誰也無法保證網(wǎng)絡(luò)的絕對安全，即使組織機(jī)構(gòu)有數(shù)百萬美元的IT預(yù)算，但仍無法擺脫因數(shù)據(jù)泄露登上頭條新聞的噩夢，甚至連政府情報(bào)機(jī)構(gòu)都無法守住自己的黑客工具(今年3月CIA大量敏感文件和黑客工具泄露)，正所謂道高一尺魔高一丈，網(wǎng)絡(luò)攻擊防不勝防。

雖然軟件解決方案、應(yīng)用程序、服務(wù)以及硬件提供商可以提供高品質(zhì)解決方案，但阻止入侵和淪為受害者之間的差距通常體現(xiàn)在人為監(jiān)督上，例如，技術(shù)安全保護(hù)通常容易被社交工程和人為錯誤破壞。

事實(shí)上，CompTIA發(fā)布的2016國際網(wǎng)絡(luò)安全趨勢報(bào)告指出，58%的網(wǎng)絡(luò)入侵因人類錯誤所致，42%因技術(shù)錯誤造成。

例如，索尼影業(yè)數(shù)據(jù)被泄導(dǎo)致員工個人信息、電子郵件、甚至未發(fā)行的電影拷貝外泄，其證據(jù)表明，入侵者首先通過魚叉式網(wǎng)絡(luò)釣魚活動欺騙員工，從而獲取了登錄憑證，繼而進(jìn)一步實(shí)施入侵。

有時(shí)候，攻擊者甚至不需要誘騙員工交出登錄憑證，僅憑猜測就能獲取弱密碼。Verizon公司指出，63%的網(wǎng)絡(luò)入侵通過被竊取的、默認(rèn)或易于猜測的弱登錄憑證而得手。

如果人為錯誤在保護(hù)網(wǎng)絡(luò)中扮演如此重要的角色，那么組織機(jī)構(gòu)應(yīng)向員工培訓(xùn)哪些安全知識?

顯然密碼保護(hù)和網(wǎng)絡(luò)釣魚是攻擊者入侵的突破口，企業(yè)和組織機(jī)構(gòu)可以從這兩個主要方面入手。

密碼保護(hù)

為什么弱登錄憑證是數(shù)據(jù)泄露的關(guān)鍵因素?

因?yàn)樵诎踩头奖阒g，人們通常會圖方便，而忽視了安全。密碼重用就是例證。2012年，Dropbox之所以遭遇數(shù)據(jù)泄露事件，其原因就在于公司員工的公司賬號和私人LinkedIn賬號使用了相同的密碼，而LinkedIn在當(dāng)年早些時(shí)候曾遭遇過入侵。

常見的密碼保護(hù)策略包括：

密碼應(yīng)包含字母、數(shù)字和特殊字符;

要求員工定期(每個幾個月)修改一次密碼。

然而，員工經(jīng)常圖方便，就會在重置密碼時(shí)僅僅修改某個字符。

最容易遭到黑客攻擊的習(xí)慣，或許您也有-E安全

有人可能會提出，在適當(dāng)?shù)男蝿菹拢潘赡承┱吆捅Ｗo(hù)可能會增強(qiáng)密碼的安全性。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)近期發(fā)布了數(shù)字身份指南草案。NIST不推薦使用復(fù)雜的、難以記住的密碼組合。相反，他們鼓勵企業(yè)讓員工使用較長、且容易記住的密碼，例如TelevisionBrainsHurtEverything或SometimesDoggyOthersChair。

除此之外，組織機(jī)構(gòu)也應(yīng)鼓勵員工使用密碼管理器，因?yàn)槊艽a管理器可以解決密碼重用和復(fù)雜的問題。雖然密碼管理器的弊端是允許通過一個主密碼有效獲取所有賬號密碼，而用戶更有可能創(chuàng)建并記住一個高度復(fù)雜的密碼，例如Min97$XP19*244，而不是每個賬號上設(shè)置多個復(fù)雜的密碼。

除此之外，組織機(jī)構(gòu)還應(yīng)在技術(shù)層面為用戶提供安全性。例如，Wi-Fi聯(lián)盟最近推出了Wi-Fi Passpoint標(biāo)準(zhǔn)，旨在改進(jìn)連接客戶端公共Wi-Fi熱點(diǎn)的實(shí)用性和安全性。Wi-Fi Passpoint代替非加密(開放)的熱點(diǎn)或輸入共享密鑰，而是允許熱點(diǎn)用戶創(chuàng)建一個Wi-Fi Passpoint賬號。人們使用保存在移動設(shè)備上的這個賬號自動連接到受WPA2 Enterprise 安全保護(hù)的Wi-Fi Passpoint熱點(diǎn)。

網(wǎng)絡(luò)釣魚騙局

網(wǎng)絡(luò)釣魚電子郵件也依賴于人為錯誤，因此組織機(jī)構(gòu)需要培訓(xùn)員工做出更明智的安全決策。相比在遭遇勒索軟件感染后花掉整個周末的時(shí)間費(fèi)盡心思恢復(fù)備份，培訓(xùn)員工識別網(wǎng)絡(luò)釣魚攻擊無異于讓你享受美好的周末，明顯輕松許多。

用戶要警惕攻擊者利用未經(jīng)請求的電子郵件發(fā)起網(wǎng)絡(luò)釣魚活動。網(wǎng)絡(luò)釣魚電子郵件看起來像是合法的，然而其中卻包含惡意軟件，例如發(fā)送重置Apple.com密碼的電子郵件。大多數(shù)網(wǎng)絡(luò)釣魚電子郵件都有一個常見特征：出人意料。如果用戶并未請求重置Apple.com的密碼，那么密碼重置電子郵件很有可能就是假的。

最成功的網(wǎng)絡(luò)釣魚攻擊非常具有說服力。然而，網(wǎng)絡(luò)釣魚攻擊無法使用合法網(wǎng)站的URL(排除非常特殊的個例)。用戶應(yīng)對所有電子郵件中包含的網(wǎng)絡(luò)鏈接持懷疑態(tài)度，并仔細(xì)檢查URL是否與網(wǎng)站匹配。切勿冒然點(diǎn)擊電子郵件中的鏈接，直接訪問組織機(jī)構(gòu)的官網(wǎng)或?qū)ふ宜璧捻撁妗?/p>

網(wǎng)絡(luò)犯罪分子通常會尋找最薄弱的環(huán)節(jié)作為滲透網(wǎng)絡(luò)的突破口。(相關(guān)閱讀：如果你被釣魚了一定要自我反省 像素追蹤技術(shù)告訴你這是為什么)建議組織機(jī)構(gòu)培訓(xùn)員工并制定相關(guān)制度，提高員工的安全意識。此外，找到“NSA級”安全和和實(shí)用安全之間的平衡點(diǎn)是關(guān)鍵。提組織機(jī)構(gòu)應(yīng)提供網(wǎng)絡(luò)釣魚培訓(xùn)、要求員工使用密碼管理器，并鼓勵員工使用長密碼，這將有助于組織機(jī)構(gòu)打擊人為因素所致的網(wǎng)絡(luò)安全問題，并提高組織機(jī)構(gòu)的整體安全態(tài)勢。