很多时候,公司的网站被入侵、数据泄漏等,并不是安全部门的人不上心,而着实是没办法。他们仅仅是在一个烂布上缝缝补补而已。
0x00
钓鱼?YYDS
很多时候,不是技术不够先进,也不是公司不舍得给安全部门预算,而仅仅是有人为了200块钱的优惠券而点了一封钓鱼邮件,成功的干翻了每年花近百万买的防火墙。
很多时候,往往是因为对网络安全培训不够重视(或者仅仅是因为不在乎),甚至一些理论上不应该受骗的人(比如各种管理层),也会犯下这种低级错误。
边缘化的安全团队
安全不仅仅是技术问题,更是一种组织上的问题。没有管理层的支持和参与,安全团队再怎么努力也是白费。
有太多公司,安全团队被边缘化,安全措施得不到有效执行。或者一些手持大量用户敏感数据的公司,甚至没有安全团队,用户的隐私如何保障?
表面功夫
很多公司所谓的安全,只是符合XXX安全标准,认为只要通过了各类合规认证,那我们的公司就是安全的。但现实是,合规只是安全的基础,后面需要持续地行动和投入。
第三方风险
很多公司会忽略第三方供应商的安全问题,但是它们往往是攻击者的重点攻击对象。比如之前的超大型数据泄漏,就是通过第三方供应商泄漏的。
技术债务
这属于开发和安全的battle了,很多公司使用的技术框架还是远古时代的,而开发为了稳定性考虑,不愿意升级,但是这些老旧技术又往往存在大量的安全漏洞,成为网络安全的隐患。
那开发不愿意升级,安服仔们又能有什么办法呢?
地位低下的安服仔们
安全部门一般是属于成本部门,也就是花钱的部门,而像一些利润部门,也就是给公司带来收益的部门,很多时候他们可以无视公司的安全规定,而不会被问责。
毕竟人家在公司内地位高。而这种情况,往往会导致破窗效应。
过度依赖技术
很多公司虽然会舍得给安全部门花钱,但是只是买买买,买了一堆的贵得要死的软件和设备,而忽略了人的因素。即不进行安全宣讲,也不进行安全培训。
只能说,钱不是这么花的。
0x01
安全做得好的公司千篇一律,出现问题的公司各有不同。有一说一,这其实并不仅仅只是一个安全部门可以解决的问题,就像前几年在互联公司流行的中台一样,需要从组织上,至上而下的进行推动,并给予他们足够的权限。
不知道各位师傅们还有遇到过哪些问题或者神坑?
加个星标关注不迷路 ★ 更多原创文章第一时间推送!
点赞,在看,分享,我都可以的
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...