雖然“安全威脅”和“安全事件”這兩個術(shù)語是相關(guān)的,但在網(wǎng)絡安全領(lǐng)域,這些信息安全威脅具有不同的含義。
安全威脅是一種惡意行為,旨在破壞組織的系統(tǒng)或竊取數(shù)據(jù)。安全事件是指企業(yè)數(shù)據(jù)或其網(wǎng)絡可能已經(jīng)對外暴露的事件。導致數(shù)據(jù)或網(wǎng)絡泄露的事件稱為安全事件。
隨著網(wǎng)絡安全威脅不斷發(fā)展并變得更加復雜,企業(yè)IT在保護其數(shù)據(jù)和網(wǎng)絡時必須保持警惕。要做到這一點,他們首先必須了解所面臨的安全威脅的類型。
以下是IT團隊需要了解的十大類信息安全威脅:
1.內(nèi)部威脅
當組織內(nèi)部的個人有意或無意地濫用其網(wǎng)絡訪問權(quán)限,對組織的關(guān)鍵數(shù)據(jù)或系統(tǒng)造成負面影響時,就會產(chǎn)生內(nèi)部威脅。
不遵守組織業(yè)務規(guī)則和政策的粗心員工會引發(fā)內(nèi)部威脅。例如,他們可能會無意中將客戶數(shù)據(jù)通過電子郵件發(fā)送給外部各方,點擊電子郵件中的網(wǎng)絡釣魚鏈接,或與他人共享登錄信息。承包商、業(yè)務合作伙伴和第三方供應商也是其他內(nèi)部威脅的來源。
一些組織的內(nèi)部人員考慮不周或出于方便,有意繞過安全措施,以提高生產(chǎn)效率。惡意的內(nèi)部人員故意規(guī)避網(wǎng)絡安全協(xié)議,以刪除數(shù)據(jù)、竊取數(shù)據(jù)以便日后出售或利用、中斷操作或以其他方式損害業(yè)務。
應對措施:防止內(nèi)部威脅
組織可以采取哪些措施來最大限度地降低與內(nèi)部威脅相關(guān)的風險,其中包括以下內(nèi)容:
•限制員工只能訪問他們完成工作所需的特定資源;
•在允許新員工和承包商訪問網(wǎng)絡之前,對他們進行安全意識培訓。將有關(guān)無意和惡意內(nèi)部威脅意識的信息納入常規(guī)安全培訓;
•為承包商和其他自由職業(yè)者設置在特定日期到期的臨時賬戶,如合同終止日期;
•實施雙因素身份驗證,要求每個用戶除了提供密碼外還提供第二條身份識別信息;
•安裝員工監(jiān)控軟件,通過識別粗心、心懷不滿或惡意的內(nèi)部人員,幫助降低數(shù)據(jù)泄露和盜竊知識產(chǎn)權(quán)的風險。
2.病毒和蠕蟲
病毒和蠕蟲是旨在破壞組織系統(tǒng)、數(shù)據(jù)和網(wǎng)絡的惡意軟件程序。計算機病毒是通過將自身復制到另一個程序、系統(tǒng)或主機文件的一種惡意代碼。它一直處于休眠狀態(tài),直到有人故意或無意地激活它,在沒有用戶或系統(tǒng)管理人員的知情下或許可的情況下傳播感染。
計算機蠕蟲是一種自我復制程序,無需將自身復制到宿主程序或需要人工交互進行傳播。其主要功能是感染其他計算機,同時在受感染的系統(tǒng)上保持活動狀態(tài)。蠕蟲通常使用操作系統(tǒng)的一些部分進行傳播,蠕蟲通常使用操作系統(tǒng)中自動的、用戶看不見的部分傳播。一旦蠕蟲進入系統(tǒng),它就會立即開始自我復制,從而感染沒有得到充分保護的計算機和網(wǎng)絡。
應對措施:預防病毒和蠕蟲
為了降低由病毒或蠕蟲引起的此類信息安全威脅的風險,企業(yè)應在其所有系統(tǒng)和網(wǎng)絡設備上安裝防病毒軟件和反惡意軟件,并使該軟件保持最新。此外,組織必須培訓用戶不要下載附件或單擊來自未知發(fā)件人的電子郵件中的鏈接,并避免從不受信任的網(wǎng)站下載免費軟件。用戶在使用P2P文件共享服務時也應該非常謹慎,不應該點擊廣告,尤其是來自不熟悉品牌和網(wǎng)站的廣告。
3.僵尸網(wǎng)絡
僵尸網(wǎng)絡是連接互聯(lián)網(wǎng)的設備的集合,包括被常見類型的惡意軟件感染和遠程控制的電腦、移動設備、服務器、物聯(lián)網(wǎng)設備。通常,僵尸網(wǎng)絡惡意軟件會在互聯(lián)網(wǎng)上搜索易受攻擊的設備。威脅行為者創(chuàng)建僵尸網(wǎng)絡的目標是盡可能多地感染連接設備,使用這些設備的計算能力和資源來實現(xiàn)通常對設備用戶隱藏的自動化任務??刂七@些僵尸網(wǎng)絡的威脅參與者,通常是網(wǎng)絡犯罪分子,使用它們發(fā)送垃圾電子郵件,參與點擊欺詐活動并為分布式拒絕服務攻擊生成惡意流量。
應用措施:防止僵尸網(wǎng)絡
組織有幾種方法可以預防僵尸網(wǎng)絡感染:
•監(jiān)控網(wǎng)絡性能和活動,以檢測任何不規(guī)則的網(wǎng)絡行為;
•使操作系統(tǒng)保持最新狀態(tài);
•使所有軟件保持最新并安裝任何必要的安全補丁;
•教育用戶不要從事任何使他們面臨機器人感染或其他惡意軟件風險的活動,包括打開未知電子郵件,下載附件或點擊不熟悉的鏈接;
•實施查找和阻止僵尸病毒的抗菌網(wǎng)絡工具。此外,大多數(shù)防火墻和防病毒軟件都包含用于檢測、防止和刪除僵尸網(wǎng)絡的基本工具。
4.偷渡式下載攻擊
在偷渡式下載攻擊中,惡意代碼通過瀏覽器、應用程序或集成操作系統(tǒng)從網(wǎng)站下載,無需用戶的許可或知識。用戶無需單擊任何內(nèi)容即可激活下載。只需訪問或瀏覽網(wǎng)站即可開始下載。網(wǎng)絡犯罪分子可以使用偷渡式下載來注入特洛伊木馬、竊取和收集個人信息,以及向端點引入漏洞利用工具包或其他惡意軟件。
應對措施:防止偷渡式下載攻擊
企業(yè)可以阻止偷渡式下載攻擊的最佳方法之一是使用最新版本的軟件,應用程序、瀏覽器、操作系統(tǒng)定期更新和修補。還應警告用戶遠離不安全的網(wǎng)站。安裝主動掃描網(wǎng)站的安全軟件可以幫助保護端點免受偷渡式下載。
5.網(wǎng)絡釣魚攻擊
網(wǎng)絡釣魚攻擊是一種信息安全威脅,它破壞了正常的安全行為并放棄機密信息,包括姓名、地址、登錄憑據(jù)、社會安全號碼、信用卡信息以及其他財務信息。在大多數(shù)情況下,黑客發(fā)送假郵件看起來好像來自合法的來源,比如金融機構(gòu)、eBay、PayPal,甚至朋友和同事。
在網(wǎng)絡釣魚攻擊中,黑客試圖讓用戶采取一些建議的行動,例如點擊電子郵件中的鏈接,將他們帶到要求輸入個人信息的欺詐網(wǎng)站或在其設備上安裝惡意軟件。在電子郵件中打開附件也可以在用戶的設備上安裝惡意軟件,這些設備旨在收集敏感信息、向其聯(lián)系人發(fā)送電子郵件或提供對其設備的遠程訪問。
應對措施:防止網(wǎng)絡釣魚攻擊
企業(yè)應該培訓用戶不要下載附件或點擊來自未知發(fā)件人的電子郵件中的鏈接,并避免從不受信任的網(wǎng)站下載免費軟件。
6.分布式拒絕服務(DDoS)攻擊
在分布式拒絕服務(DDoS)攻擊中,多個受感染的計算機攻擊目標,例如服務器、網(wǎng)站或其他網(wǎng)絡資源,使目標完全無法運行。大量連接請求、傳入消息或格式錯誤的數(shù)據(jù)包會迫使目標系統(tǒng)減速或崩潰并關(guān)閉,從而拒絕為合法用戶或系統(tǒng)提供服務。
應對措施:防止DDoS攻擊
為幫助防止DDoS攻擊,企業(yè)應采取以下措施:
•實施技術(shù),以可視方式監(jiān)控網(wǎng)絡,并了解網(wǎng)站平均使用的帶寬。DDoS攻擊提供了可視線索,因此了解其網(wǎng)絡正常行為的管理員將能夠更好地捕獲這些攻擊。
•確保服務器具有處理大量流量峰值的能力以及解決安全問題所需的必要緩解工具。
•更新和修補防火墻和網(wǎng)絡安全程序。
•設置協(xié)議,概述發(fā)生DDoS攻擊時要采取的步驟。
7.勒索軟件
在勒索軟件攻擊中,受害者的計算機通常通過加密被鎖定,這使受害者無法使用存儲在其上的設備或數(shù)據(jù)。為了重新獲得對設備或數(shù)據(jù)的訪問權(quán),受害者必須向黑客支付贖金,通常是以比特幣等虛擬貨幣支付。勒索軟件可以通過惡意電子郵件附件,受感染的軟件應用程序,受感染的外部存儲設備和受感染的網(wǎng)站進行傳播。
應對措施:防止勒索軟件
為了防止勒索軟件攻擊,用戶應定期備份其計算設備并更新所有軟件,包括防病毒軟件。用戶應避免單擊電子郵件中的鏈接或打開來自未知來源的電子郵件附件。受害者應盡一切可能避免支付贖金。組織還應該將阻止未經(jīng)授權(quán)訪問計算機或網(wǎng)絡的傳統(tǒng)防火墻與過濾Web內(nèi)容的程序相結(jié)合,并將重點放在可能引入惡意軟件的站點上。此外,通過將網(wǎng)絡隔離到不同的區(qū)域來限制網(wǎng)絡犯罪分子可以訪問的數(shù)據(jù),每個區(qū)域都需要不同的憑據(jù)。
8.漏洞利用工具包
漏洞利用工具包是一種編程工具,使沒有任何編寫軟件代碼經(jīng)驗的人能夠創(chuàng)建、定制和分發(fā)惡意軟件。漏洞利用工具包有多種名稱,其中包括感染工具包、犯罪軟件包、DIY攻擊工具包和惡意軟件工具包。網(wǎng)絡犯罪分子使用這些工具包來攻擊系統(tǒng)漏洞,以分發(fā)惡意軟件或參與其他惡意活動,例如竊取企業(yè)數(shù)據(jù),發(fā)起拒絕服務攻擊或構(gòu)建僵尸網(wǎng)絡。
應對措施:防止漏洞攻擊包
為了防范漏洞利用工具包,組織應該部署反惡意軟件以及安全程序,該程序會不斷評估其安全控制是否有效并提供防御攻擊。企業(yè)還應安裝反釣魚工具,因為許多漏洞利用工具包使用網(wǎng)絡釣魚或受到破壞的網(wǎng)站來滲透網(wǎng)絡。
9.高級持續(xù)性威脅攻擊
高級持續(xù)威脅(APT)是一種針對性的網(wǎng)絡攻擊,在這種攻擊中,未經(jīng)授權(quán)的入侵者侵入網(wǎng)絡并在很長一段時間內(nèi)未被發(fā)現(xiàn)。APT攻擊的目標不是對系統(tǒng)或網(wǎng)絡造成損害,而是監(jiān)視網(wǎng)絡活動并竊取信息以獲得訪問權(quán),包括利用工具包和惡意軟件。網(wǎng)絡犯罪分子通常使用APT攻擊來攻擊高價值目標,如大型企業(yè)和一些國家,并在很長一段時間內(nèi)竊取數(shù)據(jù)。
應對措施:防止APT攻擊
檢測出站數(shù)據(jù)中的異??赡苁窍到y(tǒng)管理員確定其網(wǎng)絡是否已被定位的最佳方式。
APT的指標包括以下內(nèi)容:
•用戶帳戶的異常活動;
•廣泛使用后門特洛伊木馬惡意軟件,這種方法使APT能夠維持訪問;
•奇怪的數(shù)據(jù)庫活動,例如涉及大量數(shù)據(jù)的數(shù)據(jù)庫操作的突然增加;
•存在異常數(shù)據(jù)文件,可能表示已捆綁到文件中的數(shù)據(jù)有助于滲透過程。
為了對抗此類信息安全威脅,組織還應部署軟件、硬件或云計算防火墻以防止APT攻擊。組織還可以使用Web應用程序防火墻通過檢查HTTP流量來檢測和阻止來自Web應用程序的攻擊。
10.惡意廣告
惡意廣告是網(wǎng)絡犯罪分子用于將惡意代碼注入合法在線廣告網(wǎng)絡和網(wǎng)頁的技術(shù)。此代碼通常會將用戶重定向到惡意網(wǎng)站或在其計算機或移動設備上安裝惡意軟件。用戶的計算機可能會受到感染,即使他們沒有點擊任何內(nèi)容來開始下載。網(wǎng)絡犯罪分子可能會使用惡意廣告來安裝各種獲利的惡意軟件,包括加密腳本、勒索軟件、特洛伊木馬。
一些知名公司的網(wǎng)站,包括Spotify、紐約時報、倫敦證券交易所,都無意中展示了惡意廣告,使用戶面臨風險。
應對措施:防止惡意廣告
為了防止惡意轉(zhuǎn)化,廣告網(wǎng)絡應該添加驗證;這會降低用戶受到危害的可能性。驗證可能包括:通過要求合法的商業(yè)文件審查潛在客戶;雙因素驗證;在發(fā)布廣告前掃描潛在廣告中的惡意內(nèi)容;或者可能將flash廣告轉(zhuǎn)換為gif動畫或其他類型的內(nèi)容。
為了緩解惡意廣告攻擊,Web主機應定期從未修補的系統(tǒng)檢查其網(wǎng)站,并監(jiān)控該系統(tǒng)以檢測任何惡意活動。Web主機應禁用任何惡意廣告。
為了降低惡意攻擊的風險,企業(yè)安全團隊應確保軟件和補丁保持最新版本,并安裝網(wǎng)絡反惡意軟件工具。
京公網(wǎng)安備 11010502049343號