密碼安全不可忽視(上)

誓聯(lián)信息
面對密碼安全性弱的問題,許多公司的反應(yīng)是采用更嚴(yán)格的密碼和訪問控制。但是,這就帶來了進(jìn)一步的挑戰(zhàn),即如何在訪問的便利性與強(qiáng)大的安全性之間權(quán)衡取舍。

無論您的公司是屬于哪個市場領(lǐng)域,或擁有多少數(shù)據(jù),風(fēng)險都永遠(yuǎn)存在。不過,面對網(wǎng)絡(luò)安全問題,企業(yè)并不需要將其視為無休止的戰(zhàn)斗,而是可以把握機(jī)遇,采取主動的方法,以掌握控制權(quán)。許多企業(yè)因?yàn)槊艽a安全性差,缺乏網(wǎng)絡(luò)安全技能,以及為求得便利而忽略安全性,無謂地使公司和員工處于風(fēng)險之中。

傻瓜式密碼

有預(yù)計顯示,普通互聯(lián)網(wǎng)用戶有200個需要密碼的帳戶,這一數(shù)字在未來五年內(nèi)還將翻倍。那么,我們也許不應(yīng)對用戶重用密碼的現(xiàn)象感到驚訝了。用一位首席執(zhí)行官的話來說:

30年來未改變之事:人們口中的雜談和簡單至極的密碼!

英國國家網(wǎng)絡(luò)安全中心的漏洞分析發(fā)現(xiàn),全球有2,320萬受害帳戶使用的密碼是“123456”。

我們需要阻止IT團(tuán)隊重用密碼,或作為管理員和用戶時都使用相同的密碼。

活動中,一位參會者如是評論道。甚至全球頂級公司也會犯錯:在發(fā)生馬士基NotPetya攻擊之后,一名獨(dú)立網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn),在南美水域的一艘船正在使用默認(rèn)憑據(jù)(用戶名“admin”和密碼“1234”)來保護(hù)其衛(wèi)星通信系統(tǒng),這實(shí)際上就相當(dāng)于向黑客敞開了大門!

面對密碼安全性弱的問題,許多公司的反應(yīng)是采用更嚴(yán)格的密碼和訪問控制。但是,這就帶來了進(jìn)一步的挑戰(zhàn),即如何在訪問的便利性與強(qiáng)大的安全性之間權(quán)衡取舍。

IT用戶:是敵是友?

有預(yù)計顯示,針對如何保護(hù)公司免受網(wǎng)絡(luò)威脅,約三分之二的數(shù)據(jù)保護(hù)和隱私培訓(xùn)專業(yè)人士認(rèn)為其員工是“最薄弱的環(huán)節(jié)”。這場活動也反映出了這種情緒,一位公共領(lǐng)域的公司高管承認(rèn):“我們(企業(yè))沒有將用戶視為客戶,而是覺得他們令人厭煩”。

由于沒有考慮到用戶的服務(wù)需求(例如簡單高效的身份驗(yàn)證),許多用戶訴諸于在企業(yè)網(wǎng)絡(luò)上下載未經(jīng)授權(quán)的應(yīng)用程序。這種影子IT的使用非常普遍:根據(jù)2019年的一份報告,有67%的最終用戶或團(tuán)隊未經(jīng)IT團(tuán)隊的批準(zhǔn),就安裝了自己的協(xié)作工具。

網(wǎng)絡(luò)安全專家

將矛頭指向用戶可能很容易,但現(xiàn)實(shí)是,沒有強(qiáng)大的網(wǎng)絡(luò)安全專業(yè)人士,我們就無法應(yīng)對網(wǎng)絡(luò)犯罪。這就是我們面臨的第三個挑戰(zhàn)。盡管網(wǎng)絡(luò)安全是技術(shù)領(lǐng)域薪酬最高的專業(yè)領(lǐng)域之一,但卻面臨著相當(dāng)?shù)募夹g(shù)匱乏。一家慈善領(lǐng)域公司的參會代表分享了他對公司的不滿:

我們一直在招人,但高校應(yīng)屆生中缺乏網(wǎng)絡(luò)安全專業(yè)人士。安全人才出現(xiàn)了缺口,當(dāng)前這一代的網(wǎng)絡(luò)專業(yè)人員也將退休,因此會有大量勞動力流失。

因此,全球有將近300萬個網(wǎng)絡(luò)安全職位空缺的現(xiàn)象也就不足為奇了。參會者們認(rèn)為,使這些問題變得更加復(fù)雜的是,人才在從網(wǎng)絡(luò)安全流向人工智能和機(jī)器學(xué)習(xí)等領(lǐng)域。

安全 vs 便利

即使不乏人才,購買新軟件以增強(qiáng)安全性和身份驗(yàn)證的做法也可能會被視為對用戶體驗(yàn)或品牌聲譽(yù)帶來負(fù)面影響。另一方面,如果不投資或僅購買基本的身份驗(yàn)證工具(可能會吸引希望按需訪問應(yīng)用程序的用戶),則會以犧牲安全性為代價。

獲得成本、便利性、安全性之間恰到好處的動態(tài)平衡至關(guān)重要,但在不同部門的需求、期望和目標(biāo)差異很大的機(jī)構(gòu)內(nèi)部,這卻并非易事。

一家國際體育品牌的高管舉了一個很恰當(dāng)?shù)睦?。他說:“我的公司有很多不同的實(shí)體。IT部門希望關(guān)閉網(wǎng)站[以保護(hù)用戶],但CEO卻希望能夠維持網(wǎng)站運(yùn)轉(zhuǎn)[以保護(hù)品牌聲譽(yù)]”。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論