【知錯能改】3 個網絡安全錯誤 隨時導致損失數百萬美元
Cyber Security News 報道指,在擁有超過 25,000 名員工的企業環境中,數據洩露的平均成本約為 552 萬美元。目前已有不少知名公司成為網絡攻擊的受害者,他們因沒有採取適當的安全措施,而最終導致數百萬美元用於數據洩露相關的解決費用損失。網絡犯罪分子不單只攻擊大型企業,亦會滲透到各種規模的公司,並尋找可利用的安全漏洞。以下是可能導致企業損失數百萬美元的 3 個常見安全錯誤,以及我們該如何解決這些錯誤。
1. 不安全的第三方存取
IT 部門面臨的最大挑戰之一是要確保第三方無法存取公司網絡。存取應從開放策略轉變為更受限制,即是零信任網絡存取(Zero Trust Network Access, ZTNA)。ZTNA 有效地取代傳統 VPN 的模式。第三方網絡安全服務供應商在「need to know」的基礎上批出訪問權限,讓進入系統者執行特定任務,並有效防止公司網絡內任何未經授權的訪問。因為受感染的第三方系統有機會造成重大漏洞,或讓惡意攻擊者有機會網絡中滲透。
2.使用弱密碼
網絡安全措施中最容易被忽視的方面之一是密碼,而弱密碼就佔安全漏洞的 30%。首先不應該共享密碼或重複使用密碼,切忌貪方便。有調查發現,近 42% 的員工承認與其他人分享他們在工作場所的密碼,其中以中型公司面臨的風險最大。
採用更高級別的身份驗證措施,例如雙重身份驗證 (2FA),可有助防範網絡釣魚攻擊。而密碼管理器可以與零信任方法結合使用,以最大限度地提高安全度,以應對新型網絡釣魚攻擊。
3.不更新軟件
許多企業犯的其中一個嚴重錯誤是沒有更新或安裝修補漏洞軟件。這些軟件應至少每月更新一次,執行每月或每季度的軟件審計有助發現之前未注意到的漏洞,並應根據優先次序修復錯誤;另需檢查代碼或讓專門的軟件測試人員驗證漏洞是否已修復。
現時有許多網絡罪案比簡單的黑客攻擊更具破壞性及需要更高的復修成本。為了解決安全性差,企業組織不得不加強他們的網絡安全計劃。首先,評估確定安全策略在哪方面有缺失,然後採取積極措施解決它。其次是在整個組織實施安全策略:從設置 BYOD 政策到取雲端資源,需向員工提供明確的指導方針和適當的培訓,來說明公司的目標和方向。另外還應建立網絡釣魚意識培訓,並作持續的教育。
總而言之,每個組織都必須有針對性的網絡安全防禦手冊,以防遭受攻擊,不要等到遙距工作的員工不小心下載惡意文件,才實施些述三項安全措施,否則一切已經太遲了。
