內(nèi)部數(shù)據(jù)訪問權限泛濫(圖片來自eWEEK,下同)
二���、第三方訪問
第三方公司員工可能會對一些未加密數(shù)據(jù)進行訪問��。存儲在云端的數(shù)據(jù)可能位于不同國家和地區(qū)供應商的物理服務器上���,而它們一般同時存在于很多數(shù)據(jù)中心主機的設施中���。
第三方訪問
三���、政治黑客行為主義
近年來��,出于政治動機的黑客行為正在不斷上升�����,例如Anonymous和LulzSec等組織的攻擊行為�。然而��,這些黑客組織表示他們的成功都源自于尋找容易攻擊的目標�����,而不是因為特別的技術專長�����。雖然我們不能控制自己是否會成為攻擊目標,但我們可以增加攻擊者攻擊的難度���。
政治黑客行為主義
四����、社會工程學
使用謊言��、欺騙等手段來獲取足夠信息對不知情公司進行蠱惑���,是一種古老的攻擊技術��。但現(xiàn)在社會工程學不再只是局限于手機�,它還可以通過社交網(wǎng)絡來進行���。用戶發(fā)布在Facebook上的任何信息都可能向攻擊者泄露他們所需要的信息���。
社會工程學
五、內(nèi)部疏忽
疏忽對于管理層來說是不可饒恕的“罪行”�,“他們應該知道”。大部分數(shù)據(jù)泄露事故都涉及一些管理疏忽的因素。
內(nèi)部疏忽
六�、缺乏透明的云服務
永遠不要盲目相信云服務商部署了適當?shù)陌踩胧瑸榇宋覀冃枰獜氐讬z查云服務商的安全部署情況�����。
缺乏透明的云服務
七�����、假冒證書
很多白名單和應用程序控制系統(tǒng)都依賴于有效的數(shù)字系統(tǒng)——它們會告訴操作系統(tǒng)“你可以信任我����,因為我是有效的”��。使用流氓證書或者假冒數(shù)字證書�,攻擊者幾乎可以在不被人察覺的情況下發(fā)動攻擊。
假冒證書
八��、移動設備
便捷性與安全性之間應該實現(xiàn)平衡���。越來越多的個人移動設備進入企業(yè)環(huán)境中,這讓企業(yè)時刻暴露在風險之下�,很容易遭受攻擊。這對于還沒有制定和執(zhí)行BYOD政策的企業(yè)而言��,是非常嚴重的問題。而事實上����,現(xiàn)在的大部分公司都沒有制定相關政策。
移動設備潛藏巨大風險
九�����、不合理使用(惡意或者無意)
受委托企業(yè)資源或者訪問權限的不合理使用���,經(jīng)常容易發(fā)生在受信任的內(nèi)部人員和商業(yè)合作伙伴身上��。當政策沒有明確定義或者執(zhí)行的時候�����,也會出現(xiàn)濫用的情況����。
不合理使用
十��、物理攻擊
篡改�����、偷窺和偷盜往往容易發(fā)生在心懷不滿的前雇員身上。如果安全系統(tǒng)沒有及時更新員工離職信息��,離職員工仍可輕易獲得訪問�����。
物理攻擊
