IT安全原则最薄弱的一环

攻击地点和时间。在这种情况下，他们可能不愿冒险抵抗银行保险库或装甲运输服务。远程仓库可能是他们的最佳选择。这是最薄弱的环节。

网络犯罪分子的资源有限

黑客没有无限的资源和时间可支配。他们希望将精力用在他们工作中最容易获得最快收益的领域。攻击者会直奔阻力最小的路径。他们会攻击看起来最弱的安全控制，而不是看起来最强的安全控制。

无论是一个躲在地下室的少年黑客，还是一个由国家支持的复杂黑客组织，其原理都是一样的。他们将寻找最薄弱的环节，并试图从这一点突破组织的防御。当有更容易进入的方法时，没有人会故意花费时间和金钱试图渗透IT基础设施中戒备森严的部分。只有当他们无法突破最薄弱的环节时，他们才会去探索更具挑战性的选择。

最弱的环节不一定能获取最大收益

即使这样的链接比您组织的安全基础结构中的高度安全元素所获得的回报更少，也会出现最弱链接的优先级。想一想。银行持有的现金比当地的便利店多得多。抢劫银行肯定会在财务上更有利可图。但是，与便利店的保护措施较弱相比，普通抢劫者很难渗透到银行的先进安全技术上。便利店是更容易受到攻击并成功逃脱的目标。

人并不总是最薄弱的环节

从安全角度来看，最终用户，技术支持人员或基础架构管理员等通常被认为是最薄弱的环节，这个论点是有道理的。然而，人类由于决策的不可预测性和易受社会工程的影响而变得脆弱，最薄弱的环节也可能是安全功能或特征。

找出最薄弱的环节并降低风险

那么，如何识别IT安全设计中最薄弱的环节?您需要进行全面的风险分析。由此，您应该看到哪些风险是最容易利用的。但是仅仅找出最薄弱的环节是不够的。有了大量的风险数据，您可以按严重程度对风险进行排序，并首先专注于减轻最严重的风险，而不是那些最容易处理的风险。

安全资源应该根据风险的严重程度来分配。考虑到资源不是无限的，解决所有风险是不可能的。必须有一个终点，这是通过衡量可接受风险的参数来确定的。什么样的风险是可接受的，因人而异。

解决最薄弱的环节是根本

如果您打算为您的IT基础设施进行安全设计，那么识别和保护最薄弱的环节是至关重要的。解决最薄弱的环节意味着你可以避免一种类似于设置大门并期待攻击者直接跑向它的策略，而大门周围并没有限制他们的访问。

（编辑：大同站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!