這六類員工是黑客攻陷內網的“幫兇”
??百年名企為何陷入危機?大量商業機密為何慘遭泄露?員工敏感信息為何屢遭黑手?管理員為何頻頻撕逼?連環內網漫游案,究竟是何人所為?公司網絡中的潛伏者,究竟是人是鬼?看似堅若磐石的內網意外淪陷的背后又隱藏著什么?這一切的背后,是事出有因還是偶然?
信息泄露年年有,奈何近年特別多,或許安全問題本來就多,只是由于近年做得風生水起的漏洞眾測平臺,讓原本不為大眾所知的網絡安全問題都浮出了水面。
圖為漏洞平臺的日常
每一天,各漏洞眾測平臺上曝光的網絡安全事件排列得就像一本寫滿的流水賬。有的漏洞完全是由于技術缺陷或不完善,而絕大部分則很大程度上和人的 主觀意識有關,屬于員工自己“作”出來的問題。正所謂“No zuo no die,why they try ",今天我來扒一扒潛伏在各個企業中,那些隨時可能讓公司陷入網絡安全危機的極品員工。
1. 密碼疲勞癥患者
密碼疲勞癥在企業中屬于高發病,患者員工平時看起來和常人無二,唯有對密碼產生特異性排斥,一看到密碼輸入框就腦子放空,密碼忘光,不過他們自 己想出了很好的解決方法,那就是使用簡單密碼,越簡單越好,什么 123456、名字、生日,怎么好記怎么來,或者干脆萬年使用默認密碼,root、admin 一類。他們是這么想的:“萬一還是忘記了密碼,問一下管理員默認密碼是什么就知道了,我真是太機智了”
危險等級: ★★★★☆
點評:就欣賞你的機智! ——黑客
2. 共享黨
這類員工表面上看起來特別無私和熱愛分享,所以他們在工作當中也經常多人共用同一密碼,并且美其名曰:“工作需要”。可一旦真的出了網絡安全問題,他們撕逼撕得比任何人都快。
危險等級:★★★☆☆
評價:懂得分享是好事,密碼還是各用各的好
3. 貼符道長
也許他們上輩子是捉僵尸的道長或貼膏藥的師傅,否則真的很難解釋為什么他們除了喜歡貼各種待辦便簽以外,還把自己的賬號密碼也貼來貼去。顯示器 上是他們的主戰場,桌子、墻上、本子上,就差貼自己腦門上了。這類員工如果同時還是“共享黨”,把大家公用的密碼也貼在外面,危險等級直接加倍。
危險等級:★★★☆☆
評價:貼備忘便簽本是好習慣,貼密碼就有點兒……不太好吧?
4. 沒 WiFi 會死星人
他們極度熱愛 WiFi,但偏偏公司用網線上網,沒有 WiFi 怎能罷休?遭遇困境的他們并不會因此屈服,聰明的他們會各顯神通找到各種解決辦法,筆記本無線網卡做熱點、隨身 WiFi 硬件等等都是他們的看家法寶,自此,公司內網真的淪為了“公網”。
危險指數:★★★★☆
評價:如果實在不行,他們會選擇去蹭隔壁咖啡廳或飯館的 WiFi,CMCC 也行。“什么?你說可能有釣魚 WiFi?管他呢!先連上刷幾條朋友圈再說。”
5. 懶癌網管
他們秉承著“多一事不如少一事”的原則,活能少干一點就不多干,比如公司有員工離職了,人資的同事讓管理員把離職員工的郵箱和各個系統的賬號密碼清理一下,這時他們懶癌一犯,隨便刪幾個草草了事,然后一臉真誠,淡定地說“真的已經刪完啦,放心吧”,萬事大吉。
危險指數:★★★☆☆
評價:最近正好趕上所謂的“資本寒冬”的裁員風潮,恐怕也已遺留下大量賬號權限。
6. 好奇寶寶
他們總用好奇的眼光審視這個世界,不管什么都喜歡一探究竟,無論是手機短信還是郵件里的鏈接,一定要點開一看究竟,哪怕他們有時也會察覺到——“咦?好像哪里不對?!” 在這個釣魚郵件滿天飛的年代,公司里有這種員工就等著內網淪陷吧。
危險指數:★★★★★
評價:好奇本無罪,奈何江湖太險惡,送他們一句,“地球是很危險的,還是快回火星去吧。”
如何不使用密碼如何完成身份驗證和登錄?
與其說是六類員工,其實更恰當的說法是“六種不安全行為”,正所謂“人無完人",我們每個人都會有疏忽的時候,都可能成為黑客入侵公司網絡的突 破口。依靠管理、安全教育,希望通過提高員工安全意識來解決問題顯然不靠譜,萬千員工總有那么幾個不守規矩的,這時企業應該怎么做來保證網絡安全呢?
如果說有什么辦法能百分之百保證員工密碼不泄露,那除非是員工不再使用密碼!那么,不使用密碼如何完成身份驗證和登錄呢?不妨試試這幾種方式:
??短信認證
??手機短信認證目前已被廣泛應用,通過手機收到驗證碼進行登錄,只要員工手機不丟失,就不用擔心賬號被盜的問題,但目前也被曝出短信攔截和補卡攻擊等風險。
動態口令
動態口令是根據專門的算法生成一個不可預測的隨機數字組合,動態密碼定時變換,每個只能使用一次,因此可以徹底解決密碼泄露問題。動態口令又分 為硬件令牌和手機令牌,硬件令牌需要專門的硬件介質,存在攜帶不便和易丟失的問題,而手機令牌則是以軟件的形式進行動態口令展示,在如今智能手機全面普及 的時代,手機令牌比動態口令更好用也更受歡迎。
洋蔥令牌
無論是短信驗證還是動態口令都是基于硬件的安全性,一旦手機或口令硬件丟失,同樣可能造成危險。而洋蔥令牌則是通過人臉、聲音、指紋等生物特征進行驗證,即使手機不慎丟失,也不用擔心賬號安全問題。
同時,企業在部署洋蔥令牌后,可以同時解決權限分散的問題,將內網所有系統甚至服務器等全部在統一的管理平臺進行管理,并全部實現生物特征驗證。一旦再有員工離職,只需在統一的管理平臺將其權限刪除而不需像以往在各個系統依次刪除。
企業中的大部分網絡安全問題都和員工不安全的行為有著直接或間接的關系,一般企業在出現問題后都會對員工加強安全意識培訓,加強管理和嚴格制度 固然重要,但更應該從技術層面入手解決,做到“即使員工出現疏忽也能保證信息安全”。還是那句話,眾多員工中,你永遠不知道誰會成為那個不守規矩的人,員 工的安全意識真的不靠譜。
作者:獬豸凌??,轉載請注明來自 FreeBuf 黑客與極客(FreeBuf.COM)