网络安全发展迅速,每天都有新的威胁和攻击方法出现。高调的网络入侵时有发生,更不用说还有些事件根本没有上报。这些入侵的规模和后果已经超出了技术层面,因此,没有充分网络安全风险意识的非技术人员最可能成为攻击目标。这种情况下,非技术人员进行安全意识培训要分三步走:认识恶意软件、识别恶意软件、对抗恶意软件。
1.认识恶意软件
恶意软件是指新开发或经过修改的、可对计算机设备造成损害的软件。实际上是为实现各种不同目的的恶意代码。主要功能是获取保密数据、窃取身份、劫持流量和操作系统、加密数字资产和监视用户等。恶意软件可以分为以下几种类型:
01.病毒
作为最广泛传播的恶意软件,病毒是可自我复制的恶意代码,它依附或内置于可执行文件,以降低用户的警觉性。一旦执行,病毒可感染其他应用程序并继续自我复制。病毒可通过邮件和硬件(USB秘钥和其他计算机外部配件)传输。病毒通常采用隐形技术设计,以避免杀毒软件检测。
02.蠕虫
蠕虫和病毒经常被混为一谈。确实,除了蠕虫是可自我执行的文件外,两者在很多方面都很像。它们不需要用户激活,可在多台计算机上进行自我执行和复制。强大的蠕虫可自我调节,甚至自我修复,Stuxnet就是最显著的例子。
03.木马
木马是恶意代码的盾牌。它们伪装成无害的应用程序,诱使用户从网站下载或从外部存储设备复制该应用程序。视频播放器、游戏和其他免费的互联网服务都是常见的诱饵,可诱使用户下载木马。木马的一个重要特点是:它们不可以自动执行,需要借助目标受害者才能感染其他应用程序。
04.间谍软件、勒索软件和键盘记录
就传播方法而言,病毒、蠕虫和木马都属于恶意软件的第一大类。恶意软件还可以按照功能进行细分。比如,击键记录、间谍软件和勒索软件都是通过病毒、蠕虫或木马进行传播的。击键记录可记录用户在计算机上输入的每条指令,包括密码、信用卡信息和任何其他敏感数据。间谍软件部署后可偷偷激活摄像头和麦克风,收集操作环境的相关信息,暗中监视用户。勒索软件的攻击目标为具有高价值数据资产的用户和公司。一旦激活,勒索软件可加密和劫持整个数据库,在获取赎金后才进行数据解密。
05.Rootkit、RAT和后门
Rootkit、RAT和后门都属于复杂的恶意软件,旨在获取或绕过计算机的最高权限。一旦部署,攻击者可通过Rootkit获得对Root系统的特权访问。RAT和后门这两种不同的恶意软件,目的是对受害者的计算机进行远程秘密访问,因此攻击者可远程、合法地监视和执行应用程序。
消除对恶意软件的误解
第一、恶意软件虽具破坏性,但其功能有时是合法活动必不可少的工具。例如,RAT和间谍软件可用于工作进度监控和远程技术支持之类的远程工作。因此,对软件的使用目的决定了它是恶意还是合法。
第二、恶意软件虽大多针对的是微软Windows系统中的漏洞,但不代表只会攻击Windows。截至2017年3月,各种版本的Windows占了大约90%的操作系统市场份额,说明它在普通用户中很受欢迎,因而成为了攻击者的理想目标,可利用其中的漏洞并开发工具以感染尽可能多的用户。但若打开了钓鱼邮件中的恶意链接并在欺诈网站上输入了个人信息,无论受害者的操作系统是 Linux、Windows还是MAC OS,结果都一样。
第三、不使用或同时使用多款杀毒软件起不到防护作用,将计算器恢复出厂配置也不能完全消除恶意软件。不同的杀毒软件可能互不兼容,会把对方视为恶意程序。恶意软件可感染固件或隐藏在硬盘驱动器的未格式化分区和个人文件备份中,格式化和恢复Windows系统未必能根除恶意软件。
2.识别恶意软件
01.弹出消息
勒索软件、广告软件会弹出消息,或者提供浏览器重定向链接,敦促用户立即行动或表示系统的正常功能无法恢复。这些弹出消息是恶意软件存在的明显迹象。特别要注意的是,欺诈性工具栏和其他浏览器重定向小工具有高度误导性。通过诱使受害者安装其他恶意软件并提供个人信息和银行信息,这些工具将受感染的计算机暴露在更多的风险中。某些情况下,恶意软件会禁用计算机上的杀毒程序和防火墙,使受害者无防守之力。由于恶意软件可能导致兼容性问题并与其他应用程序产生冲突,因此此类多重渗透最终会使系统崩溃。
02.网速变慢
降低速度和网络性能也是系统遭遇攻击的可靠初始迹象。恶意软件一旦安装可长期在系统后台运行。由于恶意软件要执行命令并占用网速,这自然会消耗额外的处理器、RAM、硬盘和网络容量,并最终削弱系统性能。
03.非正常行为
受害者可能会发现自己的IP地址被列入了黑名单或者被亲朋告知自己发送了不正常的信息,这是由于 Rootkit和击键记录等恶意软件可将受害者的计算机变成僵尸网络。
3.对抗恶意软件
第一、个人要始终保持警惕。非技术人员应对可疑邮件保持警惕,网络钓鱼是针对基层员工的首要攻击策略。验证身份和下载源合法性是防御攻击行为的有效基本措施。
第二、应在每台计算机上安装性能好的反恶意软件。通常,只要安装了强大且最新的反恶意软件,计算机就可以提供自动操作,如隔离或删除恶意软件和受感染的文件。
第三、用户应定期获取安全更新和补丁,确保反恶意软件的正常功能。
第四、将侵入细节报告给机构安全人员或负责人。在某些复杂的情况下,操作系统无法正常运行,用户几乎无法在正常操作环境中执行反恶意软件。报告机制可让技术人员快速提供协助并确定各种对应措施,如断开互联网、控制恶意软件和向执法部门报告等。对安全人员而言,从恶意软件中收集的信息在测试和强化现有程序、提高安全意识和恶意软件抵御方面大有帮助。