之前，我們報道過不少安全意識的內容，賽門鐵克也曾經表示， 如果你不知道網站攻擊工具、漏洞及方法 這本身就是個漏洞 ，避免最常見的安全威脅，是現代基礎設施工程師應優先考慮的事情，因為若您不鎖好前門實際上就是在暗中幫助罪犯分子。所以，本文中就分享一下最常見的威脅，在安全運維過程中，我們應該優先照顧這7大安全意識威脅。

1. 網絡釣魚攻擊

網絡釣魚 是這樣一種現象：通過發送看似合法(但一點也不合法)的電子郵件、社交網站或廣告，攻擊者誘騙受害者點擊惡意附件或鏈接。多數情況下，一旦附件或鏈接被點擊，受害者就會被定向至看似原始的網頁(實際上并不是原始網頁)，并被要求輸入保密信息，如信用卡號、社保號碼等。多年來，網絡釣魚攻擊越來越復雜，黑客能夠讓攻擊看起來越來越真實(例如，某人收到來自看似與其哥哥一模一樣的ID的電子郵件，郵件內容無可挑剔，因為黑客利用社會工程學手段進行高度仿效)。

在企業層面，這個漏洞很容易修復。員工需要接受訓練敢于懷疑一切。只有確認發件人后，才能點擊郵件中的鏈接。為確保安全意識長存，企業可聘請安全專家 開展釣魚實驗測試 ，了解有多少員工會遭遇實驗性的網絡釣魚攻擊。安全加公益譯文也將推出網絡釣魚的專題論述，敬請期待。

2. 未經授權應用的安裝/使用

另一種常見的安全威脅是因為在個人計算機和工作站上安裝未授權的應用程序。如今，驗證第三方應用程序的真實性很容易，但有時人們忽視了操作系統警告，只是繼續安裝，還想著“會出什么錯呢?這只是一個應用程序，只有幾兆字節而已。” 這是極其危險的，因為一旦被授予管理權限(在安裝過程中選擇“是”)，只需執行一個小腳本，攻擊者就能利用一個小程序控制整臺計算機。

此漏洞可通過撤銷企業設備和大多數員工的管理訪問權限進行修復。相反，通過小小的培訓，講解第三方可信度和真實性的重要性，就足以讓員工意識到安裝未經授權的應用程序的威脅所在。

3. 默認密碼或弱密碼

顯然，若要列出最常見的安全錯誤，弱密碼不得不提。弱密碼的問題在技術出現之初就已存在，并且仍然是世界上絕大多數的網絡攻擊的主要原因。大多數應用程序套件、開發軟件和企業解決方案都使用默認密碼，這就好比您在晚上打開了自家大門。通過猜測密碼是進入系統最容易的方法，也一直是黑客首先嘗試的辦法。

顯然，這一漏洞可通過 培訓強密碼意識 以及解釋強密碼在牽制新手黑客方面的作用來修復。現代復雜的系統不再接受不符合安全要求的用戶密碼，這點應該變得更加規范。

4. 禁用安全控件

可用性和安全性互為天敵。IT管理員常常禁用安全控件，使員工的應用程序更好用，但這顯然會導致致命的后果。(若擁有絕對的電腦管理權限，員工可任意安裝應用程序;若計算機感染了惡意軟件，他們可以反過來損害網絡和整個互連的基礎設施。)

該漏洞可通過安裝一層厚厚的防火墻安全進行修復，確保不需要的內容不得經過防火墻。這樣，即使員工打算安裝惡意軟件，也不會被允許，因為一旦他們向管理員申請安裝權限，就會被警告(并記錄)。

5. 遠程安全缺乏管理

遠程不安全性也會帶來災難性后果。員工經常在個人電腦和企業工作站之前進行文件傳輸或者允許家庭成員在家使用其公司設備，這可能會造成一些安全漏洞。考慮這樣一種場景：Bob工作站的處理能力不夠，因此他把專用的可執行應用程序傳到個人計算機上并運行。他在個人計算機上完成了所有工作，記錄好結果，然后把文件從個人計算機上刪除。然而，專用的可執行應用程序仍然以片段的形式存在于Bob的個人計算機上。使用高級的恢復軟件即可恢復該應用程序，最糟糕是該應用程序可能會被誤用。

修復方案很簡單：在公司范圍內禁止從企業設備向個人設備上傳輸數據。

6. 笨拙的社交網絡

社交網絡可以讓整個工作場所保持協作活躍，但也可能造成一些明顯的風險，如公司保密信息被張貼在社交網站上。(小編插一個典型案例， 錘子員工在GitHub提交文件包含激活數據 手機信息及銷量暴露無遺 )一旦保密信息被發布在社交網站上，就超出了組織的保護范圍。此外，(致命的)復雜的社會工程攻擊數量也在逐年呈指數式增長。

為了解決這個問題，需要通過定期培訓提高員工的技術意識。

7. 過時軟件或未安裝補丁

清單上最后一項威脅(但絕不是最不重要的)是來自過時軟件的威脅。通常，我們都會延遲更新和/或補丁安裝，總以為“不會有事”，結果造成系統中存在大量漏洞。(小編插一個典型案例， wannacry勒索蠕蟲危及99個國家 )

推出更新或補丁的原因有很多種，有時是為了刪除應用程序或其他軟件中的漏洞。若不安裝用于修復公開漏洞的更新，用戶可能會遭遇潛在攻擊。

再強調一次，員工(和普通個人)必須意識到安裝更新和補丁的重要性，防止因為這種常見的錯誤而使系統受到攻擊。

總結

即使最“安全”的基礎設施也會時不時地遭受攻擊，但這并不意味著遵循標準化的安全強制措施不能保護系統免受不必要的入侵。以上是現代網絡攻擊最常見的幾種原因，加強對這些網絡攻擊的防范意識同等重要。