网络安全方法是否会造成系统漏洞

某企业最近发布了《2022年数据泄露调查报告》，网络为企业提供了关于全球网络安全状况的安全重要见解，分析了过去15年里超过2.3万起事件和5200起已确认的法否入侵事件，将网络攻击的造成首要动机归因于经济利益。

几乎五分之四的系统违法行为是有组织犯罪所为，他们试图通过保险赔付的漏洞方式，向企业勒索巨额。网络

勒索软件入侵增加了13%，安全这比过去5年的法否总和还要多 。此外
，云计算造成82%的系统网络入侵涉及人为因素，即通过窃取证书、漏洞网络钓鱼、网络滥用或仅仅是安全简单的错误。

人们继续在事件和违规行为中扮演着非常重要的法否角色。据悉 ，今年有18%的网络钓鱼邮件直接来自手机，这突显出这是商业安全的一个弱点。它的免费模板统计数据强调了拥有一个强大的安全意识项目的重要性。

很明显
 ，私营企业和公共机构迫切需要改变他们的网络安全方法 。提高安全意识固然好，但直接解决一个近二十年来无人问津的问题更好。

访问过程的系统性缺陷

网络安全界和媒体普遍认为
，网络安全的主要问题是人
。超过80%的网络攻击和网络入侵可以追溯到凭证方面的服务器租用人为错误，特别是凭证盗窃和滥用。

然而 ，这种指责是错误的。想象一下，如果有一个路口，超过80%的事故发生，人们开始指责司机
，建议他们应该接受训练，更好地驾驶。但其实需要改变的是建站模板路口的设计，而不是人。

系统使用弱密码和重复使用的密码

在所有的入侵中
，使用了弱密码或重复使用的密码是最容易被破解的。这个问题实际上不是个人的错。首先 ，要记住几百个随机密码是高防服务器不可能的，但在数字世界中别无选择
，他们不得不求助于容易记住的密码 。

系统性违反数据隐私法

弱密码和重复使用的密码不是入侵的根本原因。公司面临的最大问题是允许员工自己设置密码 。当这种情况发生时，公司就失去了对密钥的控制，也就失去了对数据和网络的亿华云控制。如果它不是“你的密钥”，它就不是“你的数据” 。这意味着公司不能遵守数据隐私法 
，这可以解释为什么数据泄露现在如此普遍 。

瓦解弹性的系统性

为了减少需要记住的密码数量 ，企业采用了单一访问，也就是单点登录 ，身份访问管理，特权访问管理 ，而没有意识到这自动为犯罪分子降低了层次和障碍 ，减少了他们进入网络所需的步骤数量。

在为犯罪分子创造了获取访问、扫描和定位锁定整个网络所需特权的黄金路径后，从2019年到2021年 ，首次访问勒索软件所需的总时间从两个多月减少到3.85天。在同一过程中 ，他们将所有数据放在同一个篮子中 ，从管理员或特权帐户访问 ，从而加剧了任何数据泄露的潜在负面影响。

更多的网络安全工具或培训并不能解决问题

如果不解决他们的访问安全漏洞，增加网络安全工具或培训的预算，就无法阻止入侵或勒索软件，就像在汽车里安装更多的电子设备和提供更多的驾驶课程
，如果基础设施建设得很危险 ，就无法阻止交通事故一样。当人们一开始就不应该创建和了解公司密码时，就没有必要对他们进行密码安全培训 。当人们无法泄露他们不知道的密码时，就没有必要对他们进行网络钓鱼训练
。当怀疑有漏洞时，当每个系统都有不同的密码
，并且没有从哪里锁定或窃取所有东西的单一访问时，没有必要拔掉整个IT基础设施
。

心态的转变

在过去的几年里，随着网络安全预算的增加，网络攻击的数量一直在上升，没有很多人问为什么。尽管超过80%的漏洞与基于人工的证书有关，但大部分网络安全预算都花在了基础设施和系统漏洞上
，其中大多数仍未被发现
。但现在 ，网络安全溢出到物理世界的巨大风险，促使人们要求改变网络安全的工作方式。

为什么人们不应该首先设置密码

除非你能保证自己的大门安全 ，否则在网络安全上投资数十亿美元是不会有效果的 。首先
，不让员工控制对公司基础设施和资产的访问权限。当其他人创建了你整个企业的数字密钥时，你就失去了对他们的可见性和控制权。

实际上，密码只是钥匙

为了能够重新获得对其密码的控制权，公司需要按其本质对待密码。就像新员工开始新工作并收到大楼和办公室的钥匙一样，他或她在开始新工作时收到的是数字钥匙，而不是自己制作的。

物理密钥和数字密钥的唯一区别是在数字世界中没有物理障碍。要窃取物理密钥，需要靠近密钥。数字密钥或密码可以从世界上任何地方被盗 。

加密密钥 ，以免它们被盗

在凭证盗窃没有物理障碍的情况下，保护密钥的最有效措施是使用保护秘密的方法 ，也就是密码学。公司只需加密他们的访问权限，并将所有系统的凭据分发给他们的用户，这些系统位于一个只有每个用户可以访问的安全地方。这种逻辑解决了超过80%的违规行为。