曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        信息安全建議:防止人為錯誤
        發布時間:2022-07-05 13:26:31   閱讀次數:

        image.png

        每個人都想保證自己的安全,為此,人們花費了大量的財富。因此,在過去的幾十年中,安全投資顯著增加,并且發現了各種新技術和新技術來解決安全漏洞。然而,人為錯誤往往在其中被忽視。世上沒有一個從未犯過錯誤的人;犯錯是人性的基本組成部分——這就是人類成長和學習的方式。


        攻擊者可以使用許多高級漏洞來闖入系統。根據IBM 的一項研究,人為錯誤是 95% 的網絡安全漏洞的主要原因。其中列出了數據丟失、錯誤傳遞和其他與人為相關的錯誤。因此,如果我們以某種方式消除這些錯誤,那么 10 次網絡攻擊中就有 9.5 次可能不會發生。


        盡管如此,在許多情況下,攻擊者的成功都涉及引發或利用人為錯誤,例如使用社會工程來猜測密碼或類似的東西。


        社會工程學

        社會工程是一個與廣泛的人類交互攻擊相關的術語。它主要使用心理操縱來誘騙用戶犯安全錯誤,例如通過將自己呈現為受信任的個人來隱藏自己的真實身份和動機。這是一種在攻擊者中非常流行的技術,因為它通常比任何網絡或軟件更容易利用人。社會工程攻擊的第一步是收集信息或對目標進行研究。目標可能是一個企業,因此在這種情況下,攻擊者將收集有關組織結構、內部運營、員工等方面的信息。一種常見的策略是通過掃描他們的社交媒體資料或在線行為來關注具有初始訪問權限的員工的行為模式。有各種類型的社會工程技術。一些最常見的類型是:

        1. 誘餌

          顧名思義,在這種類型的攻擊中,攻擊者利用了用戶的貪婪或好奇心。假設攻擊者將受惡意軟件感染的外部設備留在一個無辜用戶肯定會找到的地方。用戶,或者在這種情況下,“目標”,將此設備插入他們的系統并無意中安裝了惡意軟件。

        2. 借口

          Pretexting 涉及攻擊者通過一系列謊言或騙局獲取信息,以訪問目標(用戶)的機密數據。偽裝欺詐可能涉及攻擊者假裝需要財務或個人數據來驗證用戶是否經過身份驗證。這樣,攻擊者將從用戶那里獲得數據。

        3. 恐嚇軟件

          該技術涉及用戶相信他們的系統感染了惡意軟件,攻擊者為此提供了解決方案。實際上,這是一種利用提供解決方案來訪問用戶系統的技巧。

        4. 轉移盜竊

          這涉及欺騙快遞公司去錯誤的取貨或送貨地址并攔截交易。如果代理商對事情更加謹慎,他們可以謹慎地避免這種情況。

        5. 為某事做某事

          在這種類型的攻擊中,攻擊者假裝向目標提供一些東西以換取一些信息。例如,攻擊者可能會偽裝成技術支持來呼叫目標(隨機選擇)。這樣,攻擊者可能會遇到一些需要幫助的真實用戶,并讓他們啟動一些惡意軟件或通過交互從他們那里收集信息。


        網絡安全中的人為錯誤意味著什么?

        人為錯誤是指員工或用戶造成、傳播或允許安全漏洞的意外行為,例如電子郵件錯誤傳遞(電子郵件發送到錯誤的收件人或地址)或密碼衛生不良(弱密碼相對容易破解或猜測)。因此,這包含范圍廣泛的活動,從下載受病毒感染的應用程序到未能使用強密碼。這些是人為錯誤難以解決的幾個原因。由于使用了如此多的網站、工具和服務,員工和用戶需要不同的用戶名和密碼,這使他們選擇了捷徑來讓生活更輕松。這增加了網絡犯罪活動和其他類型的安全漏洞的威脅。


        為什么人為錯誤如此危險?

        安全漏洞利用了最薄弱的環節,在許多情況下,這些環節是人類本身,而不是他們編寫的任何代碼。這些人為錯誤可以通過多種方式表現出來——從未能阻止網絡釣魚攻擊(單擊匿名來源的鏈接并將網絡暴露給攻擊者)到使用弱密碼。它還會導致數據泄露。


        如果不采取適當的技術安全措施(SSL 證書或良好的防火墻),網絡犯罪分子可以設法猜測密碼或使用社會工程讓員工向犯罪分子控制的交易網站支付一些款項。


        哪些因素會導致人為錯誤?

        有幾個因素會導致人為錯誤,但最常見的是這三個 -

        • 機會

          有機會時可能會發生錯誤。這個過程最初可能看起來很明顯,但如果有更多選項可以解決問題,那么用戶可能會犯錯誤。

        • 缺乏認識

          大多數人為錯誤是由于用戶不知道正確的操作過程造成的。例如,不知道網絡釣魚風險的用戶更容易遭受網絡釣魚攻擊,而不知道公共 Wi-Fi 風險的用戶將很快被劫持會話或憑據被盜。

        • 環境

          有許多環境因素導致人為錯誤。工作場所的物理環境會增加錯誤的數量。文化在這里也扮演著重要的角色。最終用戶通常會知道正確的行動方案,但他們可能無法執行,因為可能有更簡單的方法來做事或認為這不是必需的。始終將安全性置于后臺的文化將導致更多錯誤。


        人為錯誤的幾個例子

        人為錯誤可能會以無數種可能的方式危及安全性,但某些類型的錯誤比其他錯誤更突出。

        • 誤送

          將某些信息發送給錯誤的收件人是對數據安全的普遍威脅。最嚴重的數據泄露事件之一是 NHS 的一項實踐泄露了 800 多名訪問過 HIV 診所的患者的電子郵件地址(身份)。向 HIV 患者發送這些電子郵件的員工不小心將他們的電子郵件地址輸入了“收件人”字段,而不是“密件抄送”字段。

        • 打補丁

          網絡攻擊者一直在尋找軟件技術中的新漏洞。因此,當發現這些漏洞時,開發人員會解決它們并將補丁或更新發送給所有用戶,然后網絡犯罪分子才能發動攻擊。這就是為什么必須盡早安裝安全更新的原因。2017 年,WannaCry 勒索軟件影響了全球許多計算機,損失了數百萬美元。然而,這個被稱為“EternalBlue”的漏洞在攻擊前幾個月就被微軟修補了。

        • 密碼問題

          這句話——“人和密碼根本無法相處”,可能很有趣,但在一定程度上是有效的。國家網絡安全中心 2019 年的報告顯示了一個不幸的事實,123456 仍然是全球最受歡迎的密碼,45% 的人在其他服務上重復使用其主要電子郵件帳戶的密碼。

        • 網絡釣魚攻擊

          有時,攻擊者可能會將外部驅動器(如 USB 驅動器)留在用戶或目標可觸及的范圍內。出于好奇,用戶或目標可以將此外部驅動器連接到他們的系統。通過這種方式,攻擊者將能夠進行成功的網絡釣魚攻擊。因此,用戶在執行此類操作之前需要小心并多次思考。


        人為錯誤的類型

        人為錯誤有很多機會和情況。盡管如此,人們仍然可以將它們大致分為兩種不同的類型。它們的區別在于用戶或相關人員是否具有執行正確操作的必要知識。

        1. 基于技能的錯誤

          這些包括在執行熟悉的任務和活動時出現的小錯誤,例如滑倒和失誤。這些可能發生在員工或用戶疲倦或注意力不集中、分心等時。在這里,最終用戶知道正確的方法,但由于錯誤或疏忽而未能這樣做。

        2. 基于決策的錯誤

          當用戶做出錯誤決定時會出現這些錯誤,這可能發生在任何一種情況下——用戶沒有所需的知識,沒有足夠的信息,或者沒有意識到他們正在從他們的行動中做出決定。


        我們如何防止人為錯誤?

        通過應用以下實踐和解決方案,就有機會有效地防止安全漏洞:

        • 更新公司安全政策

          組織的安全策略應該清楚地概述如何處理關鍵數據(也包括密碼),誰可以訪問這些數據,以及對這些數據使用什么安全軟件。

        • 使用最小權限原則

          保護數據訪問的最直接方法是默認拒絕所有訪問。使用零信任安全或網絡來設計 IT 系統是一種非常安全的方法,在該方法中,出于安全目的對組織的用戶和員工進行身份驗證、授權或持續驗證。但是,可以根據具體情況授予特權訪問。這樣,組織可以防止意外的數據泄露。

        • 提供定期培訓和個人發展

          技術處于不斷進步的狀態,因此來自客戶和客戶的需求也在增加。培訓和獲得新技能的機會可以幫助員工保持最新狀態。

        • 考慮云存儲和文檔管理

          使用云存儲文檔意味著定期備份文件,并且不止一個人可以訪問。


        結論

        不過,人類不一定是最薄弱的環節。犯錯的機會越少,接受測試的用戶就越少;用戶擁有的知識越多,他們犯錯誤的可能性就越小。統計數據顯示,95% 的安全漏洞是由于人為錯誤造成的。盡管如此,它還表明,即使是解決人為錯誤的最小步驟最終也可能成為確保強大安全性的最大步驟。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精