內(nèi)部數(shù)據(jù)訪問權(quán)限泛濫(圖片來自eWEEK�����,下同)
二��、第三方訪問
第三方公司員工可能會(huì)對(duì)一些未加密數(shù)據(jù)進(jìn)行訪問���。存儲(chǔ)在云端的數(shù)據(jù)可能位于不同國(guó)家和地區(qū)供應(yīng)商的物理服務(wù)器上����,而它們一般同時(shí)存在于很多數(shù)據(jù)中心主機(jī)的設(shè)施中。
第三方訪問
三����、政治黑客行為主義
近年來,出于政治動(dòng)機(jī)的黑客行為正在不斷上升�,例如Anonymous和LulzSec等組織的攻擊行為。然而�,這些黑客組織表示他們的成功都源自于尋找容易攻擊的目標(biāo),而不是因?yàn)樘貏e的技術(shù)專長(zhǎng)���。雖然我們不能控制自己是否會(huì)成為攻擊目標(biāo),但我們可以增加攻擊者攻擊的難度�����。
政治黑客行為主義
四�����、社會(huì)工程學(xué)
使用謊言�����、欺騙等手段來獲取足夠信息對(duì)不知情公司進(jìn)行蠱惑����,是一種古老的攻擊技術(shù)�。但現(xiàn)在社會(huì)工程學(xué)不再只是局限于手機(jī)�����,它還可以通過社交網(wǎng)絡(luò)來進(jìn)行��。用戶發(fā)布在Facebook上的任何信息都可能向攻擊者泄露他們所需要的信息�。
社會(huì)工程學(xué)
五、內(nèi)部疏忽
疏忽對(duì)于管理層來說是不可饒恕的“罪行”����,“他們應(yīng)該知道”。大部分?jǐn)?shù)據(jù)泄露事故都涉及一些管理疏忽的因素��。
內(nèi)部疏忽
六���、缺乏透明的云服務(wù)
永遠(yuǎn)不要盲目相信云服務(wù)商部署了適當(dāng)?shù)陌踩胧?����,為此我們需要徹底檢查云服務(wù)商的安全部署情況���。
缺乏透明的云服務(wù)
七��、假冒證書
很多白名單和應(yīng)用程序控制系統(tǒng)都依賴于有效的數(shù)字系統(tǒng)——它們會(huì)告訴操作系統(tǒng)“你可以信任我�����,因?yàn)槲沂怯行У?rdquo;���。使用流氓證書或者假冒數(shù)字證書,攻擊者幾乎可以在不被人察覺的情況下發(fā)動(dòng)攻擊��。
假冒證書
八����、移動(dòng)設(shè)備
便捷性與安全性之間應(yīng)該實(shí)現(xiàn)平衡����。越來越多的個(gè)人移動(dòng)設(shè)備進(jìn)入企業(yè)環(huán)境中,這讓企業(yè)時(shí)刻暴露在風(fēng)險(xiǎn)之下���,很容易遭受攻擊���。這對(duì)于還沒有制定和執(zhí)行BYOD政策的企業(yè)而言,是非常嚴(yán)重的問題�����。而事實(shí)上,現(xiàn)在的大部分公司都沒有制定相關(guān)政策����。
移動(dòng)設(shè)備潛藏巨大風(fēng)險(xiǎn)
九、不合理使用(惡意或者無意)
受委托企業(yè)資源或者訪問權(quán)限的不合理使用��,經(jīng)常容易發(fā)生在受信任的內(nèi)部人員和商業(yè)合作伙伴身上����。當(dāng)政策沒有明確定義或者執(zhí)行的時(shí)候,也會(huì)出現(xiàn)濫用的情況����。
不合理使用
十、物理攻擊
篡改�����、偷窺和偷盜往往容易發(fā)生在心懷不滿的前雇員身上�����。如果安全系統(tǒng)沒有及時(shí)更新員工離職信息,離職員工仍可輕易獲得訪問����。
物理攻擊
