《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 奇安信提示:長(zhǎng)假期間政企單位需重點(diǎn)防范七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

奇安信提示:長(zhǎng)假期間政企單位需重點(diǎn)防范七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2020-09-29
來(lái)源:奇安信

  奇安信提示:長(zhǎng)假期間政企單位需重點(diǎn)防范七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隨著政企用戶(hù)數(shù)字化轉(zhuǎn)型的深入,,也帶來(lái)了更多的未知網(wǎng)絡(luò)安全風(fēng)險(xiǎn),。平時(shí),企業(yè)網(wǎng)絡(luò)安全人員全天值守,,遇到問(wèn)題也能夠快速處理,。國(guó)慶8天小長(zhǎng)假將至,為了讓網(wǎng)絡(luò)安全人也有一個(gè)愉快的假期,,奇安信根據(jù)近年來(lái)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實(shí)踐,,總結(jié)出了長(zhǎng)假期間政企用戶(hù)常見(jiàn)的七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。希望能幫助網(wǎng)絡(luò)安全人提前做好預(yù)防和排查,,避免“踩坑”,。

  風(fēng)險(xiǎn)1:勒索病毒

1.png

  圖:2017年5月爆發(fā)的WannaCry勒索病毒勒索信風(fēng)險(xiǎn)特點(diǎn):系統(tǒng)一旦遭受勒索病毒攻擊,將會(huì)使大多數(shù)文件被加密,,并添加一個(gè)特殊的后綴,,導(dǎo)致受害者無(wú)法讀取原本正常的文件,從而造成無(wú)法估量的損失,。攻擊者通過(guò)這樣的行為向受害用戶(hù)勒索高昂的贖金,,這些贖金必須通過(guò)數(shù)字貨幣支付,一般無(wú)法溯源,,因此危害巨大,。

  如何預(yù)防:網(wǎng)絡(luò)安全人員可以充分利用云端免疫技術(shù),由云端下發(fā)免疫策略或補(bǔ)丁,,幫助用戶(hù)做好防護(hù)或打補(bǔ)丁,,對(duì)于無(wú)法打補(bǔ)丁的用戶(hù)終端,,免疫工具下發(fā)的免疫策略本身也具有較強(qiáng)的定向防護(hù)能力,這種技術(shù)已應(yīng)用于奇安信終端安全方案中,。但是云端免疫技術(shù)只是一種折中方案,,其安全性仍然比打了補(bǔ)丁的系統(tǒng)有一定差距,。

  勒索病毒無(wú)論采用什么技術(shù),,基本的特點(diǎn)就是對(duì)文檔進(jìn)行篡改。通過(guò)監(jiān)測(cè)系統(tǒng)中是否存在文檔篡改行為,,并對(duì)可能被篡改的文檔加以必要的保護(hù),,就可以在相當(dāng)程度上挽回勒索病毒攻擊的損失。文檔自動(dòng)備份隔離技術(shù)可以在用戶(hù)終端的文檔出現(xiàn)被篡改情況時(shí),,第一時(shí)間將文檔自動(dòng)備份在隔離區(qū),,用戶(hù)可以隨時(shí)恢復(fù)文件。另外,,攻擊者之所以能夠滲透進(jìn)入企業(yè)服務(wù)器,,絕大多數(shù)情況都是因?yàn)楣芾韱T設(shè)置的密碼為弱密碼或賬號(hào)密碼被盜,因此加強(qiáng)登陸密碼的安全管理也是一種必要的反勒索技術(shù),。

  風(fēng)險(xiǎn)2:挖礦木馬

2.jpg

  風(fēng)險(xiǎn)特點(diǎn):挖礦木馬會(huì)利用各種方式入侵系統(tǒng),,利用被入侵系統(tǒng)的計(jì)算能力挖掘加密數(shù)字貨幣來(lái)牟利。挖礦木馬為了能夠長(zhǎng)期在服務(wù)器中駐留,,會(huì)采用多種安全對(duì)抗技術(shù),,如修改計(jì)劃任務(wù)、防火墻配置,、系統(tǒng)動(dòng)態(tài)鏈接庫(kù)等,,這些技術(shù)手段嚴(yán)重時(shí)可能造成服務(wù)器業(yè)務(wù)中斷。

  如何預(yù)防:首先要避免使用弱口令,,在服務(wù)器登錄賬戶(hù)和開(kāi)放端口上的服務(wù)使用強(qiáng)密碼,。二是要及時(shí)打補(bǔ)丁,相應(yīng)廠商在大部分漏洞細(xì)節(jié)公布之前就已經(jīng)推送相關(guān)補(bǔ)丁,,及時(shí)為系統(tǒng)和相關(guān)服務(wù)打補(bǔ)丁就能有效避免漏洞利用攻擊,。三是對(duì)服務(wù)器進(jìn)行定期維護(hù),挖礦木馬一般會(huì)持續(xù)駐留在主機(jī)/服務(wù)器中,,如果未定期查看服務(wù)器狀態(tài),,挖礦木馬就很難被發(fā)現(xiàn)。

  風(fēng)險(xiǎn)3:Webshell腳本

3.png

  風(fēng)險(xiǎn)特點(diǎn):網(wǎng)頁(yè)中一旦被植入了Webshell,,攻擊者就能利用它獲取服務(wù)器系統(tǒng)權(quán)限,、控制“肉雞”發(fā)起DDoS攻擊、篡改網(wǎng)站,、網(wǎng)頁(yè)掛馬,、作為用于隱藏自己的代理服務(wù)器,、內(nèi)部掃描、植入暗鏈/黑鏈等一系列攻擊行為,。

  如何預(yù)防:網(wǎng)絡(luò)安全人員可以配置防火墻并開(kāi)啟相關(guān)策略,,防止暴露不必要的服務(wù)為黑客所利用。對(duì)服務(wù)器進(jìn)行安全加固,,如關(guān)閉遠(yuǎn)程桌面功能,、定期更換密碼等。加強(qiáng)權(quán)限管理,,對(duì)敏感目錄進(jìn)行權(quán)限設(shè)置,。安裝Webshell檢測(cè)工具。排查程序存在的漏洞并及時(shí)修補(bǔ),。備份數(shù)據(jù)庫(kù)的重要文件,。注意服務(wù)器中是否有來(lái)歷不明的可執(zhí)行腳本文件。對(duì)系統(tǒng)文件上傳功能,,采用白名單上傳文件,,上傳目錄權(quán)限遵循最小權(quán)限原則。

  風(fēng)險(xiǎn)4:網(wǎng)頁(yè)篡改

4.jpg

  風(fēng)險(xiǎn)特點(diǎn):網(wǎng)頁(yè)篡改一般有明顯的網(wǎng)頁(yè)篡改和隱藏式兩種,。明顯的網(wǎng)頁(yè)篡改如攻擊者為炫耀自己的技術(shù)技巧或表明自己的觀點(diǎn),,如YouTube被黑客入侵大量 MV 消失和簡(jiǎn)介被篡改事件;隱藏式篡改一般是將被攻擊網(wǎng)站植入色情,、詐騙等非法信息,,再通過(guò)灰黑色產(chǎn)業(yè)牟取非法的經(jīng)濟(jì)利益。

  如何預(yù)防:網(wǎng)絡(luò)安全人員可以采取以下的技術(shù)手段,,阻止網(wǎng)頁(yè)被篡改或?qū)⑽:档阶畹?。為服?wù)器升級(jí)到最新的安全補(bǔ)丁,打補(bǔ)丁主要是為了防止緩沖溢出和設(shè)計(jì)缺陷等攻擊,。封閉未用但已經(jīng)開(kāi)放的網(wǎng)絡(luò)服務(wù)端口以及未使用的服務(wù),。使用復(fù)雜的管理員密碼。網(wǎng)站程序要有合理的設(shè)計(jì)并注意安全代碼的編寫(xiě),。設(shè)置合適的網(wǎng)站權(quán)限,,對(duì)網(wǎng)站目錄文件權(quán)限設(shè)置原則是只分配需要寫(xiě)入的目錄寫(xiě)的權(quán)限,其它全為只讀權(quán)限,。采取安裝ARP防火墻并手動(dòng)綁定網(wǎng)關(guān)mac地址等措施防止ARP欺騙的發(fā)生,。

  風(fēng)險(xiǎn)5:DDoS攻擊

5.jpg

  風(fēng)險(xiǎn)特點(diǎn):絕大部分的DDoS攻擊都是通過(guò)僵尸網(wǎng)絡(luò)產(chǎn)生的,當(dāng)確定受害者的 IP 或域名后,,僵尸網(wǎng)絡(luò)控制者發(fā)送攻擊指令后,,隨后就可以斷開(kāi)連接,指令在僵尸程序間自行傳播和執(zhí)行,,每臺(tái)僵尸主機(jī)都將做出響應(yīng),,同時(shí)向目標(biāo)發(fā)送請(qǐng)求,,這可能致使目標(biāo)服務(wù)器或網(wǎng)絡(luò)溢出,導(dǎo)致拒絕服務(wù),。

  如何預(yù)防:對(duì)于DDoS攻擊防護(hù)來(lái)說(shuō),,本質(zhì)上只能緩而不能完全的防御,我們主要分析防御的思路,。在攻擊前的防御階段,,網(wǎng)絡(luò)安全人員需要多關(guān)注安全廠商、CNCERT等機(jī)構(gòu)發(fā)布的最新安全通告,,及時(shí)針對(duì)攻擊進(jìn)行針對(duì)性防護(hù)策略,。服務(wù)器禁止開(kāi)放與業(yè)務(wù)無(wú)關(guān)端口,,并在防火墻上對(duì)不必要的端口進(jìn)行過(guò)濾,。在攻擊時(shí)的緩解階段,需要根據(jù)相關(guān)設(shè)備或?qū)α髁糠治鰜?lái)確認(rèn)攻擊類(lèi)型,,在安全設(shè)備上進(jìn)行防護(hù)策略的調(diào)整,,對(duì)異常訪問(wèn)進(jìn)行限制。如果攻擊流量超過(guò)本地最大防御限度,,可以有條件的接入運(yùn)營(yíng)商或CDN服務(wù)商對(duì)流量進(jìn)行清洗,。在攻擊后的追溯總結(jié)階段,要對(duì)攻擊期間的日志進(jìn)行保存,、分析,,整理出攻擊IP,方便后續(xù)的追溯,。

  風(fēng)險(xiǎn)6:數(shù)據(jù)泄露

6.jpg

  風(fēng)險(xiǎn)特點(diǎn):數(shù)據(jù)泄露主要是外部數(shù)據(jù)泄露和內(nèi)部數(shù)據(jù)泄露,。外部數(shù)據(jù)泄露包括政企用戶(hù)自身的供應(yīng)鏈、第三方供應(yīng)商以及通過(guò)搜索引擎,、網(wǎng)盤(pán),、公開(kāi)的代碼倉(cāng)庫(kù)、社交網(wǎng)絡(luò)等互聯(lián)網(wǎng)渠道所導(dǎo)致的數(shù)據(jù)泄露,;內(nèi)部數(shù)據(jù)泄露主要包括內(nèi)部人員竊密,、終端木馬竊取,基礎(chǔ)支撐平臺(tái),、內(nèi)部應(yīng)用系統(tǒng)等數(shù)據(jù)違規(guī)導(dǎo)出所導(dǎo)致的數(shù)據(jù)泄露,。

  如何預(yù)防:網(wǎng)絡(luò)安全人員要做好自身供應(yīng)鏈和第三方供應(yīng)商的數(shù)據(jù)訪問(wèn)控制,尤其需要做好審計(jì)措施,。還要做好互聯(lián)網(wǎng)應(yīng)用服務(wù)的安全配置并定期巡檢避免違規(guī)共享被搜索引擎收錄,。互聯(lián)網(wǎng)應(yīng)用系統(tǒng)正式上線前應(yīng)進(jìn)行全面的滲透測(cè)試,,盡可能避免未授權(quán)訪問(wèn),、弱口令,、SQL注入等攻擊手段導(dǎo)致數(shù)據(jù)泄露。

  針對(duì)數(shù)據(jù)內(nèi)部泄露問(wèn)題,,要針對(duì)業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)人員和運(yùn)維研發(fā)人員的訪問(wèn)權(quán)限做好訪問(wèn)控制,,建立終端準(zhǔn)入機(jī)制,統(tǒng)一部署殺毒和終端管控軟件,,通過(guò)安全意識(shí)培訓(xùn)培養(yǎng)良好的終端使用習(xí)慣,,避免數(shù)據(jù)通過(guò)終端被竊取。

  風(fēng)險(xiǎn)7:流量劫持

7.jpg

  風(fēng)險(xiǎn)特點(diǎn):流量劫持通過(guò)在應(yīng)用系統(tǒng)中植入惡意代碼,、在網(wǎng)絡(luò)中部署惡意設(shè)備,、使用惡意軟件等手段,控制客戶(hù)端與服務(wù)端之間的流量通信,、篡改流量數(shù)據(jù)或改變流量走向,,造成非預(yù)期行為的網(wǎng)絡(luò)攻擊技術(shù)。在日常生活中經(jīng)常遇到的流氓軟件,、廣告彈窗,、網(wǎng)址跳轉(zhuǎn)等都是流量劫持表現(xiàn)形式。

  如何預(yù)防:常見(jiàn)的流量劫持有DNS劫持,、HTTP劫持,、鏈路層劫持等。針對(duì)DNS劫持,,網(wǎng)絡(luò)安全人員可以通過(guò)鎖定Hosts文件不允許修改,,配置本地DNS為自動(dòng)獲取或設(shè)置為可信DNS服務(wù)器,路由器采用強(qiáng)口令密碼策略,,使用加密協(xié)議進(jìn)行DNS查詢(xún)等方式預(yù)防,。HTTP劫持關(guān)鍵點(diǎn)在于識(shí)別HTTP協(xié)議和HTTP協(xié)議為明文協(xié)議,通過(guò)使用HTTPS進(jìn)行數(shù)據(jù)交互即可預(yù)防HTTP劫持,。針對(duì)鏈路層的TCP劫持,,可以使用加密通信以及避免使用共享式網(wǎng)絡(luò)。針對(duì)ARP劫持可以避免使用共享式網(wǎng)絡(luò),、將IP和MAC靜態(tài)綁定,、使用具有ARP防護(hù)功能的終端安全軟件和網(wǎng)絡(luò)設(shè)備等方式有效預(yù)防。

  最后,,奇安信稱(chēng),,如果政企用戶(hù)遇到網(wǎng)絡(luò)安全問(wèn)題也勿慌,可以撥打奇安信應(yīng)急響應(yīng)服務(wù)7*24小時(shí)熱線4009 727 120,。奇安信應(yīng)急響應(yīng)服務(wù)致力于成為“網(wǎng)絡(luò)安全120”,,業(yè)務(wù)已覆蓋了全國(guó)31個(gè)省份,能提供7*24小時(shí)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù),,幫助客戶(hù)盡可能的減少安全事件所帶來(lái)的經(jīng)濟(jì)損失以及惡劣的社會(huì)負(fù)面影響,。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]