本文中，IT安全專家討論安全漏洞的主要原因，并建議企業如何規避風險。

事實上，根據Trustwave的近期2014年風險報告，共調查476名 IT專業人士對安全薄弱環節，大多數企業沒有或只有部分系統到位，用于控制和跟蹤敏感數據。

那么，公司可以做什么以更好地保護自己和客戶的敏感數據所受的安全威脅？以下是最有可能發生的六個安全漏洞的的來源，，或許企業CIO可以提前做點什么？

風險1：心懷不滿的員工

“內部攻擊是數據和系統的最大威脅之一，” Green House Data的CTO說， “員工是IT團隊中獲取網絡，數據中心和管理帳戶的特別成員，可能會導致嚴重的傷害，”事實上，“有傳言稱，索尼黑客并沒有攻擊朝鮮，但其實內部工作有。”

解決方案： “減輕特權帳戶風險的第一步是要確定所有特權帳戶員工不再在公司那需立即終止，”CyberArk執行副總裁Adam Bosnian說。

“下一步，密切監測，控制和管理特權憑證，防止注銷。最后，企業應實施必要的協議和基礎設施來跟蹤，記錄特權帳戶活動和創建警報，允許快速應對惡意活動和攻擊周期的早期階段減少潛在的損害。“

風險2：粗心大意或不知情的員工

“一個員工不小心忘記了解鎖iPhone的密碼，像心懷不滿的用戶惡意泄漏競爭對手一樣的信息一樣險，”SafeLogicCEO的Ray Potter 說。同樣的，訪問未經授權的網站或點擊可疑電子郵件、打開電子郵件附件鏈接的員工給公司的系統和數據帶來了巨大的安全威脅。

解決方案： “培訓員工并提供持續的支持， RoboForm. 市場營銷部副經理 Bill Carey說“有些員工可能不知道如何在網上保護自己，讓業務數據存在在風險”他說。因此，網絡安全培訓是必不可少的持續課程，幫助員工學習如何管理密碼，避免黑客通過釣魚和鍵盤記錄詐騙。然后提供持續的支持，以確保員工擁有他們所需要的資源。“

此外，“確保員工在所有設備上使用強密碼，”他補充道。“密碼是防守的第一道防線，因此要確保員工使用有大寫和小寫字母，數字和符號的密碼，”Carey 說。

“同樣重要的是每個注冊的網站，使用一個單獨的密碼，并每隔30～60天改變它，”他繼續說，“密碼管理系統，可以通過自動化這個過程，省去了員工記住多個密碼的麻煩。”

加密也是必不可少的。

“只要你已經部署了驗證加密作為安全戰略的一部分，是有希望的，” Potter說。“即使員工沒有采取個人防護措施，來鎖定自己的手機，你的IT部門可以通過執行吊銷專門用于公司數據的解密密鑰的選擇性擦拭。”

為了更加安全，“實施多因素身份驗證，如一次性密碼（OTP），RFID，智能卡，指紋讀取器或視網膜掃描，以確保知道他是誰，BeyondTrust.的產品集團總經理Rod Simmons補充說：“這有助于減輕違反應該密碼被泄露的風險。”

風險3：移動設備（BYOD）

“員工使用移動設備共享數據，訪問公司信息，或忽視改變手機的密碼，這時最易發生數據盜竊” , BT Americas的首席技術官和副總裁Jason Cook解釋說， “根據BT的研究中，移動安全漏洞已經在過去12個月影響超過三分之二的全球性組織（68％）。”

事實上，“隨著越來越多的企業接受BYOD，他們面臨著來自企業網絡上的這些設備的風險（在防火墻后面，包括通過VPN）中的應用程序安裝惡意軟件或其他木馬軟件，可以訪問該設備的網絡連接的情況下，” Yottaa. 產品營銷副總裁Ari Weil。

解決方案：請確保有一個完善的BYOD政策。“有了BYOD政策，員工更好地在使用設備，企業可以更好地監控電子郵件和正在下載到公司或員工自有設備的文檔學歷，”賽門鐵克的高級總監Piero DePaoli, “如果移動設備丟失或被盜，有效的監控將提供可見性的移動數據丟失的風險，并讓他們能夠迅速找出風險。”

同樣，企業應該“實施訪問企業系統時保護雙方數據，同時還制定尊重用戶的隱私移動安全解決方案，” Good Technology的 CTONNicko van Someren建議，“通過在用戶的設備安全分離業務應用和業務數據，確保企業的內容，證書和配置保持加密和被控制下，增加防御。”

您也可以“緩解BYOD與混合云的風險，Code42的CEO和聯合創始人Matthew Dornquast補充說：“由于未經批準的應用程序和移動設備繼續蔓延到職場，IT應該著眼于混合云和私有云為減輕這一職場趨勢所帶來的潛在風險，”他說。“兩個選項一般提供公共云的能力和彈性的管理設備和數據，但增加了安全性和保密性，例如，在整個企業用于管理能力的應用程序和設備，無論何處的數據被存儲，都能保證及時的加密密鑰。”

風險四：云計算應用

解決方案：“最好的防御對基于云的威脅是在數據層面使用強大的加密，如AES 256位，被專家稱為加密金標準，防止任何第三方訪問數據，即使它駐留在公共云， CipherCloud的創始人兼首席執行官Pravin Kothari說.“由于很多2014年的違規行為表明，沒有足夠多的公司正在使用的數據級云加密來保護敏感信息。

風險五：未安裝修補程序或Unpatchable設備

“這些是網絡設備，諸如路由器，服務器以及采用軟件或固件在它們的操作，但還沒有創建或發送任一個補丁在其中的一個漏洞，或者它們的硬件不被設計，使它們能夠及時發現漏洞進行更新， CyActive的聯合創始人兼首席技術官Shlomi Boutnaru說。

“在2015年7月14日，微軟將不再提供對Windows Server 2003的支持 -這意味著企業將不再接收補丁或安全更新這個軟件，互聯網安全中心 的程序高級副總裁notes Laura Iwan說。

擁有超過1000萬物理單位仍在使用Windows 2003服務器，還有數百萬人在使用虛擬機，根據Forrester，“希望這些過時的服務器成為所在網絡的主要目標。”他說。

解決方案：學會補丁管理程序，以確保設備和軟件，保持最新的時刻。

“第一步是部署漏洞管理技術，看看您的網絡上，什么不是最新的，” Force 3的安全專家Greg Kushto說， “真正的關鍵，是有到位的政策，如果某臺設備不更新或修補不及時，一定時間內它被脫機“。

要避免再次Windows Server 2003中可能出現的問題，“識別所有的Windows Server 2003清單中的所有軟件和每臺服務器的功能; 優先考慮基于風險和每個系統;映射出的遷移策略，然后執行它，“ Iwan 建議。如果無法執行的所有步驟，雇人來解決。

風險六：第三方服務提供商

“隨著技術的日益專業化和復雜，公司正在更多地依靠外包商和供應商，支持和維護系統，Bomgar CEO notes Matt Dircks指出： “比如，餐廳的加盟商往往以第三方服務提供商外包他們的銷售點終端（POS）系統的維護和管理。”

但是，“這些第三方通常使用遠程訪問工具連接到公司的網絡，但并不總是遵循安全性的最佳實踐，”他說。“舉個例子，他們會使用相同的默認密碼，遠程連接到所有的客戶。如果黑客猜測密碼，他馬上就通過這點連接這些客戶的網絡。“

事實上，“過去一年中think Home Depot,、Targe等等是由于承包商的登錄憑證被盜，”ObserveIT的產品營銷經理Matt Zanderigo,， “據最近的一些報道，大多數數據泄露（ 76％） -都歸因于供應商的遠程訪問通道的開發，”他說。“即使合同沒有惡意企圖可能會損壞您的系統或受到攻擊。”

“這種威脅是成倍成倍的，由于缺乏允許審查的第三方訪問他們的網絡之前由公司完成的， Dynamic Solutions International.的網絡安全專家Adam Roth補充說：“一個潛在的數據泄露通常不直接攻擊最有價值的服務器，但更多的是像飛躍青蛙的游戲，從低層次的計算機然后旋轉到其他設備并獲得特權去，是不太安全的”他解釋說。

“公司做了相當不錯的工作，確保關鍵服務器避免惡意軟件從互聯網上被攻擊，”他繼續說。“但大多數公司都相當可怕的，在保持這些系統與其他系統更容易妥協分割。”

解決方案： “公司需要驗證任何第三方遠程訪問安全，如強制多因素身份驗證，需要唯一的憑據為每個用戶設置最小權限和捕捉所有遠程訪問活動的全面審計線索，Dircks說。

尤其是，“第三方賬戶登錄嘗試監控失敗，有一個紅色的標志提醒有攻擊。”

規避風險的一般指導

“大多數企業現在認識到風險不是一個問題，” RSA技術解決方案總監Rob Sadowski, 表示,為了最大限度地減少安全漏洞和泄漏的影響進行風險評估，以找出重要數據的位置，并用程序控制來保護它。

那么，“打造出一個全面災難恢復的業務連續性計劃，將涉及來自IT，法律，公關，行政管理等，并對其進行測試。”