2018年五大错误安全实践，你“中招”了吗？

2018 余额已经不足，回望全年，大规模数据泄露事件一波未平一波又起，企业深陷网络安全风险，频频高呼“人间不值得”……新一年，每个安全管理者都想“平安锦鲤”护体，避免成为下个数据泄露事件的新闻头条。

那么，2018到底有哪些需要铭记的经验教训？2019，企业又该如何改善安全防护水平？

为此，我们向行业专家咨询了导致企业暴露在网络安全风险之下的五大错误安全实践，并为您提供了可行的改善建议，助您 2019 过个妥妥的平安年。

1、密码策略不完善

密码作为一种安全机制，在企业和个人生活中广泛地使用。不过，密码策略仍旧存在着诸多问题。“维持高强度密码”是最基本也最容易被忽视的网络安全实践。企业在完成设备部署后，经常会直接采用出厂设置的默认密码。如果威胁实施者获取了制造商或服务提供商默认密码，损失将不可估量。

“每个帐户都应采用独一无二的密码，而且不重复使用。另外，每隔 30 到 90 天就应更新一次密码。密码中切勿包含宠物名等关键词或生日等关键日期。”

――Trustifi 首席执行官 Idan Udi Edry

基于此，企业应采用双重身份验证 (2FA) 技术来提升其访问战略的安全性，使用密码管理器不失为一剂良策。

“由于难以记住每个网站和服务对应的复杂密码，很多人使用‘123456’作为密码，或每个网站都使用相同的密码。其实，只需使用密码管理器应用或服务即可解决烦恼，大幅提升安全防护水平。”

――BestVPN.com 的数字隐私顾问

Douglas Crawford

2、云存储误配置

2018年初，Digital Shadows 的研究人员调研发现，超过 15 亿个敏感文件存储在误配置的 Web 站点和不安全的网络连接存储 (NAS) 驱动器等公共可用位置。被暴露的信息包括工资表、纳税申报单、医疗保健信息等宝贵的个人数据，所有这些信息都因忽视了云存储安全的最佳实践而遭受泄露。

“许多管理员往往会误配置他们的站点，导致其内容被公开。”

―― Digital Shadows 高级战略与研究分析师

Michael Marriott

“随着移动技术和云技术在企业中越来越广泛的使用，最糟糕的安全实践之一就是在互联网上公开关键云服务和 SaaS 应用。”

―― Perimeter 81 联合创立者、首席执行官

Amit Bareket

因此，企业必须主动分析存储设备中的潜在风险，并制定相应的计划解决组织面临的云数据风险。切记：对于任何连接的服务，与其不安全地部署，不如不进行部署。

3、网络安全意识培训效率低下

网络安全与企业员工息息相关。但您的员工对自身所面临的安全风险了解多少？其行为又如何能让您的企业对潜在的意外事件做好准备？

“每到节假日，非常关键的是确保员工建立旅游风险意识。在机场或酒店使用公共 Wi-Fi 访问公司数据、丢失个人手持设备或公司手提电脑（尤其是设备未加密）、与陌生人谈论工作或项目……都可能会暴露机密信息。”

――华盛顿地区风险管理公司 TalaTek 的

总裁兼创立者 Baan Alsinawi

据咨询与解决方案公司 Willis Towers Watson 的相关调研结果显示，66% 的网络数据泄露是由员工而导致，企业需制定健全的安全意识培训计划，就钓鱼攻击、社交工程技术及其他攻击类型定期对员工进行培训。如果安全意识培训尚未纳入到您的安全战略之中，那么在 2019 年，您就需要了解并着手实施一项安全意识计划，在您的组织内推行安全最佳实践。

4、第三方网络安全风险监管不力

第三方供应商及合作伙伴也会成为数据泄露的源头，如果他们的系统疏于防范，犯罪分子就会通过这些不安全的系统访问您公司的敏感信息。

“攻击者在面对经安全强化的企业系统时，会将矛头转向与该系统相集成的第三方系统，首先在这些第三方系统中建立阵地，然后利用这种集成隐含的信任获取企业系统的访问权。”

――杜兰大学职业发展学院应用计算计划总监、IT 管理与网络安全实践教授 Ralph R. Russo

2019 年，您应评估自身第三方风险管理流程的状态。如果您的供应商在安全方面有所欠缺，需优先找出可能导致您遭遇安全风险的缺口。同时，实施严格的审查流程来确定可信赖合作伙伴的安全等级。

5、缺乏意外事件响应计划

制定正式的网络安全意外事件响应计划并定期加以测试至关重要。但实际情况是，77% 的企业未制定任何正式的意外事件响应计划。

只有制定清晰、详细、灵活的综合性意外事件响应计划，将多方利益相关者纳入其中并定期对其进行测试和更新。企业才能在突发威胁事件时从容应对。