安全專家只能做這么多。想象一下全球銀行、研究機構的復雜系統——過多的攝像頭、警衛、運動探測器、重量傳感器、激光和故障保險裝置。

但是，如果有人打開金庫門會發生什么？

同樣，服務器和網絡安全措施也只能做到這一點。攻擊者不需要設計復雜且技術含量高的方法來滲透您的企業基礎設施：他們只需要誘使有些容易上當或分心的員工點擊鏈接或打開附件。

無論員工是故意行為還是不知情和粗心，所有攻擊中有 60%來自內部。會計師、系統管理員或 C 級主管可能會暴露漏洞，其結果可能會導致公司因停機、銷售損失和品牌聲譽受損而損失數百萬美元。

IT 團隊可以通過遵循現場硬件、應用程序和網站的行業最佳實踐，采取所有現代預防措施來彌補任何潛在的漏洞。采用這樣值得信賴的托管服務提供商會以高接觸、個性化的托管服務和最先進的DDoS 保護的形式提供更強大的保護。但這可能不足以保護您的組織免受因錯綜復雜的網絡釣魚計劃或勒索軟件攻擊而墮落的善意員工的侵害。

強制使用強密碼

這個似乎很明顯 - 并且相對容易控制。但即使在 2016 年，也有近三分之二的數據泄露涉及利用弱密碼、被盜密碼或默認密碼。作為抵御攻擊的第一道防線，確保您的員工遵循嚴格的身份驗證做法是保護公司敏感數據的關鍵。

就什么構成強密碼對員工進行教育，并強制執行您實施的標準。密碼應該是大小寫字母、數字和符號的唯一且冗長的組合，您可以禁止用戶使用容易猜到的信息，例如他們的名字或姓氏、公司名稱，甚至是粗心的密碼，例如“密碼” '或'1234'。

一旦更強的密碼規則生效，要求員工定期更新和更改關鍵密碼。您可以鼓勵用戶使用密碼管理程序來幫助他們掌握訪問權限。

當不同級別的員工需要對某些應用程序和軟件進行不同級別的訪問時，密碼管理會變得更加復雜。定期評估用戶權限，并確保僅向真正需要的人授予訪問權限。當然，在員工離開公司時主動管理登錄權限和共享密碼——即使分手的條件很好。

對員工進行網絡釣魚教育和測試

我們早已過了不公正流放的尼日利亞王子向那些愿意為他出逃的人提供他的家庭財產的日子。電子郵件網絡釣魚是通過發送欺詐性電子郵件并通常冒充知名公司或目標受害者認識的人來獲取敏感信息（想想用戶名、密碼、信用卡號和其他類型的個人數據）的嘗試。

多年來，網絡釣魚攻擊變得更加微妙和難以檢測，即使對于 Office 365 和 G Suite 使用的過濾器和保護措施也是如此。攻擊者將定制消息以利用電子郵件客戶端和流行在線平臺中的特定弱點。近年來，電子郵件網絡釣魚取得了一些引人注目的勝利，使索尼影業和希拉里·克林頓 2016 年總統競選活動的電子郵件被泄露。事實上，后一種嘗試甚至愚弄了競選團隊的計算機服務臺。

攻擊者更頻繁地針對企業和組織而不是隨機個人，并且經常使用滲透來啟動勒索軟件攻擊。個性化的電子郵件、縮短的鏈接和虛假的登錄表單都用來誘騙用戶共享敏感的登錄信息或網絡訪問。

培訓員工了解現代網絡釣魚詐騙以及如何發現它們。實施使員工能夠報告可能有害的消息的流程，并考慮部署運行網絡釣魚模擬或使用人工智能或機器學習來檢測欺騙發件人、惡意代碼或奇怪字符集的服務。

防止人為錯誤

當然，沒有人是完美的。錯誤發生了，而且往往沒有一絲惡意和內部人員的失誤。然而，鑒于員工可以訪問敏感數據，最輕微的錯誤可能會導致災難性的后果。

簡單的、愚蠢的錯誤的威脅困擾著大大小小的企業。甚至亞馬遜也指責一名員工在 2017 年無意中導致了亞馬遜網絡服務的重大中斷。幾年前，一名蘋果軟件工程師錯誤地將備受期待的 iPhone 4的原型留在了酒吧。

無論您的員工是在處理重要數據還是設備，培訓和意識對于促進穩定和安全的運營都至關重要。一個組織的強大取決于其最薄弱的環節，一個簡單的失誤可能會產生重大后果。

通過實施嚴格的編碼標準、質量保證檢查和備份來保護您的組織。仔細查看用戶權限和訪問權限，以防止員工無意中更改系統或意外下載或安裝未經授權的軟件。考慮如何在整個組織中處理公司設備和敏感數據，并為最壞的情況做好準備。

保持警惕并依靠專家

盡管稀有的弱密碼或未使用的管理員帳戶可能不會對您的公司構成直接威脅，但任何安全疏忽都可能立即導致災難性后果。在保護您的業務基礎設施、設備和數據方面采取全面行動——從內到外。很樂意保護和監控您的系統，以便在漏洞被利用之前主動診斷和修補漏洞，但全面的安全性超出了我們的服務器強化、托管備份和可擴展的 DDoS 保護服務。安全是一項團隊運動，所以請大家聚在一起，讓我們為您的組織制定安全游戲計劃。