之前,我们报道过不少安全意识的内容,赛门铁克也曾经表示, 如果你不知道网站攻击工具、漏洞及方法 这本身就是个漏洞 ,避免最常见的安全威胁,是现代基础设施工程师应优先考虑的事情,因为若您不锁好前门实际上就是在暗中帮助罪犯分子。所以,本文中就分享一下最常见的威胁,在安全运维过程中,我们应该优先照顾这7大安全意识威胁。
1. 网络钓鱼攻击
网络钓鱼 是这样一种现象:通过发送看似合法(但一点也不合法)的电子邮件、社交网站或广告,攻击者诱骗受害者点击恶意附件或链接。多数情况下,一旦附件或链接被点击,受害者就会被定向至看似原始的网页(实际上并不是原始网页),并被要求输入保密信息,如信用卡号、社保号码等。多年来,网络钓鱼攻击越来越复杂,黑客能够让攻击看起来越来越真实(例如,某人收到来自看似与其哥哥一模一样的ID的电子邮件,邮件内容无可挑剔,因为黑客利用社会工程学手段进行高度仿效)。
在企业层面,这个漏洞很容易修复。员工需要接受训练敢于怀疑一切。只有确认发件人后,才能点击邮件中的链接。为确保安全意识长存,企业可聘请安全专家 开展钓鱼实验测试 ,了解有多少员工会遭遇实验性的网络钓鱼攻击。安全加公益译文也将推出网络钓鱼的专题论述,敬请期待。
2. 未经授权应用的安装/使用
另一种常见的安全威胁是因为在个人计算机和工作站上安装未授权的应用程序。如今,验证第三方应用程序的真实性很容易,但有时人们忽视了操作系统警告,只是继续安装,还想着“会出什么错呢?这只是一个应用程序,只有几兆字节而已。” 这是极其危险的,因为一旦被授予管理权限(在安装过程中选择“是”),只需执行一个小脚本,攻击者就能利用一个小程序控制整台计算机。
此漏洞可通过撤销企业设备和大多数员工的管理访问权限进行修复。相反,通过小小的培训,讲解第三方可信度和真实性的重要性,就足以让员工意识到安装未经授权的应用程序的威胁所在。
3. 默认密码或弱密码
显然,若要列出最常见的安全错误,弱密码不得不提。弱密码的问题在技术出现之初就已存在,并且仍然是世界上绝大多数的网络攻击的主要原因。大多数应用程序套件、开发软件和企业解决方案都使用默认密码,这就好比您在晚上打开了自家大门。通过猜测密码是进入系统最容易的方法,也一直是黑客首先尝试的办法。
显然,这一漏洞可通过 培训强密码意识 以及解释强密码在牵制新手黑客方面的作用来修复。现代复杂的系统不再接受不符合安全要求的用户密码,这点应该变得更加规范。
4. 禁用安全控件
可用性和安全性互为天敌。IT管理员常常禁用安全控件,使员工的应用程序更好用,但这显然会导致致命的后果。(若拥有绝对的电脑管理权限,员工可任意安装应用程序;若计算机感染了恶意软件,他们可以反过来损害网络和整个互连的基础设施。)
该漏洞可通过安装一层厚厚的防火墙安全进行修复,确保不需要的内容不得经过防火墙。这样,即使员工打算安装恶意软件,也不会被允许,因为一旦他们向管理员申请安装权限,就会被警告(并记录)。
5. 远程安全缺乏管理
远程不安全性也会带来灾难性后果。员工经常在个人电脑和企业工作站之前进行文件传输或者允许家庭成员在家使用其公司设备,这可能会造成一些安全漏洞。考虑这样一种场景:Bob工作站的处理能力不够,因此他把专用的可执行应用程序传到个人计算机上并运行。他在个人计算机上完成了所有工作,记录好结果,然后把文件从个人计算机上删除。然而,专用的可执行应用程序仍然以片段的形式存在于Bob的个人计算机上。使用高级的恢复软件即可恢复该应用程序,最糟糕是该应用程序可能会被误用。
修复方案很简单:在公司范围内禁止从企业设备向个人设备上传输数据。
6. 笨拙的社交网络
社交网络可以让整个工作场所保持协作活跃,但也可能造成一些明显的风险,如公司保密信息被张贴在社交网站上。(小编插一个典型案例, 锤子员工在GitHub提交文件包含激活数据 手机信息及销量暴露无遗 )一旦保密信息被发布在社交网站上,就超出了组织的保护范围。此外,(致命的)复杂的社会工程攻击数量也在逐年呈指数式增长。
为了解决这个问题,需要通过定期培训提高员工的技术意识。
7. 过时软件或未安装补丁
清单上最后一项威胁(但绝不是最不重要的)是来自过时软件的威胁。通常,我们都会延迟更新和/或补丁安装,总以为“不会有事”,结果造成系统中存在大量漏洞。(小编插一个典型案例, wannacry勒索蠕虫危及99个国家 )
推出更新或补丁的原因有很多种,有时是为了删除应用程序或其他软件中的漏洞。若不安装用于修复公开漏洞的更新,用户可能会遭遇潜在攻击。
再强调一次,员工(和普通个人)必须意识到安装更新和补丁的重要性,防止因为这种常见的错误而使系统受到攻击。
总结
即使最“安全”的基础设施也会时不时地遭受攻击,但这并不意味着遵循标准化的安全强制措施不能保护系统免受不必要的入侵。以上是现代网络攻击最常见的几种原因,加强对这些网络攻击的防范意识同等重要。