本文中，IT安全专家讨论安全漏洞的主要原因，并建议企业如何规避风险。

事实上，根据Trustwave的近期2014年风险报告，共调查476名 IT专业人士对安全薄弱环节，大多数企业没有或只有部分系统到位，用于控制和跟踪敏感数据。

那么，公司可以做什么以更好地保护自己和客户的敏感数据所受的安全威胁？以下是最有可能发生的六个安全漏洞的的来源，，或许企业CIO可以提前做点什么？

风险1：心怀不满的员工

“内部攻击是数据和系统的最大威胁之一，” Green House Data的CTO说， “员工是IT团队中获取网络，数据中心和管理帐户的特别成员，可能会导致严重的伤害，”事实上，“有传言称，索尼黑客并没有攻击朝鲜，但其实内部工作有。”

解决方案： “减轻特权帐户风险的第一步是要确定所有特权帐户员工不再在公司那需立即终止，”CyberArk执行副总裁Adam Bosnian说。

“下一步，密切监测，控制和管理特权凭证，防止注销。最后，企业应实施必要的协议和基础设施来跟踪，记录特权帐户活动和创建警报，允许快速应对恶意活动和攻击周期的早期阶段减少潜在的损害。“

风险2：粗心大意或不知情的员工

“一个员工不小心忘记了解锁iPhone的密码，像心怀不满的用户恶意泄漏竞争对手一样的信息一样险，”SafeLogicCEO的Ray Potter 说。同样的，访问未经授权的网站或点击可疑电子邮件、打开电子邮件附件链接的员工给公司的系统和数据带来了巨大的安全威胁。

解决方案： “培训员工并提供持续的支持， RoboForm. 市场营销部副经理 Bill Carey说“有些员工可能不知道如何在网上保护自己，让业务数据存在在风险”他说。因此，网络安全培训是必不可少的持续课程，帮助员工学习如何管理密码，避免黑客通过钓鱼和键盘记录诈骗。然后提供持续的支持，以确保员工拥有他们所需要的资源。“

此外，“确保员工在所有设备上使用强密码，”他补充道。“密码是防守的第一道防线，因此要确保员工使用有大写和小写字母，数字和符号的密码，”Carey 说。

“同样重要的是每个注册的网站，使用一个单独的密码，并每隔30～60天改变它，”他继续说，“密码管理系统，可以通过自动化这个过程，省去了员工记住多个密码的麻烦。”

加密也是必不可少的。

“只要你已经部署了验证加密作为安全战略的一部分，是有希望的，” Potter说。“即使员工没有采取个人防护措施，来锁定自己的手机，你的IT部门可以通过执行吊销专门用于公司数据的解密密钥的选择性擦拭。”

为了更加安全，“实施多因素身份验证，如一次性密码（OTP），RFID，智能卡，指纹读取器或视网膜扫描，以确保知道他是谁，BeyondTrust.的产品集团总经理Rod Simmons补充说：“这有助于减轻违反应该密码被泄露的风险。”

风险3：移动设备（BYOD）

“员工使用移动设备共享数据，访问公司信息，或忽视改变手机的密码，这时最易发生数据盗窃” , BT Americas的首席技术官和副总裁Jason Cook解释说， “根据BT的研究中，移动安全漏洞已经在过去12个月影响超过三分之二的全球性组织（68％）。”

事实上，“随着越来越多的企业接受BYOD，他们面临着来自企业网络上的这些设备的风险（在防火墙后面，包括通过VPN）中的应用程序安装恶意软件或其他木马软件，可以访问该设备的网络连接的情况下，” Yottaa. 产品营销副总裁Ari Weil。

解决方案：请确保有一个完善的BYOD政策。“有了BYOD政策，员工更好地在使用设备，企业可以更好地监控电子邮件和正在下载到公司或员工自有设备的文档学历，”赛门铁克的高级总监Piero DePaoli, “如果移动设备丢失或被盗，有效的监控将提供可见性的移动数据丢失的风险，并让他们能够迅速找出风险。”

同样，企业应该“实施访问企业系统时保护双方数据，同时还制定尊重用户的隐私移动安全解决方案，” Good Technology的 CTONNicko van Someren建议，“通过在用户的设备安全分离业务应用和业务数据，确保企业的内容，证书和配置保持加密和被控制下，增加防御。”

您也可以“缓解BYOD与混合云的风险，Code42的CEO和联合创始人Matthew Dornquast补充说：“由于未经批准的应用程序和移动设备继续蔓延到职场，IT应该着眼于混合云和私有云为减轻这一职场趋势所带来的潜在风险，”他说。“两个选项一般提供公共云的能力和弹性的管理设备和数据，但增加了安全性和保密性，例如，在整个企业用于管理能力的应用程序和设备，无论何处的数据被存储，都能保证及时的加密密钥。”

风险四：云计算应用

解决方案：“最好的防御对基于云的威胁是在数据层面使用强大的加密，如AES 256位，被专家称为加密金标准，防止任何第三方访问数据，即使它驻留在公共云， CipherCloud的创始人兼首席执行官Pravin Kothari说.“由于很多2014年的违规行为表明，没有足够多的公司正在使用的数据级云加密来保护敏感信息。

风险五：未安装修补程序或Unpatchable设备

“这些是网络设备，诸如路由器，服务器以及采用软件或固件在它们的操作，但还没有创建或发送任一个补丁在其中的一个漏洞，或者它们的硬件不被设计，使它们能够及时发现漏洞进行更新， CyActive的联合创始人兼首席技术官Shlomi Boutnaru说。

“在2015年7月14日，微软将不再提供对Windows Server 2003的支持 -这意味着企业将不再接收补丁或安全更新这个软件，互联网安全中心 的程序高级副总裁notes Laura Iwan说。

拥有超过1000万物理单位仍在使用Windows 2003服务器，还有数百万人在使用虚拟机，根据Forrester，“希望这些过时的服务器成为所在网络的主要目标。”他说。

解决方案：学会补丁管理程序，以确保设备和软件，保持最新的时刻。

“第一步是部署漏洞管理技术，看看您的网络上，什么不是最新的，” Force 3的安全专家Greg Kushto说， “真正的关键，是有到位的政策，如果某台设备不更新或修补不及时，一定时间内它被脱机“。

要避免再次Windows Server 2003中可能出现的问题，“识别所有的Windows Server 2003清单中的所有软件和每台服务器的功能; 优先考虑基于风险和每个系统;映射出的迁移策略，然后执行它，“ Iwan 建议。如果无法执行的所有步骤，雇人来解决。

风险六：第三方服务提供商

“随着技术的日益专业化和复杂，公司正在更多地依靠外包商和供应商，支持和维护系统，Bomgar CEO notes Matt Dircks指出： “比如，餐厅的加盟商往往以第三方服务提供商外包他们的销售点终端（POS）系统的维护和管理。”

但是，“这些第三方通常使用远程访问工具连接到公司的网络，但并不总是遵循安全性的最佳实践，”他说。“举个例子，他们会使用相同的默认密码，远程连接到所有的客户。如果黑客猜测密码，他马上就通过这点连接这些客户的网络。“

事实上，“过去一年中think Home Depot,、Targe等等是由于承包商的登录凭证被盗，”ObserveIT的产品营销经理Matt Zanderigo,， “据最近的一些报道，大多数数据泄露（ 76％） -都归因于供应商的远程访问通道的开发，”他说。“即使合同没有恶意企图可能会损坏您的系统或受到攻击。”

“这种威胁是成倍成倍的，由于缺乏允许审查的第三方访问他们的网络之前由公司完成的， Dynamic Solutions International.的网络安全专家Adam Roth补充说：“一个潜在的数据泄露通常不直接攻击最有价值的服务器，但更多的是像飞跃青蛙的游戏，从低层次的计算机然后旋转到其他设备并获得特权去，是不太安全的”他解释说。

“公司做了相当不错的工作，确保关键服务器避免恶意软件从互联网上被攻击，”他继续说。“但大多数公司都相当可怕的，在保持这些系统与其他系统更容易妥协分割。”

解决方案： “公司需要验证任何第三方远程访问安全，如强制多因素身份验证，需要唯一的凭据为每个用户设置最小权限和捕捉所有远程访问活动的全面审计线索，Dircks说。

尤其是，“第三方账户登录尝试监控失败，有一个红色的标志提醒有攻击。”

规避风险的一般指导

“大多数企业现在认识到风险不是一个问题，” RSA技术解决方案总监Rob Sadowski, 表示,为了最大限度地减少安全漏洞和泄漏的影响进行风险评估，以找出重要数据的位置，并用程序控制来保护它。

那么，“打造出一个全面灾难恢复的业务连续性计划，将涉及来自IT，法律，公关，行政管理等，并对其进行测试。”