七大日常安全威胁，你都躲过了么？

人类可从错误中吸取教训，但在网络安全领域，小小的错误或缺乏基础意识可能会对基础设施造成严重损害。随着加密和网络安全的进步，现代系统理应不太容易被渗透和攻击，但黑客群体的攻击技术日益精湛，对系统发动攻击并不困难。可以说，接入互联网的任何电子设备无法百分百地避免外界干扰。

今天，绿盟君将介绍缺乏网络安全意识面临的最常见的七大威胁。

01

网络钓鱼

网络钓鱼是这样一种现象：攻击者通过发送看似合法（但根本不合法）的电子邮件、社交网站或广告，诱骗受害者点击恶意附件或链接。多数情况下，一旦单击附件或链接受害者会打开看起来像原始页面的网页（实则不是原始页面），页面提示受害者输入信用卡号和社保号等保密信息。这些年来，网络钓鱼攻击日益复杂，黑客能够让攻击越来越接近于真实情况（例如某人收到了一封邮件，发件人的ID 与其哥哥的一模一样，他看也没看就照着邮件所说的去做了。这是因为黑客利用社会工程学进行精确模仿）。

在企业层面，这个漏洞很容易修复。员工需要接受培训敢于怀疑一切。只在确认邮件来自可靠发件人后点击其中的链接。为确保组织内部员工普遍具备安全意识，企业可聘请安全专家开展网络钓鱼测试，从而得知有多少员工会中招。

02

未经授权应用的安装/ 使用

另一种常见的安全威胁是因为在个人计算机和工作站上安装未授权的应用程序。如今，检验第三方应用程序的真伪很容易，但有时人们忽视了操作系统提供的警告，只是继续安装，还想着会出什么错呢？这只是一个应用程序，只有几兆字节而已。这是极其危险的，因为一旦被授予管理权限（在安装过程中选择是），该应用只需执行一个小脚本即可控制整台计算机。

要修复此漏洞，仅需取消企业设备和大多数员工的管理权限。相反，通过培训，讲解辨别第三方真伪和可信性，就足以让员工意识到安装未经授权的应用程序会带来威胁隐患。

03

默认或弱密码

显然，若要列出最常见的安全过失，弱密码不得不提。弱密码的问题在技术出现之初就已存在，并且仍然是世界上绝大多数的网络攻击的主要突破口。大多数应用程序套件、开发软件和企业解决方案都使用默认密码，这就好比您在晚上打开了自家大门。密码猜测是进入系统最容易的方法，也一直是黑客的首选方法。

显然，要解决这个漏洞，只需宣传强密码意识，明确强密码在牵制新手黑客方面所起的作用。现代复杂的系统不再接受不符合安全要求的用户密码，这一点应成为一条规范/标准。

04

禁用安全控件

可用性和安全性是一对冤家。为方便应用程序的使用，管理员常常禁用安全控制措施。显然，这样做会导致严重后果。（员工可在拥有绝对管理权限的计算机上安装其认为合适的任何应用程序。然而，一旦计算机感染了恶意软件，就会对网络及其接入的整个架构带来损害。）要修复该漏洞，需安装“厚实”的防火墙安全系统，阻止不需要的内容。这样，员工若安装恶意软件，需要向管理员申请安装权限。若发现所安装的是恶意软件，管理员会发出警告（并记录），拒绝授予安装权限，导致恶意软件无法安装。

05

远程安全欠缺

远程不安全性也会带来灾难性后果。员工经常在个人电脑和企业工作站之前进行文件传输或者允许家庭成员在家使用其公司设备，这可能会造成一些安全漏洞。考虑这样一种场景：Bob 工作站的处理能力不够，因此他在个人计算机上运行可执行的应用程序。他在个人计算机上完成了所有工作，记录好结果，然后把文件从个人计算机上删除。然而，此类专有应用程序的片段存在于Bob 的个人计算机上。使用高级的恢复软件即可恢复该应用程序，最糟糕是该应用程序可能存在不当使用的情况。

修复方案很简单：在公司范围内禁止将企业设备的数据传输至个人设备。

06

社交网络的不当使用

社交网络可以使整个工作环境保持协调活跃氛围，但也可能造成一些明显的风险，如公司保密信息被张贴在社交网站上。一旦保密信息被发布在社交网站上，就超出了组织的控制范围。此外，（毁灭性的）复杂的社会工程攻击数量也在逐年呈指数式增长。

为了解决这个问题，需要通过定期培训提高员工的技术意识。

07

过时软件或未安装补丁

最后，我们介绍一下过时软件导致的威胁（绝不是最不重要的）。通常，我们因为嫌麻烦总会延迟，结果造成系统中存在大量漏洞。发布更新或补丁的原因有很多种，有时是为了消除应用程序或其他软件中的漏洞。若不安装用于修复公开漏洞的更新，用户可能面临攻击风险。

再强调一次，员工（和普通个人）必须意识到安装更新和补丁的重要性，防止因为这种常见的错误而使系统受到攻击。

结语

即使最安全的基础设施也会时不时地遭受攻击，但这并不意味着遵循标准化的安全实践不能保护系统免受不必要的入侵。以上是现代网络攻击最常见的几种原因，可见，加强对这些网络攻击的防范意识极为重要。

本文原文来自于互联网的公共方式，由“安全加”社区小蜜蜂公益翻译组与绿盟科技博客出于学习交流的目的合作完成，免责声明及相关责任由“安全加”社区承担。

点“阅读原文”了解更多

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP