安全专家只能做这么多。想象一下全球银行、研究机构的复杂系统——过多的摄像头、警卫、运动探测器、重量传感器、激光和故障保险装置。

如果有人打开金库门会发生什么？

同样，服务器和网络安全措施也只能做到这一点。攻击者不需要设计复杂且技术含量高的方法来渗透您的企业基础设施：他们只需要诱使有些容易上当或分心的员工点击链接或打开附件。

无论员工是故意行为还是不知情和粗心，所有攻击中有60%来自内部。会计师、系统管理员或C级主管可能会暴露漏洞，其结果可能会导致公司因停机、销售损失和品牌声誉受损而损失数百万美元。

IT团队可以通过遵循现场硬件、应用程序和网站的行业最佳实践，采取所有现代预防措施来弥补任何潜在的漏洞。采用这样值得信赖的托管服务提供商会以高接触、个性化的托管服务和最先进的DDoS保护的形式提供更强大的保护。但这可能不足以保护您的组织免受因错综复杂的网络钓鱼计划或勒索软件攻击而堕落的善意员工的侵害。

强制使用强密码

这个似乎很明显-并且相对容易控制。但即使在2016年，也有近三分之二的数据泄露涉及利用弱密码、被盗密码或默认密码。作为抵御攻击的第一道防线，确保您的员工遵循严格的身份验证做法是保护公司敏感数据的关键。

就什么构成强密码对员工进行教育，并强制执行您实施的标准。密码应该是大小写字母、数字和符号的唯一且冗长的组合，您可以禁止用户使用容易猜到的信息，例如他们的名字或姓氏、公司名称，甚至是粗心的密码，例如“密码”'或'1234'。

一旦更强的密码规则生效，要求员工定期更新和更改关键密码。您可以鼓励用户使用密码管理程序来帮助他们掌握访问权限。

当不同级别的员工需要对某些应用程序和软件进行不同级别的访问时，密码管理会变得更加复杂。定期评估用户权限，并确保仅向真正需要的人授予访问权限。当然，在员工离开公司时主动管理登录权限和共享密码——即使分手的条件很好。

我们早已过了不公正流放的尼日利亚王子向那些愿意为他出逃的人提供他的家庭财产的日子。电子邮件网络钓鱼是通过发送欺诈性电子邮件并通常冒充知名公司或目标受害者认识的人来获取敏感信息（想想用户名、密码、信用卡号和其他类型的个人数据）的尝试。

多年来，网络钓鱼攻击变得更加微妙和难以检测，即使对于Office365和GSuite使用的过滤器和保护措施也是如此。攻击者将定制消息以利用电子邮件客户端和流行在线平台中的特定弱点。近年来，电子邮件网络钓鱼取得了一些引人注目的胜利，使索尼影业和希拉里·克林顿2016年总统竞选活动的电子邮件被泄露。事实上，后一种尝试甚至愚弄了竞选团队的计算机服务台。

攻击者更频繁地针对企业和组织而不是随机个人，并且经常使用渗透来启动勒索软件攻击。个性化的电子邮件、缩短的链接和虚假的登录表单都用来诱骗用户共享敏感的登录信息或网络访问。

培训员工了解现代网络钓鱼诈骗以及如何发现它们。实施使员工能够报告可能有害的消息的流程，并考虑部署运行网络钓鱼模拟或使用人工智能或机器学习来检测欺骗发件人、恶意代码或奇怪字符集的服务。

防止人为错误

当然，没有人是完美的。错误发生了，而且往往没有一丝恶意和内部人员的失误。鉴于员工可以访问敏感数据，最轻微的错误可能会导致灾难性的后果。

简单的、愚蠢的错误的威胁困扰着大大小小的企业。甚至亚马逊也指责一名员工在2017年无意中导致了亚马逊网络服务的重大中断。几年前，一名苹果软件工程师错误地将备受期待的iPhone4的原型留在了酒吧。

无论您的员工是在处理重要数据还是设备，培训和意识对于促进稳定和安全的运营都至关重要。一个组织的强大取决于其最薄弱的环节，一个简单的失误可能会产生重大后果。

通过实施严格的编码标准、质量保证检查和备份来保护您的组织。仔细查看用户权限和访问权限，以防止员工无意中更改系统或意外下载或安装未经授权的软件。考虑如何在整个组织中处理公司设备和敏感数据，并为最坏的情况做好准备。

保持警惕并依靠专家

尽管稀有的弱密码或未使用的管理员帐户可能不会对您的公司构成直接威胁，但任何安全疏忽都可能立即导致灾难性后果。在保护您的业务基础设施、设备和数据方面采取全面行动——从内到外。很乐意保护和监控您的系统，以便在漏洞被利用之前主动诊断和修补漏洞，但全面的安全性超出了我们的服务器强化、托管备份和可扩展的DDoS保护服务。安全是一项团队运动，所以请大家聚在一起，让我们为您的组织制定安全游戏计划。