常莽

盡管有證據(jù)表明在一些全球知名的企業(yè)組織中存在價(jià)值數(shù)10億美元的網(wǎng)絡(luò)安全漏洞，但企業(yè)仍然沒有認(rèn)真對待網(wǎng)絡(luò)安全。大公司在尋找各種理由來減少網(wǎng)絡(luò)安全預(yù)算，從而削減成本，而不是對其基礎(chǔ)設(shè)施進(jìn)行投資，而小企業(yè)更是直接忽略了網(wǎng)絡(luò)安全所帶來的威脅。

那么，為什么網(wǎng)絡(luò)安全仍然沒有得到充分利用和重視？企業(yè)高管最常見的錯(cuò)誤又有哪些？

沒有認(rèn)真對待網(wǎng)絡(luò)安全問題

這里最大的問題之一是，企業(yè)管理人員仍然沒有認(rèn)真對待網(wǎng)絡(luò)安全，至少沒有足夠重視它。對于大企業(yè)來說，這是多種因素綜合作用的結(jié)果。例如，他們可能已經(jīng)在IT團(tuán)隊(duì)和網(wǎng)絡(luò)安全工具上花費(fèi)了大量資金，但是他們可能沒有一個(gè)衡量這些投資是否足夠的標(biāo)準(zhǔn)，并且很難看到自己投資的結(jié)果。畢竟，如果網(wǎng)絡(luò)安全策略有效，就不會成為重大攻擊或黑客攻擊的目標(biāo)。

最重要的是，大型企業(yè)經(jīng)常在部門孤島中掙扎。網(wǎng)絡(luò)安全專家發(fā)現(xiàn)自己與組織的其他成員處于隔絕狀態(tài)，無法提供指導(dǎo)或建議，其影響組織的能力非常有限。因此，其他部門的人并沒有過多考慮網(wǎng)絡(luò)安全問題。

對于小型企業(yè)來講，盡管他們是網(wǎng)絡(luò)犯罪分子攻擊最常見的目標(biāo)之一，但他們普遍的態(tài)度是“我們太小了，不會成為黑客的攻擊目標(biāo)”。哪怕是對最基本的網(wǎng)絡(luò)安全措施需要支付高額賬單時(shí)，小企業(yè)都不愿意為此花錢。

在任何情況下，如果一個(gè)企業(yè)不重視網(wǎng)絡(luò)安全，他們就不會做太多的安全措施來保護(hù)自己。

有應(yīng)對網(wǎng)絡(luò)安全，但并不是主動應(yīng)對

網(wǎng)絡(luò)安全要想發(fā)揮作用，就需要積極行動起來，企業(yè)需要在遭受數(shù)據(jù)泄露或黑客攻擊之前很長時(shí)間投入工作，如果等到確定自己會成為受害者，就為時(shí)已晚了。

這就是主動網(wǎng)絡(luò)安全與被動網(wǎng)絡(luò)安全的區(qū)別。在遭遇數(shù)據(jù)泄露后，企業(yè)更加熱衷于投資必要的基礎(chǔ)設(shè)施，以防止未來再次發(fā)生類似的攻擊。而如果他們一開始就這樣做，就可以節(jié)省數(shù)百萬甚至數(shù)10億美元。

即使目前看起來可能沒有問題的企業(yè)，也最好將網(wǎng)絡(luò)安全作為日常工作，這是企業(yè)要不斷投資和改進(jìn)的東西。

設(shè)立網(wǎng)絡(luò)安全獨(dú)立部門

很多企業(yè)將網(wǎng)絡(luò)安全視為自己或IT部門的一個(gè)分支。這種方法可以讓企業(yè)雇傭網(wǎng)絡(luò)安全領(lǐng)域的專家，并專門為網(wǎng)絡(luò)安全提供資金。雖然這不一定是一個(gè)糟糕的策略，但這可能會對企業(yè)產(chǎn)生誤導(dǎo)，并可能使企業(yè)受到其他領(lǐng)域的攻擊。

相反，網(wǎng)絡(luò)安全應(yīng)該是團(tuán)隊(duì)合作的最佳方式。例如，采用DevOps實(shí)踐的團(tuán)隊(duì)會通過努力工作來確保將安全性融入到開發(fā)過程的每個(gè)階段，而不是簡單地在最后硬塞進(jìn)去。

企業(yè)要解決的最大問題是，安全漏洞無處不在，它會存在于組織的每個(gè)部門或個(gè)人，只有互相協(xié)作，才能將這些漏洞降到最低。

實(shí)施錯(cuò)誤的密碼實(shí)踐

說到個(gè)人漏洞，很多企業(yè)仍在因錯(cuò)誤使用密碼而帶來困擾。大多數(shù)網(wǎng)絡(luò)攻擊和數(shù)字入侵并非是由技術(shù)高超的黑客造成，而是由于個(gè)人（可能是非技術(shù)人員）發(fā)現(xiàn)、猜測或竊取密碼。有了正確的登錄憑證，任何人都可以被視為黑客。

密碼策略在很多方面都會出錯(cuò)。企業(yè)員工可能會使用弱密碼，比如帶有常見單詞或可預(yù)測數(shù)字序列的密碼。他們可能不會定期更新密碼，或者他們可能有存儲密碼的壞習(xí)慣，例如將密碼記錄在辦公桌旁邊的便利貼上。

一些企業(yè)還使用全組織范圍的密碼，平臺上的所有人使用相同的序列密碼，由此會導(dǎo)致巨大的安全漏洞。

使用錯(cuò)誤的軟件

很多企業(yè)需要配合不同的工具來運(yùn)作，包括CRM平臺、項(xiàng)目管理平臺和溝通平臺。而每一個(gè)軟件都將成為潛在的漏洞，這些應(yīng)用程序?qū)⒋鎯εc企業(yè)業(yè)務(wù)相關(guān)的信息，如果被攻破，可能會帶來安全隱患。

因此，企業(yè)需要仔細(xì)選擇使用的工具。了解軟件開發(fā)商的聲譽(yù)，了解有哪些安全措施，例如，某些應(yīng)用程序會采用人工智能來加強(qiáng)網(wǎng)絡(luò)安全，或使用強(qiáng)大的加密標(biāo)準(zhǔn)等。

無法持續(xù)更新

無論開發(fā)人員有多熟練，都不會有完美的軟件編碼。無論如何都會存在安全漏洞和長期完整性問題。如果這些漏洞被人發(fā)現(xiàn)，他們就可能利用這個(gè)漏洞發(fā)起攻擊。幸運(yùn)的是，大多數(shù)開發(fā)團(tuán)隊(duì)和開源社區(qū)都在不斷地尋找潛在威脅，當(dāng)他們發(fā)現(xiàn)新的威脅時(shí)，會通過補(bǔ)丁來進(jìn)行修復(fù)。但這些補(bǔ)丁只有在下載后才會起作用，然而許多企業(yè)未能及時(shí)更新他們的軟件或設(shè)備。最簡單的方法是強(qiáng)制進(jìn)行自動更新，但許多企業(yè)只是允許員工根據(jù)自己的意愿進(jìn)行更新，而不是要求及時(shí)更新。

寄希望于單一的解決方案

有些安全產(chǎn)品和服務(wù)可以最大限度減少安全漏洞，包括防火墻、防病毒軟件和虛擬專用網(wǎng)絡(luò)。但是大部分企業(yè)管理人員把他們所有的希望都寄托在單一的解決方案上。他們認(rèn)為，只要使用了防火墻就不會遭受網(wǎng)絡(luò)安全攻擊。

然而，完整的數(shù)據(jù)保護(hù)需要企業(yè)密切關(guān)注多種潛在威脅，并根據(jù)情況采取有效的解決方案進(jìn)行防范。如果只是使用一兩種技術(shù)，可能會讓企業(yè)受到其他攻擊。

忽視個(gè)人設(shè)備漏洞

如今，很多企業(yè)都允許員工自帶設(shè)備進(jìn)行辦公（BYOD）。一是可以節(jié)省購買員工設(shè)備的費(fèi)用，二是員工可以對自己使用的設(shè)備類型和使用方式進(jìn)行更多的控制。但是，如果企業(yè)員工沒有正確管理他們的設(shè)備，那么接入企業(yè)網(wǎng)絡(luò)的個(gè)人設(shè)備可能會帶來重大的安全風(fēng)險(xiǎn)。此外，員工在公共WiFi網(wǎng)絡(luò)上使用帶有公司賬戶的設(shè)備或直接使用公司的設(shè)備，都會帶來安全風(fēng)險(xiǎn)。

沒有對員工進(jìn)行安全培訓(xùn)

小型企業(yè)遭受網(wǎng)絡(luò)攻擊最常見的原因之一是簡單的員工錯(cuò)誤。很多網(wǎng)絡(luò)罪犯都不是資深黑客進(jìn)行的，而是機(jī)會主義者，他們會尋找并利用因員工“無知”而造成的錯(cuò)誤。例如，他們可能試圖欺騙員工放棄登錄憑證，或者可能只是通過一個(gè)社交軟件來了解企業(yè)。員工往往會掌握很多信息，員工在網(wǎng)絡(luò)安全實(shí)踐方面接受的培訓(xùn)越多，企業(yè)面臨的安全漏洞也就越少。然而，很多企業(yè)都忽視了這一點(diǎn)。

總之，讓企業(yè)高管認(rèn)真對待網(wǎng)絡(luò)安全并不是一件容易的事，現(xiàn)在已經(jīng)有很多企業(yè)因?yàn)榫W(wǎng)絡(luò)安全意識薄弱而造成巨大損失。當(dāng)然，對企業(yè)網(wǎng)絡(luò)安全的常見漏洞了解得越多，就越有能力預(yù)防此類問題的發(fā)生。