多年以来,我们听得最多的安全建议就是及时修复漏洞。所有软件都有多个漏洞,必须及时进行修复。尽管存在各种修复管理系统,但不知出于何种原因,这些系统并不能提供其承诺的完美修复。
很多时候,并不是修复管理软件的问题,而是管理者的问题。他们只是修复了一些漏洞,但却漏掉了最主要的目标,例如Java、Adobe Reader、Flash等。或者说,他们没有及时修复漏洞。所以,总是存在漏洞。即使是在最好的情况下,大部分人修复漏洞都需要花几天或几周,但恶意软件只需要几分钟或者几小时。
行不通的安全方法No.4:最终用户教育只能得F
自个人电脑出现以来,我们就提醒用户不要从其软盘驱动器中的磁盘来启动,不要允许意外的宏运行,不要点击可疑的文件附件,还有,不要运行可疑的杀毒软件清理程序。尽管如此,这无济于事。
如果我们的最终用户教育政策成功的话,我们早就击败攻击者和黑客了。根据最近的趋势来看,最终用户的安全意识比以往任何时候都要糟糕。社会工程木马(诱使最终用户运行恶意程序)是迄今为止最大的威胁。大多数最终用户很容易在社交媒体网站泄露其所有隐私信息,而他们完全没有考虑过后果,这可能让他们成为攻击者的目标。
对于大多数最终用户教育计划,最终用户教育变成被迫的不必要的苦差事。并且,培训课程很随意地开展,通常并不包含与最新攻击相关的信息。如果诱骗最终用户运行木马程序的头号方法是通过假的杀毒软件,你会告诉你的员工真正的杀毒软件长什么样子吗?为什么不呢?
这种员工教育的缺失使IT系统处于危险之中。平均来说,最新威胁出现在最终用户教育计划中需要两年时间,而攻击者只需要一分钟就可以改变攻击方法,这让我们整整落后了两年。
你知道比最终用户教育更好的安全方法吗?更安全的软件和更好的默认提示。不要期待最终用户作出正确的决定,而应该为他们做决定。
最终用户教育是永远无法完成的工作,因为只要有一个人,一个错误就可以感染整个公司。但你可以通过提供更好更有针对性的最终用户教育来降低风险。
(责任编辑:闫小琪)
