CSO们注意！最严峻安全问题Top10出炉

随着IT环境的越来越复杂，企业面临的最令人担忧的安全问题越来越多，除了已经存在多年且仍然猖獗的威胁，例如诱使员工下载病毒的社会工程学威胁等。另外，越来越多的企业沦为黑客行动主义(hacktivism)的受害者，而大多数首席信息官才刚开始考虑如何应对这个问题。然而，企业面对的最大安全问题仍然是一些简单的错误问题，例如松散的访问政策以及内部员工的人为失误。

最新的Verizon报告也说明了这一点，研究结果显示96%的攻击并不复杂，97%的攻击很容易避免。在本文中，我们将列出企业面临的10大热点安全问题：

1、过度的内部数据访问权限

当对服务器和数据拥有完全访问权限的系统管理员与公司作对时，可能会对公司造成巨大的内部威胁，企业内部调动职位的持有对信息过度访问权限的任何人(包括高管)也同样对公司造成巨大威胁。

2、第三方访问

第三方公司的员工可能可以访问一些未加密数据。存储在云端的数据可能位于某个供应商拥有的物理服务器上，而同时存在于很多数据中心主机的设施中。

3、政治黑客行为主义

出于政治动机的黑客行为正在不断上升，例如Anonymous和LulzSec等组织的攻击行为。然而，这些黑客组织声称他们的成功都源自于寻找容易攻击的目标，而不是因为特别的技术专长。虽然你不能控制你是否会成为攻击目标，但你可以增加攻击者攻击的难度。

4、社会工程学

使用谎言、欺骗等手段来获取对不知情公司的足够的信息是一种古老的攻击技术。但现在社会工程学不再只是局限于手机，它还可以通过社会网络来进行。你张贴在Facebook上的任何信息都可能向攻击者泄露他们所需要的信息。

5、内部疏忽

管理层会认为疏忽是不可饶恕的“罪行”，“他们应该知道这一点”。大多数成功的数据安全泄露事故都涉及一些管理疏忽因素。

6、缺乏透明度的云服务

永远不要盲目地相信云服务供应商部署了适当的安全措施，彻底检查云服务供应商的安全部署情况。

7、流氓证书

很多白名单和应用程序控制系统依赖于有效的数字系统，有效的数字系统会告诉操作系统“你可以信任我，因为我是有效的”。使用流氓证书或者假冒数字证书，攻击者几乎可以执行无法察觉的攻击。

8、工作场所的移动设备

方便与安全之间必须取得一个平衡，越来越多的个人移动设备开始进入企业，这让企业处于风险之中，很容易受到攻击。这对于还没有制定和执行BYOD政策的企业而言，是非常严重的问题，而事实上，大部分公司没有制定相关政策。

9、滥用(恶意或者无意)

滥用受委托企业资源或者访问权限经常发生在受企业信任的内部人员和商业合作伙伴身上。当政策没有明确定义或者执行的时候，也会出现滥用的情况。

10、物理攻击

心怀不满的前雇员可能会偷偷潜入公司进行篡改、监视和盗窃。如果安全徽章系统没有更新员工离职信息，仍然持有安全徽章的离职员工将可以很容易地进入企业。