在IT界干久了,就会习得区分特定类型人群的技能。有时候他们是很棒的人,有时候,却不那么令人愉快。如果请IT人士吐槽自己工作中遇到的最糟的人种,他们的积极程度恐怕会让人觉得这些人是不是刚看过热血动漫。
下面列出的,就是信息安全从业者不得不应付和保护(或者保护他们的服务器)的不安全员工的具体类型。你绝对会在其中找到自己同事的身影,希望自己别是其中一员吧。
1. 点击狂魔
我们知道即便正规的新闻网站也会有诱人(烦人)的弹框广告。但有些人就是信以为真,很高兴地点进去,然后让自己的计算机被种上间谍软件。类似的还有电子邮件中的引诱链接。虽然几乎每个人都知道“网络钓鱼”这个词,但某些视频、照片或是社工链接,还是APT攻击的主要入口。
2. 伪技术流
有时候,自认为技术够好的员工,正是最容易陷入不安全操作的那些人。那些自以为聪明地在工作电脑上设置盗版流媒体网站的员工,还有非法下载软件/注册机/破解器等这些通常都充斥着恶意代码的软件用户。他们会安装VNC(虚拟网络控制台)一类的远程控制工具,用来从家中连接自己的工作电脑,但又没实现恰当的安全最佳实践。这些伪技术流经常无意间让公司网络门户大开。
3. 偏执狂
知道安全重要,但不相信自己的IT部门能合理实现安全的那类人,属于偏执狂范畴。他们不按照安全部门的要求打补丁或升级到新的软件套装,却决定自己花上俩星期来研究,确认真的对他们有益了才装上,因而成功中招,被黑。
4. 弱口令高管
当然,很多人都爱用弱口令,尤其高管的影响力让他们更容易抵制口令修改要求。要培育网络安全文化,高管层必须树立起实现合适安全措施的榜样,比如先从使用更强的口令做起。
5. 懒得退出登录
此类人在短时间内离开房间不锁屏。这种行为不像将口令贴在电脑旁全天候可见那么糟糕,但依然留下了供人乘虚而入随意使用电脑的空间。自动锁屏应是强制的,屏保弹出时间还应设得非常短。
这还不仅仅是可能会有人溜进来操作的问题。由于无法重新启动,系统的更新升级也就买办法应用到这些电脑上。
6. 老好人
那些不检查通行证就为某些“雇员”打开安全大门的“好心人”,是社会工程的绝佳对象。渗透安全办公楼或数据中心最容易的方法之一,就是装作腾不开手(例如:两手抱一堆盒子),或是忘记带卡,等待某个有权限的人替你开门。
这种方法不仅仅对物理世界的大门有用,数字世界也一样,比如访问数据库的口令。
7. 用电子邮件发送敏感数据的人
那些根本没认识到电子邮件不安全且缺乏可审核性的人,是最恐怖的不安全类型。这些人在不知情的情况下,洞开安全大门,增加数据泄露的可能性。在美国大选中落败的希拉里就是个典型例子。
8. 迷信身份验证的人
每个人都知道口令和身份验证是好东西,对吧?嗯,确实,但有些人觉得一旦有了身份验证,就可以高枕无忧了。他认为,用户要么通过身份验证得以执行某项动作,要么验证不通过,动作请求被拒;通过验证的人在操作自己的工作流时不会出错。这种心理导致安全团队对权限甚广的员工熟视无睹,而这,可能会造成灾难性后果。前NSA承包商哈罗德·马丁在长达20年的时间里共盗取50TB政府数据的案例,就是对身份验证技术过分自信的结果。
9. 便笺贴手
这就是一老调重弹:就是那些把口令写在便利贴上让大家都能看到的人。有些人确实健忘,但业务压力和流程确实会倾向于导致这种结果。有权限的团队领导将写有他们口令的便笺贴在团队成员工作的格子间里。然后,团队就能在领导太忙或出差的时候以他们的名义布置和处理交易。这样,月度绩效目标就能得到保证了。
10. 社交分享
社交媒体给黑客提供一长串的个人、位置、登录和其他信息。那些从社交媒体获取新闻或更新的人,也容易点击和分享照片、文档和其他可能带有恶意软件的文件,但却不会对此有任何疑问——因为这些东西都来自于可信的朋友或同事。
11. USB控
必须提防员工轻易将未知来源的U盘插入到他们的电脑上。没有标签的U盘,如果没能恰当处理,会给公司带来巨大威胁。如果你不知道某U盘的来源、主人或上面可能有些什么内容,就别插上你的电脑。要总是向IT部门询问他们的意见,确保神秘或未标记的U盘经常出现时安全团队或更上层部门知晓。
12. 热情高涨的销售代表
或许有点类型化,但销售人员大多是办公室里不那么精通技术的那些人,而这通常代表着麻烦——鉴于他们工作中涉及到的激励机制。销售代表总是在寻找新出路新机会,很乐于点击看起来甚至只有极微小新商机迹象的任何东西。然而,坏人也知道这一点,会尝试利用他们的进取心。他们在技术背景上的缺乏,也意味着他们对坏人的行事方法所知甚少,让他们成为了理想的目标。
13. BYOD控
公司需要自带设备办公(BYOD)的人员,但这些人需要符合IT安全要求,认识到他们那带有公司数据的设备应该被保护好,无论设备在哪里。特别是那些与小孩、配偶或其他人共享设备的BYOD用户,或者用该设备下载游戏应用、小黄片等常捆绑有恶意代码的文件的人。
14. 不安全的承包商
最后,就算你锁定了自己的员工,现代商业常涉及到的本地或远程承包商外包业务也会让企业意外中招。协作对任何一家公司都是必要而有益的,但常会牵涉到发送客户数据和知识产权到公司防火墙以外,脱离公司数据安全和监管系统的掌控。一旦这些敏感文件被共享,就很容易被利用,无论是意外性质的(例如:有人丢了台笔记本电脑或把文件发错人了),还是恶意的。而且敏感数据容易被第三方供应商偷走的例子数不胜数。有时候,最可怕的入侵者,就是信得过的合作伙伴。在这方面,恐怕没有比斯诺登更鲜明的例子了。
(责任编辑:宋编辑)
