隨著對(duì)網(wǎng)絡(luò)安全工作的重視,，很多組織的安全實(shí)踐正變得越來越復(fù)雜,，這有利也有弊,。由于許多新技術(shù)趨勢(shì)需要關(guān)注,，比如云計(jì)算應(yīng)用,、物聯(lián)網(wǎng)系統(tǒng)和大數(shù)據(jù)應(yīng)用等,，會(huì)占用安全團(tuán)隊(duì)很多的精力和時(shí)間，這就容易讓一些簡(jiǎn)單,、基礎(chǔ)但又不可或缺的網(wǎng)絡(luò)安全控制措施被忽略,。例如，很多組織的安全分析師非常關(guān)注高級(jí)漏洞的發(fā)現(xiàn)與響應(yīng),，卻往往忽視賬號(hào)被竊取等更容易導(dǎo)致數(shù)據(jù)泄露的其他危害方式,。

　　為了讓組織的安全建設(shè)避免出現(xiàn)事倍而功半的情況，安全研究人員對(duì)目前容易被忽視的基礎(chǔ)性安全工作進(jìn)行了梳理,，可以幫助安全團(tuán)隊(duì)留意常被忽視的安全風(fēng)險(xiǎn),，以提高安全性，并隨時(shí)應(yīng)對(duì)那些意想不到的挑戰(zhàn),。

　　01 企業(yè)內(nèi)容管理系統(tǒng)中的安全漏洞

　　企業(yè)內(nèi)容管理系統(tǒng)對(duì)現(xiàn)代企業(yè)數(shù)字化業(yè)務(wù)開展不可或缺,。為了節(jié)省時(shí)間和資金投入，很多公司都使用開源系統(tǒng)來開發(fā)內(nèi)容管理系統(tǒng),，然而有一個(gè)問題：這類開源系統(tǒng)幾乎都會(huì)存在安全缺陷,，可能被用于獲取敏感信息,。

　　公司可以采取幾個(gè)簡(jiǎn)單的措施，輕松解決這個(gè)問題,。借助熟練的IT團(tuán)隊(duì),，可以將安全開發(fā)應(yīng)用結(jié)合到內(nèi)容管理系統(tǒng)代碼中，防止安全漏洞出現(xiàn)在代碼中,。一旦盡量減小了漏洞的機(jī)率,，就可以使用到位的隱私策略非常高效地處理其余方面。

　　理想情況下,，內(nèi)容管理系統(tǒng)全生命周期都應(yīng)使用與其最兼容的安全工具來夯實(shí),，最常用的工具類型是Docker安全工具和Kubernetes安全工具。然而,，光有這可能還不夠,。企業(yè)還應(yīng)始終落實(shí)一個(gè)持續(xù)評(píng)估代碼的系統(tǒng)。安全控制評(píng)估正式名為安全測(cè)試和評(píng)估（ST&E）,，評(píng)估有效確立策略的程度,，評(píng)估是否按計(jì)劃執(zhí)行，并在滿足系統(tǒng)的安全目標(biāo)方面提供預(yù)期的結(jié)果,。定期進(jìn)行此類評(píng)估可以清楚地了解計(jì)劃在安全方面所處的狀況,。

　　02 防范網(wǎng)絡(luò)釣魚的能力不足

　　網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)犯罪分子進(jìn)入公司內(nèi)網(wǎng)系統(tǒng)的最常用手法。應(yīng)迅速且頻繁地向員工宣講數(shù)據(jù)保護(hù)方法以及如何發(fā)現(xiàn)和防止網(wǎng)絡(luò)釣魚騙局,。安全部門需要在工作場(chǎng)所和公司內(nèi)網(wǎng)上持續(xù)開展網(wǎng)絡(luò)安全意識(shí)教育,，而不能想當(dāng)然地以為每個(gè)人都已經(jīng)具備識(shí)別網(wǎng)絡(luò)釣魚的能力。

　　安全技術(shù)部門還應(yīng)該與公司其他部門之間有緊密的聯(lián)系,，這可以大幅加強(qiáng)網(wǎng)絡(luò)安全應(yīng)用水平,，業(yè)務(wù)人員應(yīng)該毫不猶豫地向IT部門提出問題或列出潛在問題。

　　我們可以通過以下幾種方法來發(fā)現(xiàn)潛在的系統(tǒng)危害,，將它們納入到安全意識(shí)計(jì)劃中,，將有助于更好地預(yù)防網(wǎng)絡(luò)釣魚攻擊：

　　系統(tǒng)莫名其妙出現(xiàn)運(yùn)行速度減慢是危險(xiǎn)信號(hào)；

　　如果不足夠了解情況,，不應(yīng)打開來歷不明的彈出式窗口,；

　　系統(tǒng)存儲(chǔ)空間大幅增加或減少,；

　　無法直接識(shí)別的文件和圖標(biāo),；

　　瀏覽器重定向到非預(yù)期網(wǎng)站應(yīng)該引起警惕；

　　無法識(shí)別的網(wǎng)絡(luò)活動(dòng)可能意味著有人企圖實(shí)施網(wǎng)絡(luò)釣魚,。

　　03 離職員工的系統(tǒng)訪問權(quán)限不能及時(shí)取消

　　員工離開公司后,，其具有的業(yè)務(wù)系統(tǒng)訪問權(quán)限應(yīng)立即被禁用，這就需要確保公司能夠時(shí)刻了解個(gè)人訪問級(jí)別的變化與配置?，F(xiàn)實(shí)中,，很多社交網(wǎng)絡(luò)密碼之類的簡(jiǎn)單環(huán)節(jié)可能會(huì)被忽略,，從而給將來埋下隱患。

　　應(yīng)定期審查公司的離職程序,，以確保它們能夠與時(shí)俱進(jìn),，并且沒有將公司隱私信息對(duì)外暴露。每當(dāng)員工升職或調(diào)動(dòng)部門時(shí),，都應(yīng)該考慮到這一點(diǎn),。為所有重要系統(tǒng)啟用單點(diǎn)登錄（SSO），這是防止人員在離職后訪問資源的另一種解決方案,。一旦某個(gè)賬戶被禁用,，該賬戶可訪問的所有其他資源也同樣被禁用。

　　04 盲目依賴過時(shí)的加密方法

　　在企業(yè)中,，有一個(gè)最常犯的錯(cuò)誤就是以為所有加密后的數(shù)據(jù)都能永遠(yuǎn)保持安全,，盲目相信所使用的加密實(shí)踐始終無懈可擊。然而實(shí)際情況并非如此,，加密過程中很多隱藏的技術(shù)缺陷,，可能會(huì)使敏感數(shù)據(jù)面臨險(xiǎn)境。更糟糕的是,，公司可能依賴過時(shí)的加密方案,，這些方案很容易被利用，或者無法兼顧不同系統(tǒng)之間的數(shù)據(jù)傳輸,。

　　改進(jìn)加密的最佳方法是從標(biāo)準(zhǔn)化的加密策略開始,。明確要采用的加密方式，規(guī)范組織各級(jí)部門使用加密密鑰的做法,，了解靜態(tài)數(shù)據(jù)加密和動(dòng)態(tài)數(shù)據(jù)加密,，并確保IT團(tuán)隊(duì)和管理層符合最新的國(guó)際加密標(biāo)準(zhǔn)。此外,，公司還必須制定應(yīng)急程序,，必須具體說明在黑客攻擊得逞或加密意外失敗的情況下，公司能夠采取有效恢復(fù)原始數(shù)據(jù)的措施,。

　　05 忽視物聯(lián)網(wǎng)設(shè)備的安全評(píng)估

　　在物聯(lián)網(wǎng)系統(tǒng)中,，需要連接大量數(shù)字設(shè)備以實(shí)現(xiàn)優(yōu)化業(yè)務(wù)操作。然而,，這種互連性恰恰增加了攻擊途徑和數(shù)據(jù)暴露面,。在缺少可信執(zhí)行環(huán)境以及大量原代碼漏洞存在的情況下，廣泛的物聯(lián)網(wǎng)連接并不是一種可靠的業(yè)務(wù)發(fā)展方法,。

　　企業(yè)需要盡早認(rèn)識(shí)到,，推動(dòng)物聯(lián)網(wǎng)應(yīng)用也意味著增加安全成本，并從根本上加大保護(hù)網(wǎng)絡(luò)所需的工作量。因此,，在決定是否在公司中使用物聯(lián)網(wǎng)之前,，安全團(tuán)隊(duì)絕不能忽視安全評(píng)估系統(tǒng)給日常運(yùn)營(yíng)帶來的可能風(fēng)險(xiǎn)和回報(bào)。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<