回到基础知识：网络安全最薄弱的链接

一个具有巨大吸引力的大承诺。在网络安全领域，你经常听到这样的说法，在那里，你经常会得到一个快速、简单的解决方案，它将满足你的所有网络安全需求，一气呵成地解决你的安全挑战。

它可以是一个基于人工智能的工具，一个新的高级管理工具，或其他东西–；而且它可能会非常有效地履行承诺。

但这是解决所有网络安全问题的一颗银弹吗？不。真正的网络安全最大的挑战是人类的行动，没有简单的、技术驱动的解决办法。

你最好的防守有多先进并不重要。外围防火墙、多层登录、多因素身份验证、AI工具；当来自一个普通部门的鲍勃点击电子邮件中的钓鱼链接时，所有这些都很容易变得无效。

这对任何人来说都不是新闻

我们都听过这个。人类是网络安全战略中的一个关键缺陷这一事实并非新闻；或者，至少，这不应该是新闻。但只要问问Uber或Rockstar Games，他们是否认为他们的系统不受社会工程的影响。

这两家公司最近都遭到了攻击，因为一名黑客欺骗了一名员工，使其违反了所有的安全最佳做法，以至于你想知道被欺骗的人是否听说过任何有关IT安全的消息。

你甚至可能想知道，这位员工是否接受过任何网络安全培训。

在这两种情况下，成功的攻击都没有涉及到一个非常复杂的攻击者使用最先进的工具，同时利用尚未公开的漏洞。

它所需要的只是一个简单的社会工程信息–；比如，“嘿，鲍勃，我是IT团队的，我们需要检查你的电脑上的一些东西，所以我给你发送一个工具，让你运行。只需单击下面的链接。”

然而我们没有学习

社会工程是20多年前黑客攻击的驱动因素，显然，我们还没有摆脱它。

雪上加霜的是，成功的社会工程并不局限于非技术组织。

例如，在一个穷乡僻壤的政府部门，一个不懂事的用户可能会爱上社会工程，这是非常合理的，但在一家领先的科技公司工作的人就更不可能了；我们看到优步和Rockstar Games都受到了社会工程的影响。

在某种程度上，作为一名网络安全从业者，你有责任教育你的用户，让他们意识到他们（以及组织）所面临的风险，你会认为你的同事们不会再陷入黑客行动手册中最古老的伎俩。

可以想象的是，用户在训练过程中没有注意到，或者只是忙于其他事情而忘记了有人告诉他们他们可以点击什么或不可以点击什么。

然而，社会工程攻击一直在公共新闻中出现；不仅仅是网络安全新闻；“我不知道我不应该点击电子邮件链接”的借口越来越难以接受。

有力地强化信息；那是你唯一的选择

人类行为对网络安全的影响没有神奇的解决方案。

人类会犯错，就像在生活中的每一条道路上，人类都会反复犯错一样，加强教育确实是你唯一的选择。

如果像Uber和Rockstar Games这样精于技术的公司能够弄错，那么其他任何人也可能会犯错。你唯一的选择是通过严格的教育计划，让每一位员工记住网络安全最佳实践。

不仅是用户需要教育；您还应该在安全团队中加强这些实践，包括修补、权限和总体安全定位。

总有一种风险是，一个日子过得不好的用户点击了一个链接，承诺如果世界上偏远地区的某个人只访问该网站，就会试图给他们数百万美元。

但是，就像对待网络安全的每一种方法一样，重点应该放在尽量减少和减轻这种风险上。不断加强和教育是你最好的防御。

注：本文由撰写和赞助TuxCare公司，企业级行业领导者Linux自动化。TuxCare为开发人员、IT安全经理和Linux服务器管理员寻求以负担得起的方式加强和简化其网络安全操作。TuxCare的Linux内核实时安全补丁和标准增强的支持服务协助保护和支持超过一百万个生产工作负载。