近來網絡犯罪呈上升趨勢，攻擊變得越來越迅速、越來越復雜。網絡攻擊引起的數(shù)據(jù)泄露數(shù)量在2021年猛增27%，絲毫沒有放緩的跡象。一些被忽視的安全陋習（比如多次使用同一個密碼）可能看起來無害，但確會使組織蒙受巨額損失。

本文介紹了目前企業(yè)中六種最常見的安全陋習以及修正方法，安全團隊需要盡快排查自己的企業(yè)是否存在這些陋習。大多數(shù)安全威脅和風險都是可以預防的，可以借助常識性方法、持續(xù)合規(guī)測試、評估、審計和衡量來加以解決。

1、密碼管理工作被忽視

60%以上的數(shù)據(jù)泄露事件涉及登錄信息被盜或安全性很差。使用相同密碼、共享密碼、在便條紙上記下密碼，這些糟糕的密碼做法屢見不鮮。別讓攻擊者輕松得逞！

方法：在整個組織制定一項密碼政策，使用密碼管理器，并啟用多因素身份驗證，以降低未授權帳戶訪問的風險。密碼政策應明確如何創(chuàng)建強密碼、密碼多久更新一次，以及如何在員工之間安全地共享密碼。

2、流于表面的安全流程

安全流程包含了從入職核對清單到隱私政策等多個方面，這些文檔應體現(xiàn)企業(yè)組織的安全團隊如何有效完成工作，并具體落實在日常工作中，而不是擬定后扔在某個文件夾中。必須定期考慮這些政策，根據(jù)發(fā)現(xiàn)的挑戰(zhàn)和風險加以改進。

方法：要求安全團隊定期審查和驗收安全政策。主動征求反饋意見，以確保政策和流程體現(xiàn)了團隊切實在做好工作，并得到整個組織上下的支持。

3、不安全的終端應用系統(tǒng)

遠程辦公模式已經越來越普遍，這讓企業(yè)團隊合作的地點、時間和方式在近兩年發(fā)生了巨變。盡管在家工作好處多多，但這股潮流也帶來了重大的安全挑戰(zhàn)。

如今更多的人使用不安全的Wi-Fi、混用辦公設備和個人設備、忽視定期的數(shù)據(jù)備份和軟件更新等。誰都不希望自己成為最終導致組織陷入困境的最薄弱一環(huán)。

方法：使用設備管理解決方案確保自動更新和修補軟件，制定移動設備政策，并鼓勵員工僅使用公司設備和安全網絡通道來訪問敏感數(shù)據(jù)。

4、忽視內部安全審計

即使組織已制定了適當?shù)陌踩吆统绦颍膊荒軐⑺鼈円暈橐怀刹蛔?。要了解組織的安全計劃在如何趨于完善（或未趨于完善），并隨時了解層出不窮的新威脅，持續(xù)測試和定期內部審計至關重要。

方法：制定內部審計計劃，至少每年審查一次組織的安全狀況，并找出機會加以改進。這也將確保貴組織隨時了解威脅領域出現(xiàn)的需要應對的任何變化。

5、不重視員工安全意識培養(yǎng)

網絡釣魚和惡意軟件是導致安全事件（包括勒索軟件事件）的最常見誘因，定期對員工開展安全最佳實踐方面的培訓，確保所有人都知道安全是整個組織的優(yōu)先事項。

方法：企業(yè)每年應該至少進行一次安全意識培訓，并對員工或用戶進行不定期的隨機測試，以確保他們真正了解并遵循公司的安全管理要求。

6、對網絡威脅后果缺少認知

太多的組織以為數(shù)據(jù)泄露或安全事件不會發(fā)生在自己身上。確保安全和合規(guī)不僅僅是IT部門關心的問題。從管理團隊和董事會到新員工，整個組織的所有人都應該了解組織所面臨的威脅，以及各自在保護客戶和組織數(shù)據(jù)安全方面的角色和責任。

方法：努力營造注重安全并了解其重要性的組織文化。確保所有員工都了解各自在保護客戶和業(yè)務信息安全方面的角色和責任，并清楚地傳達遵循既定政策和程序帶來的好處。

參考鏈接

https://threatpost.com/six-bad-habits-break/180082/。