文章所述均基于真实故事。不过为了避免主人公在公众面前出丑,文章处理了他们的身份。如有雷同,绝非巧合。
我和我的小伙伴们都惊呆了
作为一名安全专家,有时候你只能双手捂脸痛哭;不过有时候人们干的那些将企业置于风险境地的事儿又会让你惊得下巴都能掉下来。下面就是这样一些基于真实生活的场景。
(1)试试开机?
有一天,我不小心偷听到技术支持接听的一通电话,我很诧异这个小伙(内部员工)为什么对技术支持一顿狂吼加狂虐。于是,我插手此事并试着救场。我大概查看了下小伙那台不会启动的台式电脑有什么问题。他确信自己被黑了。然后他说显示器的电源指示灯是黄色的。我顿了顿,深吸一口气,然后问他电脑上的灯是什么颜色。他回答说“那儿没你说的破灯。”我让他把电脑打开。这次轮到他愣神了……他清了清喉咙……对我们表示感谢然后把电话挂了。随后他跟HR童鞋进行了一次促膝长谈。
(2)至少他们没把“password”当密码
一次,一个调查小组通知用户说他的账户可能已经被攻陷了,有人知道了他的密码,所以他需要改一下,这哥们儿听倒是听了,但效果却不敢让人恭维。比如说他的密码是trustno1,你猜怎么着,他改成了trustno2。就好像窃取他密码的黑客智商不够不会尝试大一个的数字似的。这里给大家提个醒儿:黑客一般都非常聪明,而且也够聪明,所以能想到尝试所有此类变化。
(3)是谁把邮件隔离的?
曾经有一次,我们公司成了一次钓鱼攻击的靶子,于是我们跟员工做了很多沟通,通知他们在点击链接时一定要小心。同时我们启动了邮件过滤工具确保这些钓鱼邮件被隔离。但我们就有这样一个用户,他进入隔离邮箱并提取出了邮件,之后回到收件箱,目的就是能点击到这个链接......然后,他用恶意软件感染了自己的机器。
(4)我赢了,我赢了……但却丢掉了工作
我们之前的一名系统管理员想通过提交在线技术视频赢得1000美元的奖金。所以他举着一台摄像机到了安全数据中心然后录制了客户非常敏感的设备信息。后来客户打电话报告说他们在网上看到了自己的信息。要揪出制作视频的人并不难。于是这名系统管理员损失了一个9万美元的工作,虽然赢取了1000美元的奖励!
(5)我只不过是想把USB放到一个安全的地方
公司规定,不准将敏感的公司数据复制到非公司系统中。我们发现一名经理将敏感数据拷到了个人USB设备。她说自己需要给数据做
还没有评论,来说两句吧...