随着技术的快速发展，网络安全在全球范围内变得越来越重要。对安全性的重视源于组织需要做好准备，以防万一而不是假设不会发生安全漏洞。

不幸的是，人为错误往往是导致安全漏洞的原因。了解如何对抗网络攻击至关重要，因为在我们这个数据驱动的世界里，保护敏感信息是每个人的责任。

为了庆祝网络安全意识月，我们整理了您可以实施的顶级安全提示，以提高安全性。通过采用这些策略，您会减少信息或行动导致灾难性安全漏洞的可能性。

1 启用多因素认证 (MFA)

多因素认证通过在登录时验证用户身份的方法（例如接收验证码或点击链接）增加了一层额外的安全性。启用 MFA 至关重要，因为缺少它会增加您的风险。

对于提供 MFA 服务的服务，启用 MFA 并使用身份验证应用程序（如果可用）。立即报告任何异常登录尝试。对于组织而言，最好要求启用 MFA 并限制禁用它的选项。

2 避免组织范围内的共享链接

创建一个任何人都可以访问的链接而不是仅特定用户访问，这很诱人，特别是在需要额外利益相关者访问的情况下。

然而，微软报告称，只有 1% 的组织范围内的权限授予实际上被使用。大量的业务文档包含不应让组织内所有人甚至互联网上的任何人访问的敏感信息。

移除创建组织范围链接的能力可以显著减少组织的潜在影响范围。在公司中，通过 SaaS 共享功能暴露给互联网的 157,000 条敏感记录代表了 2800 万美元的数据泄露风险。

与其选择过度授权的链接，用户应直接与需要访问以完成工作的人员共享文件，并根据具体情况邀请其他人访问。

3 对链接和未知联系人保持警惕

社会工程学和网络钓鱼仍然是黑客获取访问权限最有效的方式之一。常见的网络钓鱼迹象包括奇怪的发件人地址、请求中的紧迫感以及提示用户点击链接。

网络钓鱼模拟是组织教育团队识别可疑通信的影响并鼓励用户主动寻找诈骗的有效方法。

作为消费者或员工，仔细检查通过短信、电子邮件等联系您的任何未知发件人非常重要。只需一次点击就可能让威胁行为者获得数据大门的钥匙。

4 发生可疑活动时立即报告

进一步阐述第三点，仅仅对可疑短信置之不理是不够的。

大多数网络钓鱼尝试都针对组织中的多个用户，因此如果您收到一条，请向 IT 部门报告。一些公司有插件或专用邮箱来转发可疑活动。

即使是简单的回应网络钓鱼尝试也可能适得其反，因此避免参与任何形式的对话。此外，在未验证联系人身份的情况下，切勿共享信息或进行购买。

5 不是每个人都需要管理员权限

很多云平台中的管理权限非常强大。在许多组织中，现有管理员可以在没有 IT 监督的情况下授予他人在这些工具中的访问权限。

这导致过多的用户具有提升的权限和访问敏感信息的权限。

许多组织不了解共享责任模型，该模型要求 SaaS 提供商对其平台的基础设施进行保护并提供高可用性解决方案，而消费者则负责保护和确保其数据安全。

当组织中的某人请求您管理的应用程序的管理员访问权限时，评估请求是否合理，并考虑设置权限的到期时间以维护安全性。与 IT 和安全团队协调，确保所有管理员了解共享责任模型并遵守既定的权限协议。

6 评估授予第三方应用的权限

想象一下注册最新的社交网络应用，为了跳过填写冗长表格，您可以简单地将其连接到您的 Gmail 账户，从而打开对该应用中存储的信息的访问权限。

虽然建立这种连接很容易，但很难理解这些应用是如何配置的以及它们对连接服务中的信息有何种访问权限。

还存在应用中包含威胁行为者可以利用的漏洞的风险。通过单击，就可以授予这些恶意应用访问权限。

威胁实验室团队创建了一个攻击场景，我们在其中创建了一个看起来真实的 app，并使用网络钓鱼技术说服用户安装该 app 并授予其对 Microsoft 365 环境的完全访问权限。尽管我们的场景是模拟的，但大多数黑客和勒索软件团伙不会止步于获得访问权限，而是会进一步利用他们找到的信息。

随着第三方应用的使用增加，评估连接应用及其涉及的风险至关重要。我们建议分析每个应用的权限并将其风险等级评为低、中或高。

7 小心使用公共 Wi-Fi 网络

随着技术的发展，公众几乎期望在他们去的任何地方都能访问 Wi-Fi，用户在连接免费 Wi-Fi 选项时不会阅读条款和条件或检查 URL，增加了被攻破的机会。

谨慎连接设备到的免费 Wi-Fi 网络，并在会话结束后让计算机忘记这些网络。

8 谨慎与生成式 AI 工具共享信息

大型语言模型（LLM）如 ChatGPT 可以使用您的数据来训练其系统。如果您在聊天中共享敏感信息，您的数据可能会在另一会话中无意间出现，甚至更糟糕的是落入黑客手中。

像 Microsoft 365 Copilot 这样的工具也被设计为可以访问用户可以访问的所有内容，这通常远超出必要范围。确保您的组织在推出前后安全地部署 AI 工具。

数据隐私是关于 AI 的主要关注点。组织认识到在维护 AI 功能的同时保护隐私的必要性，这可能具有挑战性。

使用 AI 时，始终将敏感细节排除在聊天之外。安全团队应在组织中设置 AI 政策，并确保员工接受培训，正确使用批准的生成式 AI 解决方案。

9 按提示进行常规更新

看到“自动重启”窗口弹出在重要任务中间可能令人烦恼，但等待更新的时间越长，未修补的错误配置就越多。

补丁是针对在不同软件和云平台中发现的漏洞的解决方案。在漏洞被修补之前，包含潜在敏感信息的会议信息对整个互联网开放。对设备和软件更新采取主动措施可以降低因错误配置而被攻破的可能性。

10 使用密码管理器

密码管理器允许用户为其所有登录创建复杂密码，防止威胁行为者访问其账户。

无论您是否使用密码管理器，创建不同的密码用于不同的站点、选择额外的安全措施如 MFA 以及在未知设备或位置登录时设置警报都很重要。

这些密码生成的小最佳实践可能是防止数据泄露中数据被攻破的关键。

不要等到安全漏洞发生 随着安全漏洞的增加，优先考虑网络安全至关重要。遵循这些预防性的网络安全提示可以帮助您在工作和家庭中拥有更强的安全实践。

对于组织而言，将有效的培训与顶级安全技术相结合，可以创建理想的网络安全解决方案。