十个很少有人谈到的网络安全风险因素

这也是为什么在美国你不需要使用带有 PIN 码的芯片卡。世界其他地方需要芯片和 PIN 码，这是目前为止更安全的选择。美国是怎么做到的呢?因为 PIN 码和芯片卡进入美国的时间相对较晚，商户和客户刚刚习惯刷卡。要求人们插入卡片以正确读取芯片将会使一小部分交易失败，并使一些客户不满。

8. 前沿风险

站在最前面的人容易被当成炮灰。没有人愿意站在矛尖上。早期采用者很少会因为行动早而得到奖励。他们往往会成为经验教训，有益于后人采用改进的策略。

两年前，美国国家标准与技术研究院 (US National Standards and Technology, NIST) 表示，其长期以来要求使用长而复杂密码并定期更换的密码策略，导致的黑客攻击要比其阻止的多。其新的《数字身份指南》，NIST 特别出版物 800-63-3 (NIST Special Publication 800-63-3)，表示密码可以是简短的，不复杂的，并且除非你知道密码已经被泄露，那你永远不会被强制修改密码。与先前被认为是教条的建议相比，这是一个 180 度的大转变。

从那以后，没有任何合规指南或监管法律得到更新，表明采纳新建议是可取的或合法的，也没有见到或听说任何公司采用了新策略。这可能是一件好事，因为如果你改变了你的策略，并因此而遭到攻击，即使 NIST 说这是正确的做法，人们也会指责你，问你为什么这样做。等待大群体转向新的密码策略要安全得多，看看他们是对的还是错的。

9. 滞后风险

你总是在与已经发生在其他人(或你的组织机构)身上的风险作斗争。你等着看黑客有什么花招，然后建立缓解和控制措施，以对抗这些新的风险。必须先等黑客出招，就造成了从发现新的恶意行为到评估新技术、考虑新控制并实施中间的时间差。在观望中，你总是会落后。

10. “不可能事事正确”的风险

去年公布了超过 16555 个新漏洞。已知有超过 1 亿个独特的恶意软件程序。从民族国家黑客到金融窃贼，再到脚本小子，他们都试图入侵你的组织机构。你要担心的事情太多了。除非有人给你无限的金钱、时间和资源，否则你无法抵御这一切。你所能做的就是猜测(见第一条)哪些是最重要的风险，并试图阻止它们。

这些都不是风险评估的新组成部分。它们一直都在，它们是你们在评估风险和考虑控制时会想到的。所有这些都表明风险评估和风险管理比表面看上去要困难得多，尤其是和书本理论相比。当你考虑到普通计算机安全人员需要担心和考虑的所有事情时，你会惊奇地发现，我们在大多数时候能够处理好。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!