ)性保護(hù)手段，并因此錯(cuò)失了依靠最小努力實(shí)現(xiàn)最大化保障效果的良機(jī)。

任何希望能夠規(guī)避潛在安全風(fēng)險(xiǎn)的IT部門都能夠?qū)⒁韵缕叻N常見威脅作為起點(diǎn)，一步步打下扎實(shí)的防御基礎(chǔ)：

移動(dòng)惡意軟件

大家必須建立起一套切實(shí)有效的移動(dòng)設(shè)備管理政策。如果大家允許用戶通過越獄或者root的方式繞過安全保護(hù)系統(tǒng)，并對(duì)他們從未知來源安裝應(yīng)用程序的行為視而不見，那么安全問題幾乎必然會(huì)發(fā)生。

由此帶來的后果將是毀滅性的。受感染的設(shè)備會(huì)在不知不覺中被企業(yè)內(nèi)部員工帶進(jìn)辦公環(huán)境，并輕松繞過我們重金構(gòu)建的安全保護(hù)系統(tǒng)。我們需要識(shí)別并刪除這些惡意軟件、遠(yuǎn)程清除設(shè)備數(shù)據(jù)并提供安全的企業(yè)服務(wù)器訪問機(jī)制?？偠灾?，利用加密以及安全容器機(jī)制對(duì)個(gè)人及企業(yè)數(shù)據(jù)加以保護(hù)應(yīng)該成為移動(dòng)安全體系中的關(guān)鍵性一環(huán)。

設(shè)備丟失或者被盜

很多最嚴(yán)重的數(shù)據(jù)泄露事故都源自用戶不小心將筆記本或者智能手機(jī)意外落在了某個(gè)地方。有時(shí)候人們對(duì)于設(shè)備的物理保護(hù)確實(shí)不太上心——當(dāng)然，設(shè)備被盜的狀況也是時(shí)有發(fā)生。

雖然我們無法徹底避免此類狀況的出現(xiàn)，但讓丟失或者被盜不再意味著數(shù)據(jù)泄露則沒那么困難。目前大多數(shù)設(shè)備已經(jīng)有能力對(duì)內(nèi)部保存的數(shù)據(jù)進(jìn)行加密并配備密碼保護(hù)機(jī)制。充分利用這些功能，我們可以在設(shè)備丟失或者被盜之后大大降低出現(xiàn)數(shù)據(jù)泄露事故的可能性。

未加密電子郵件

電子郵件可以說是富含有敏感數(shù)據(jù)的潛在寶藏，而且每天都有數(shù)以百萬計(jì)的未加密電子郵件被發(fā)出及接收。事實(shí)上，我們每個(gè)人都能輕松下載到相關(guān)工具，從而收集到這些未加密電子郵件。將未加密郵件與我們的登錄機(jī)制相結(jié)合，大家就相當(dāng)于將有價(jià)值數(shù)據(jù)拱手讓給不相關(guān)的外部人士了。

更為可悲的是，對(duì)電子郵件內(nèi)容進(jìn)行加密根本毫無難度可言。目前市面上存在著大量用戶友好型解決方案，其使用過程既不費(fèi)精力、亦沒什么成本。對(duì)電子郵件進(jìn)行加密的另一大好處在于，這不僅能夠防范網(wǎng)絡(luò)犯罪分子的介入、同時(shí)也可以有效避免人為錯(cuò)誤的影響。具體而言，員工不小心將電子郵件發(fā)送到錯(cuò)誤的地址時(shí)，很有可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露事故。

開放Wi-Fi

非安全Wi-Fi網(wǎng)絡(luò)的廣泛存在同樣令人驚訝及擔(dān)憂。如果大家沒有設(shè)置任何保護(hù)機(jī)制，那么您的網(wǎng)絡(luò)流量將很容易受到黑客們的窺探。舉例來說，惡意人士很可能會(huì)利用中間人攻擊查看我們的未加密電子郵件。我們絕對(duì)不應(yīng)在企業(yè)不無道理上使用不安全的消費(fèi)級(jí)路由器設(shè)備，這完全屬于自找麻煩。請(qǐng)大家確保自己已經(jīng)切實(shí)落實(shí)了網(wǎng)絡(luò)安全策略并將其執(zhí)行到位。

配置錯(cuò)誤的防火墻

很多企業(yè)都部署了自己的防火墻體系，并因此而誤以為這樣就能給安全帶來保障。然而現(xiàn)代惡意軟件的設(shè)計(jì)思路強(qiáng)調(diào)的正是在悄無聲息之間奪取您的有價(jià)值數(shù)據(jù)。如果不具備正確的軟件與專業(yè)的管理視角，大家永遠(yuǎn)意識(shí)不到自己已經(jīng)受到感染。我們需要安全專家來評(píng)判防火墻體系的具體配置方案。很多IT部門雖然已經(jīng)付出了大量預(yù)算，但卻仍然沒能真正享受到防火墻帶來的安全優(yōu)勢。除此之外，防火墻還應(yīng)當(dāng)在不影響性能表現(xiàn)的前提下為所有設(shè)備及位置提供實(shí)時(shí)保護(hù)。

淪陷的網(wǎng)絡(luò)過濾器

大家可能已經(jīng)設(shè)置了一套網(wǎng)絡(luò)過濾器，用以阻斷那些令人反感的內(nèi)容——然而問題在于，目前大多數(shù)網(wǎng)絡(luò)惡意軟件都被托管在了遭到突破的合法網(wǎng)站之上。無論這類入口點(diǎn)是由被支持網(wǎng)站構(gòu)成還是被鏈接在惡意電子郵件當(dāng)中，用戶都永遠(yuǎn)不會(huì)意識(shí)到自己已經(jīng)成為攻擊活動(dòng)的受害者。黑客可以購買漏洞包、利用瀏覽器中的安全缺陷并通過第三方軟件獲得攻擊立足點(diǎn)。因此，單單依靠靜態(tài)過濾器還遠(yuǎn)遠(yuǎn)不夠，大家需要利用實(shí)時(shí)過濾方案掃描可疑URL地址以及基于網(wǎng)絡(luò)的惡意軟件。

忽視Mac設(shè)備

蘋果公司一直沒能高調(diào)破除人們的一大意識(shí)誤區(qū)，即Mac設(shè)備不會(huì)受到惡意軟件的影響。2012年的Flashback木馬就曾經(jīng)感染了超過60萬臺(tái)Mac設(shè)備，而且事實(shí)證明該問題很難被徹底根除。自那時(shí)以來，發(fā)生在Mac平臺(tái)上的安全問題就一直不斷涌現(xiàn)。蘋果OS X系統(tǒng)確實(shí)擁有一些引人注目的安全功能，但它們還遠(yuǎn)稱不上完美，而且第三方軟件也在不斷帶來各種安全漏洞。這里我們?cè)俅螐?qiáng)調(diào)，蘋果并非對(duì)所有網(wǎng)絡(luò)攻擊完全免疫。很多安全專家也指出，目前勒索軟件開始大規(guī)模出現(xiàn)，惡意人士會(huì)將用戶的設(shè)備鎖定、并在對(duì)方交納“贖金”后才將其解鎖。而作為IT工作人員，我們絕不能對(duì)此毫無防備;請(qǐng)盡早在Mac上安裝合適的安全軟件。

在今天整理出的這份列表當(dāng)中，所有條目都能在無需投入大量資源的前提下得以實(shí)現(xiàn)，因此大家真的沒有理由不認(rèn)真加以對(duì)待。當(dāng)然，除了前面提到的層面之外，我們還需要從其它多個(gè)角度考慮問題才能真正實(shí)現(xiàn)安全保障，而且頂級(jí)威脅的發(fā)展步伐也一刻都沒有停歇。不過如果大家先從這七種常見威脅做起，相信各位將在對(duì)抗惡意人士的道路上擁有良好的開端。