誰也無法保證網(wǎng)絡(luò)的絕對(duì)安全，即使組織機(jī)構(gòu)有數(shù)百萬美元的IT預(yù)算，但仍無法擺脫因數(shù)據(jù)泄露登上頭條新聞的噩夢(mèng)，甚至連政府情報(bào)機(jī)構(gòu)都無法守住自己的黑客工具(今年3月CIA大量敏感文件和黑客工具泄露)，正所謂道高一尺魔高一丈，網(wǎng)絡(luò)攻擊防不勝防。

雖然軟件解決方案、應(yīng)用程序、服務(wù)以及硬件提供商可以提供高品質(zhì)解決方案，但阻止入侵和淪為受害者之間的差距通常體現(xiàn)在人為監(jiān)督上，例如，技術(shù)安全保護(hù)通常容易被社交工程和人為錯(cuò)誤破壞。

事實(shí)上，CompTIA發(fā)布的2016國際網(wǎng)絡(luò)安全趨勢(shì)報(bào)告指出，58%的網(wǎng)絡(luò)入侵因人類錯(cuò)誤所致，42%因技術(shù)錯(cuò)誤造成。

例如，索尼影業(yè)數(shù)據(jù)被泄導(dǎo)致員工個(gè)人信息、電子郵件、甚至未發(fā)行的電影拷貝外泄，其證據(jù)表明，入侵者首先通過魚叉式網(wǎng)絡(luò)釣魚活動(dòng)欺騙員工，從而獲取了登錄憑證，繼而進(jìn)一步實(shí)施入侵。

有時(shí)候，攻擊者甚至不需要誘騙員工交出登錄憑證，僅憑猜測(cè)就能獲取弱密碼。Verizon公司指出，63%的網(wǎng)絡(luò)入侵通過被竊取的、默認(rèn)或易于猜測(cè)的弱登錄憑證而得手。

如果人為錯(cuò)誤在保護(hù)網(wǎng)絡(luò)中扮演如此重要的角色，那么組織機(jī)構(gòu)應(yīng)向員工培訓(xùn)哪些安全知識(shí)?

顯然密碼保護(hù)和網(wǎng)絡(luò)釣魚是攻擊者入侵的突破口，企業(yè)和組織機(jī)構(gòu)可以從這兩個(gè)主要方面入手。

密碼保護(hù)

為什么弱登錄憑證是數(shù)據(jù)泄露的關(guān)鍵因素?

因?yàn)樵诎踩头奖阒g，人們通常會(huì)圖方便，而忽視了安全。密碼重用就是例證。2012年，Dropbox之所以遭遇數(shù)據(jù)泄露事件，其原因就在于公司員工的公司賬號(hào)和私人LinkedIn賬號(hào)使用了相同的密碼，而LinkedIn在當(dāng)年早些時(shí)候曾遭遇過入侵。

常見的密碼保護(hù)策略包括：

密碼應(yīng)包含字母、數(shù)字和特殊字符;

要求員工定期(每個(gè)幾個(gè)月)修改一次密碼。

然而，員工經(jīng)常圖方便，就會(huì)在重置密碼時(shí)僅僅修改某個(gè)字符。

最容易遭到黑客攻擊的習(xí)慣，或許您也有-E安全

有人可能會(huì)提出，在適當(dāng)?shù)男蝿?shì)下，放松某些政策和保護(hù)可能會(huì)增強(qiáng)密碼的安全性。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)近期發(fā)布了數(shù)字身份指南草案。NIST不推薦使用復(fù)雜的、難以記住的密碼組合。相反，他們鼓勵(lì)企業(yè)讓員工使用較長(zhǎng)、且容易記住的密碼，例如TelevisionBrainsHurtEverything或SometimesDoggyOthersChair。

除此之外，組織機(jī)構(gòu)也應(yīng)鼓勵(lì)員工使用密碼管理器，因?yàn)槊艽a管理器可以解決密碼重用和復(fù)雜的問題。雖然密碼管理器的弊端是允許通過一個(gè)主密碼有效獲取所有賬號(hào)密碼，而用戶更有可能創(chuàng)建并記住一個(gè)高度復(fù)雜的密碼，例如Min97$XP19*244，而不是每個(gè)賬號(hào)上設(shè)置多個(gè)復(fù)雜的密碼。

除此之外，組織機(jī)構(gòu)還應(yīng)在技術(shù)層面為用戶提供安全性。例如，Wi-Fi聯(lián)盟最近推出了Wi-Fi Passpoint標(biāo)準(zhǔn)，旨在改進(jìn)連接客戶端公共Wi-Fi熱點(diǎn)的實(shí)用性和安全性。Wi-Fi Passpoint代替非加密(開放)的熱點(diǎn)或輸入共享密鑰，而是允許熱點(diǎn)用戶創(chuàng)建一個(gè)Wi-Fi Passpoint賬號(hào)。人們使用保存在移動(dòng)設(shè)備上的這個(gè)賬號(hào)自動(dòng)連接到受WPA2 Enterprise 安全保護(hù)的Wi-Fi Passpoint熱點(diǎn)。

網(wǎng)絡(luò)釣魚騙局

網(wǎng)絡(luò)釣魚電子郵件也依賴于人為錯(cuò)誤，因此組織機(jī)構(gòu)需要培訓(xùn)員工做出更明智的安全決策。相比在遭遇勒索軟件感染后花掉整個(gè)周末的時(shí)間費(fèi)盡心思恢復(fù)備份，培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚攻擊無異于讓你享受美好的周末，明顯輕松許多。

用戶要警惕攻擊者利用未經(jīng)請(qǐng)求的電子郵件發(fā)起網(wǎng)絡(luò)釣魚活動(dòng)。網(wǎng)絡(luò)釣魚電子郵件看起來像是合法的，然而其中卻包含惡意軟件，例如發(fā)送重置Apple.com密碼的電子郵件。大多數(shù)網(wǎng)絡(luò)釣魚電子郵件都有一個(gè)常見特征：出人意料。如果用戶并未請(qǐng)求重置Apple.com的密碼，那么密碼重置電子郵件很有可能就是假的。

最成功的網(wǎng)絡(luò)釣魚攻擊非常具有說服力。然而，網(wǎng)絡(luò)釣魚攻擊無法使用合法網(wǎng)站的URL(排除非常特殊的個(gè)例)。用戶應(yīng)對(duì)所有電子郵件中包含的網(wǎng)絡(luò)鏈接持懷疑態(tài)度，并仔細(xì)檢查URL是否與網(wǎng)站匹配。切勿冒然點(diǎn)擊電子郵件中的鏈接，直接訪問組織機(jī)構(gòu)的官網(wǎng)或?qū)ふ宜璧捻撁妗?/p>

網(wǎng)絡(luò)犯罪分子通常會(huì)尋找最薄弱的環(huán)節(jié)作為滲透網(wǎng)絡(luò)的突破口。(相關(guān)閱讀：如果你被釣魚了一定要自我反省 像素追蹤技術(shù)告訴你這是為什么)建議組織機(jī)構(gòu)培訓(xùn)員工并制定相關(guān)制度，提高員工的安全意識(shí)。此外，找到“NSA級(jí)”安全和和實(shí)用安全之間的平衡點(diǎn)是關(guān)鍵。提組織機(jī)構(gòu)應(yīng)提供網(wǎng)絡(luò)釣魚培訓(xùn)、要求員工使用密碼管理器，并鼓勵(lì)員工使用長(zhǎng)密碼，這將有助于組織機(jī)構(gòu)打擊人為因素所致的網(wǎng)絡(luò)安全問題，并提高組織機(jī)構(gòu)的整體安全態(tài)勢(shì)。