很多时候，一些所谓专家告诉我们的关于信息安全的做法虽然很好，但却不方便日常使用。例如使用长而复杂的密码或加固你的计算机系统，其实这并不能带来多少真正价值。还有禁用弱密码哈希，这在15年前算是很好的建议；使用最新防病毒程序，如果这样管用的话，我们几十年前就可以解决安全问题了。

 

这些以往的建议并没有真正的解决黑客的攻击，在本文中我们为你提供一些真正行之有效的基本防御方法：

　　No.1：首先修复最流行的软件

银行劫匪抢银行是因为那里有钱。恶意攻击者和恶意软件专注于利用最流行的程序，因为这些程序最有可能位于他们想要攻击的电脑中。

你可以看看大多数计算机是如何受攻击的，主要是通过未打补丁的软件。通常情况下，攻击者会利用大家常用的流行软件。现在客户端流行的软件是Oracle Java，其次是Adobe Flash和Acrobat Reader。服务器端是未打补丁的管理员或远程访问工具。最受欢迎的程序会随着时间而改变，没有改变的是，最受欢迎的程序是攻击者最常利用的程序。

因此，你应该马上修复最常被利用的这些程序，这比你修复所有其他不太流行的程序(大多数企业都是这样做)都更有效。如果你不能修复或缓解最常被利用的程序，其他努力都是白费。

　　No.2：避免社会工程学

社会工程学是通过电话、电子邮件或者网络，骗子设法获取一些重要信息或说服被害人安装恶意软件。防范社会工程学的唯一方法是对你的员工进行培训，让他们了解如何抵御最普遍的威胁，这是大部分公司做不到的。

测试你的员工，如果你可以成功地对他们进行社会工程攻击，你应该加强对他们的教育。如果你有很好的员工教育计划，而员工仍然未通过测试，那就应该加倍努力了。

　　No.3：可信不一定安全

确保你的员工受到信息安全的教育的同时还要告诉他们，他们更有可能被可信的网站所攻击，而不是陌生的网站。告诉员工不要被诱骗而安装新的应用程序，让他们知道流行的免费的软件通常充斥着大量的恶意程序。

　　No.4：双因素身份验证有它的好处

尽管双因素身份验证的安全性被过度吹捧，其有效性往往取决于你认为你正在缓解的风险。例如，双因素身份验证不能阻止大多数当今的高级持续性威胁—在这些攻击完全控制你的电脑后，但双因素验证可以很好地防止网络钓鱼攻击。

如果你足够严格，仅允许用户通过双因素验证来登录到公司资源，那么就没有登录名和密码组合可以偷。当假冒网络钓鱼邮件要求用户提供登录凭证，攻击者也无法得逞。只有你在企业网络的所有地方都是用双因素身份验证，这才会管用，你不要对一些网站使用登录名和密码。

　　No.5：不要在各种系统或网站使用相同的密码

在网络钓鱼攻击后，攻击者获取你密码的最常用方式是从其他系统和站点。很多用户的Facebook或Twitter登录信息已经被攻击者获取，攻击者使用相同的密码来登录用户的企业账户，这总是很有效。

确保你的企业密码与企业网络外所使用的密码不相同，不要在多个网站使用相同的密码。即使在企业网络，本地管理和服务/启动程序账户也不应该使用相同密码，这会让攻击者利用单个登录信息来在几分钟内造成网络范围的攻击。不要共享本地密码是你减缓攻击和把伤害降到最低的最佳措施之一。

　　No.6：在你的最高权限用户组不要设置永久权限

恶意软件攻击者总是通过提升其权限，以获取网络中最高安全权限。一旦他们得逞，游戏就彻底结束了。想要感染攻击者吗？那么，不要在任何高级权限用户组设置永久成员，并监控和警报意想不到的成员增加情况。虽然这种做法不能完全阻止攻击者，但会让他们感到挫败。

　　No.7：控制事件监控

如果你每天收集超大量事件，这样做是错误的。你应该专注于具有恶意性质的事件，仅对这些事件发出警报。所有其他事件都是海里捞针。

　　No.8：网络流量分析是一个天赐良机

现在的攻击者获得普通用户的登陆凭证，然后开始访问这个用户登录凭证可以访问的服务器和站点。或者他们会使用内存中软件，这些软件非常难被发现。但无论他们使用什么做法，他们都会是非法的做法。你可以使用网络流量分析攻击，定义什么是正常流量，并对异常流量发出警报。

　　No.9：白名单比反恶意软件更有用

如果每个人都使用白名单应用控制程序，这会让大家的生活更轻松。白名单程序可以阻止恶意不确定的程序的执行。这是阻止未知恶意软件的很好的方法。但如果你不能在执行模式下使用它，你可以在仅审核模式打开你的应用控制程序。然后对新的可疑程序发出警报和作出响应，而不会中断正常操作。

　　No.10：专注于如何，而不是什么

最后，了解攻击者如何入侵你的网络，而不要太注重恶意软件的名称。恶意软件的名称并没有什么用，而是应该了解它是如何进入，通过未打补丁的软件？社会工程学？研究这些模式并专注于缓解这些类型的威胁；然后制定真正的计算机安全防御计划。

(责任编辑：安博涛)