網(wǎng)絡(luò)安全威脅是一種技術(shù)風(fēng)險，會削弱企業(yè)網(wǎng)絡(luò)的防御能力，危及專有數(shù)據(jù)、關(guān)鍵應(yīng)用程序和整個 IT 基礎(chǔ)設(shè)施。由于企業(yè)面臨廣泛的威脅，因此他們應(yīng)該仔細(xì)監(jiān)控和緩解最關(guān)鍵的威脅和漏洞。網(wǎng)絡(luò)安全問題有七大類，它們都包括多種威脅，以及您的團(tuán)隊?wèi)?yīng)針對每種威脅實施的特定檢測和緩解方法。

01

公共網(wǎng)絡(luò)威脅

如果企業(yè)網(wǎng)絡(luò)連接到公共互聯(lián)網(wǎng)，則互聯(lián)網(wǎng)上的各種威脅也可能使企業(yè)容易受到攻擊。廣泛、復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)尤其難以保護(hù);這些網(wǎng)絡(luò)可以包括邊緣和移動網(wǎng)絡(luò)，以及分支機(jī)構(gòu)網(wǎng)絡(luò)和存儲區(qū)域網(wǎng)絡(luò) （SAN）。典型的 Internet 威脅包括惡意軟件、惡意網(wǎng)站、電子郵件網(wǎng)絡(luò)釣魚、DNS 中毒以及 DoS 和 DDoS 攻擊。

惡意軟件

惡意軟件 是旨在干擾正?；虬踩嬎阕鞯拇a。單擊后，電子郵件中的鏈接或網(wǎng)站上的擴(kuò)展會立即將惡意軟件下載到主機(jī)上。有時，惡意軟件可以在網(wǎng)絡(luò)中橫向移動，具體取決于其能力。

防御惡意軟件

培訓(xùn)員工：員工是組織的第一道防線，也是最大的攻擊面。他們需要知道如何降低企業(yè)面臨的主要風(fēng)險。

實施端點保護(hù)：所有設(shè)備都應(yīng)安裝防病毒和端點保護(hù)，以便在軟件檢測到威脅時自動響應(yīng)。

對網(wǎng)絡(luò)進(jìn)行分段：分段技術(shù)需要為每個網(wǎng)絡(luò)設(shè)置策略，管理哪些流量可以在子網(wǎng)之間移動，并減少橫向移動。

欺騙性網(wǎng)站

欺騙性網(wǎng)站是看似合法但旨在竊取 Internet 用戶帳戶憑據(jù)的網(wǎng)站。威脅行為者將用戶引導(dǎo)至該站點，一旦用戶輸入了他們的憑據(jù)，攻擊者就會收集這些憑據(jù)并使用它們登錄真實的應(yīng)用程序。

抵御惡意網(wǎng)站

為所有應(yīng)用程序部署多重身份驗證：如果威脅行為者通過成功的欺騙設(shè)法竊取您的憑據(jù)，他們將更難通過 MFA。

教用戶識別欺騙性網(wǎng)站：確保您的員工了解虛假網(wǎng)站的特征，無論是語法問題、奇怪的 URL 還是將他們引導(dǎo)到那里的未經(jīng)批準(zhǔn)的電子郵件。

一旦你了解了它們，就把它們列入黑名單：如果多名員工從同一威脅行為者導(dǎo)航到單個站點，請在發(fā)現(xiàn) URL 后立即將其列入黑名單。

02

基于電子郵件的網(wǎng)絡(luò)釣魚攻擊

電子郵件網(wǎng)絡(luò)釣魚是威脅行為者用來誘騙用戶打開電子郵件并點擊其中鏈接的一種技術(shù)。它可以包括惡意軟件和欺騙網(wǎng)站;Internet 網(wǎng)絡(luò)釣魚威脅有很多重疊之處。電子郵件攻擊通常通過員工的企業(yè)電子郵件帳戶以員工為目標(biāo)。

抵御基于電子郵件的網(wǎng)絡(luò)釣魚攻擊

實施嚴(yán)格的電子郵件保護(hù)軟件：通常，威脅行為者會通過帶有鏈接的電子郵件將用戶引導(dǎo)至欺騙性網(wǎng)站，例如重置密碼的說明。

舉辦密集的安全意識培訓(xùn)課程：員工應(yīng)該確切地知道在收到不熟悉的電子郵件時要尋找什么。

安裝下一代防火墻：在公共 Internet 和組織的專用網(wǎng)絡(luò)之間安裝 NGFW 有助于過濾一些初始惡意流量。

DNS 攻擊

DNS 緩存中毒或劫持會重定向合法站點的 DNS 地址，并在用戶嘗試導(dǎo)航到該網(wǎng)頁時將其帶到惡意站點。

防御 DNS 攻擊

使用 DNS 加密：加密 DNS 連接需要團(tuán)隊使用 DNSCrypt 協(xié)議、基于 TLS 的 DNS 或基于 HTTPS 的 DNS。

隔離 DNS 服務(wù)器：部署隔離區(qū) （DMZ） 以將所有 DNS 流量與公共互聯(lián)網(wǎng)隔離開來。

隨時了解更新：當(dāng)宣布更新時，應(yīng)定期修補(bǔ)所有 DNS 服務(wù)器。

DoS 和 DDoS 攻擊

拒絕服務(wù) （DoS） 和分布式拒絕服務(wù) （DDoS） 攻擊是一種威脅，可以通過使機(jī)器或整個計算機(jī)系統(tǒng)過載來使其癱瘓。眾所周知，它們很難預(yù)防，因為它們通常來自外部流量，而不是來自網(wǎng)絡(luò)內(nèi)部的威脅，當(dāng)它位于您的系統(tǒng)中時，可以找到并停止這些威脅。并非每次 DoS 或 DDoS 攻擊都來自互聯(lián)網(wǎng)流量，但其中許多都來自互聯(lián)網(wǎng)流量。

防御DoS和DDoS攻擊

實現(xiàn)反向代理：反向代理有自己的 IP 地址，因此當(dāng) IP 地址淹沒單個服務(wù)器時，它們會轉(zhuǎn)到代理的 IP 地址，內(nèi)部服務(wù)器的 IP 地址不會那么容易被淹沒。

安裝 Web 應(yīng)用程序防火墻：可以配置防火墻來監(jiān)控和阻止不同類型的流量。

部署負(fù)載均衡器：通過將網(wǎng)絡(luò)流量定向到可以管理網(wǎng)絡(luò)流量的來源，負(fù)載平衡可以降低流量完全壓垮服務(wù)器的風(fēng)險。

03

不安全或過時的網(wǎng)絡(luò)協(xié)議

一些舊版本的網(wǎng)絡(luò)協(xié)議存在已在更高版本中修復(fù)的錯誤，但許多企業(yè)和系統(tǒng)繼續(xù)使用舊協(xié)議。最好使用最新的協(xié)議版本，至少可以避免已知的威脅，特別是如果您的行業(yè)需要某個協(xié)議版本來保持符合監(jiān)管標(biāo)準(zhǔn)。一些最流行的網(wǎng)絡(luò)協(xié)議包括 SSL、TLS、SNMP、HTTP 和 HTTPS。

SSL & TLS

安全套接字層 （SSL） 和傳輸層安全性 （TLS） 都是網(wǎng)絡(luò)安全協(xié)議。TLS 1.3 之前的任何 SSL 和 TLS 版本都存在多個弱點，包括允許 POODLE 攻擊和 BEAST 攻擊的漏洞。雖然 TLS 1.3 可能有自己的弱點，這些弱點會隨著時間的推移而被發(fā)現(xiàn)，但它確實修復(fù)了舊版 TLS 和 SSL 中的已知漏洞。

防御SSL和TLS威脅

更新連接：保持每個網(wǎng)絡(luò)連接都升級到最新版本的 TLS。

禁用舊版本：在您的網(wǎng)絡(luò)上完全禁用較舊的 SSL 和 TLS 版本可確保它們不會被意外使用。

SNMP （SNMP 協(xié)議）

簡單網(wǎng)絡(luò)管理協(xié)議 （SNMP） 是一種通用的 Internet 協(xié)議，旨在管理網(wǎng)絡(luò)及其上的設(shè)備的作。SNMP 版本 1 和 2 存在已知漏洞，包括未加密傳輸 （v1） 和 IP 地址欺騙 （v2）。版本 3 是三者中的最佳選擇，因為它具有多個加密選項。它旨在解決 v1 和 v2 的問題。

防御 SNMP 威脅

將 SNMP 的所有版本升級到版本 3，以避免以前版本中出現(xiàn)明顯的安全漏洞。

HTTP 協(xié)議

超文本傳輸協(xié)議是一種本質(zhì)上并不安全的 Internet 通信協(xié)議。安全超文本傳輸協(xié)議 （HTTPS） 是 HTTP 的加密版本。所有互聯(lián)網(wǎng)連接都應(yīng)該加密，并且與其他網(wǎng)站的每次通信都應(yīng)該使用 HTTPS。

防御 HTTP 威脅

阻止 HTTP 訪問：如果任何連接使用 HTTP，請盡快阻止對它們的訪問。

將流量定向到 HTTPS：配置所有嘗試的 HTTP 通信以重定向到 HTTPS。

04

網(wǎng)絡(luò)配置錯誤

網(wǎng)絡(luò)協(xié)議或規(guī)則的簡單錯誤配置可能會暴露整個服務(wù)器、數(shù)據(jù)庫或云資源。鍵入一行錯誤代碼或未能安全地設(shè)置路由器或交換機(jī)都可能導(dǎo)致配置錯誤。配置錯誤的網(wǎng)絡(luò)安全命令也很難找到，因為其余的硬件或軟件似乎工作正常。錯誤配置還包括部署不當(dāng)?shù)慕粨Q機(jī)和路由器。

常見的錯誤配置包括在硬件和軟件上使用默認(rèn)或出廠配置，以及未能對網(wǎng)絡(luò)進(jìn)行分段、在應(yīng)用程序上設(shè)置訪問控制或立即修補(bǔ)。

使用設(shè)備的默認(rèn)配置

默認(rèn)憑證是網(wǎng)絡(luò)硬件和軟件上出廠設(shè)置的用戶名和密碼。攻擊者通常很容易猜到它們，甚至可能使用“admin”或“password”等基本詞。

防御默認(rèn)配置威脅

更改所有憑據(jù)：立即將任何默認(rèn)用戶名或密碼切換為更強(qiáng)、更難猜測的憑據(jù)。

定期更新密碼：初始密碼更改后，請每隔幾個月切換一次。

分割不充分

網(wǎng)絡(luò)分段是一種將網(wǎng)絡(luò)拆分為不同部分的技術(shù)。如果網(wǎng)絡(luò)沒有劃分為子網(wǎng)，惡意流量就更容易在整個網(wǎng)絡(luò)中傳播，并有機(jī)會破壞許多不同的系統(tǒng)或應(yīng)用程序。

抵御網(wǎng)絡(luò)分段威脅

將網(wǎng)絡(luò)劃分為子網(wǎng)，并在它們之間創(chuàng)建安全屏障。分段技術(shù)包括為每個網(wǎng)絡(luò)設(shè)置策略、管理哪些流量可以在子網(wǎng)之間移動以及減少橫向移動。

訪問錯誤配置

當(dāng)團(tuán)隊無法安全地實施訪問和身份驗證協(xié)議（如強(qiáng)密碼和多因素身份驗證）時，就會發(fā)生配置錯誤的訪問控制。這對您的整個網(wǎng)絡(luò)來說都是一個重大風(fēng)險。本地和基于云的系統(tǒng)都需要訪問控制，包括默認(rèn)情況下不需要身份驗證方法的公有云存儲桶。網(wǎng)絡(luò)用戶需要經(jīng)過授權(quán)和身份驗證。

身份驗證要求用戶提供 PIN、密碼或生物識別掃描，以幫助證明他們是他們所聲稱的身份。授權(quán)允許用戶在驗證自己并且其身份受信任后查看數(shù)據(jù)或應(yīng)用程序。訪問控制允許組織設(shè)置權(quán)限級別，例如只讀和編輯權(quán)限。否則，面臨權(quán)限提升攻擊的風(fēng)險，當(dāng)威脅行為者進(jìn)入網(wǎng)絡(luò)并通過提升其用戶權(quán)限橫向移動時，就會發(fā)生這種攻擊。

抵御 Access Misconfiguration 威脅

使用以下提示來降低與訪問相關(guān)的錯誤配置風(fēng)險：

每個應(yīng)用程序都需要憑據(jù)：這包括數(shù)據(jù)庫、客戶端管理系統(tǒng)以及所有本地和云軟件。

不要忘記云資源：可通過 Internet 訪問的 Cloud Bucket 應(yīng)具有訪問屏障;否則，它們對擁有存儲桶 URL 的任何人可見。

部署 Zero Trust：員工應(yīng)該只擁有完成工作所需的訪問級別，稱為最低權(quán)限或零信任原則。這有助于減少內(nèi)部欺詐和意外錯誤。

過時和未修補(bǔ)的網(wǎng)絡(luò)資源

網(wǎng)絡(luò)硬件和軟件漏洞是隨著時間的推移而顯現(xiàn)出來的缺陷，這需要 IT 和網(wǎng)絡(luò)技術(shù)人員在供應(yīng)商或研究人員宣布威脅時隨時了解威脅。

過時的路由器、交換機(jī)或服務(wù)器無法使用最新的安全更新。然后，這些設(shè)備需要額外的保護(hù)控制。其他舊設(shè)備（如醫(yī)院設(shè)備）通常不能完全丟棄，因此企業(yè)可能必須設(shè)置額外的安全性，以防止它們將網(wǎng)絡(luò)的其余部分置于風(fēng)險之中。

抵御補(bǔ)丁管理威脅

不要等待修補(bǔ)已知問題：網(wǎng)絡(luò)管理員立即修補(bǔ)固件漏洞至關(guān)重要。一旦發(fā)現(xiàn)漏洞，威脅行為者就會迅速采取行動，因此 IT 和網(wǎng)絡(luò)團(tuán)隊?wèi)?yīng)該領(lǐng)先一步。

自動化一些工作：自動警報將幫助您的企業(yè)團(tuán)隊保持網(wǎng)絡(luò)資源最新，即使他們不是一直處于時鐘狀態(tài)。

減少舊技術(shù)造成的危害：盡可能淘汰過時的設(shè)備。它們將繼續(xù)與網(wǎng)絡(luò)的其余部分不兼容，如果某些硬件不支持它，則很難保護(hù)整個網(wǎng)絡(luò)。

05

運營技術(shù)

運營技術(shù) （OT） 通常是指觀察和控制工業(yè)環(huán)境的硬件和軟件。這些環(huán)境包括倉庫、建筑工地和工廠。OT 允許企業(yè)通過網(wǎng)絡(luò)連接的蜂窩技術(shù)來管理 HVAC、消防安全和食品溫度。

企業(yè)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng) （IIoT） 設(shè)備也屬于運營技術(shù)。當(dāng)連接到業(yè)務(wù)網(wǎng)絡(luò)時，OT 可以為威脅行為者提供一扇敞開的大門。

運營技術(shù)的危險

較舊的 IOT 設(shè)備在設(shè)計時并未考慮到重要的網(wǎng)絡(luò)安全，因此它們擁有的任何傳統(tǒng)控制措施可能不再足夠或無法修復(fù)。最初，工廠和建筑工地的設(shè)備和傳感器沒有互聯(lián)網(wǎng)連接，也沒有支持 4G 或 5G。當(dāng)前的 OT 設(shè)計使攻擊者很容易通過網(wǎng)絡(luò)橫向移動。對于運行時間超過連接到 Internet 的時間的傳統(tǒng) IOT，實施大規(guī)模安全性也非常困難。

運營技術(shù)的影響往往遠(yuǎn)遠(yuǎn)超出 IT 安全，尤其是在食品管理、醫(yī)療保健和水處理等關(guān)鍵基礎(chǔ)設(shè)施中。OT 漏洞可能不僅僅是花費金錢或危及技術(shù)資源（如標(biāo)準(zhǔn)網(wǎng)絡(luò)漏洞），還可能導(dǎo)致受傷或死亡。

抵御 OT 威脅

執(zhí)行詳細(xì)審計：您需要了解連接到公司網(wǎng)絡(luò)的每臺設(shè)備，而徹底的審計是最好的方法。

持續(xù)監(jiān)控所有 OT 流量：任何異常都應(yīng)向 IT 和網(wǎng)絡(luò)工程師發(fā)送自動警報。配置警報，以便工程師立即了解發(fā)生了什么。

對所有無線網(wǎng)絡(luò)使用安全連接：如果 OT 設(shè)備使用 Wi-Fi，請確保 Wi-Fi 至少使用 WPA2。

VPN 漏洞

盡管虛擬專用網(wǎng)絡(luò) （VPN） 是為組織的網(wǎng)絡(luò)通信創(chuàng)建私有隧道的安全工具，但它們?nèi)匀豢赡鼙还テ?。企業(yè)應(yīng)監(jiān)控直接團(tuán)隊的 VPN 使用情況和所有第三方 VPN 訪問。

抵御 VPN 威脅

實施最低權(quán)限訪問管理：最低權(quán)限訪問權(quán)限為指定用戶提供完成其工作所需的權(quán)限，而不是其他任何權(quán)限。

掌握補(bǔ)?。?/strong>單個 VPN 解決方案可能有自己的漏洞，因此請確保企業(yè)持續(xù)監(jiān)控它們并在需要時修補(bǔ)弱點。

第三方 VPN 訪問

當(dāng)企業(yè)使用 VPN 向合作伙伴或承包商提供對其應(yīng)用程序的訪問權(quán)限時，很難限制這些第三方訪問特定權(quán)限。VPN 也不會保留大量數(shù)據(jù)日志以供以后分析，因此如果第三方濫用其權(quán)限，則很難找到違規(guī)的具體來源。

抵御第三方 VPN 威脅

也為承包商和其他第三方實施最低權(quán)限訪問。它將限制他們對敏感業(yè)務(wù)數(shù)據(jù)和應(yīng)用程序的訪問。

遠(yuǎn)程訪問

遠(yuǎn)程桌面協(xié)議 （RDP） 允許用戶使用一臺計算機(jī)與另一臺遠(yuǎn)程計算機(jī)連接并對其進(jìn)行控制。在大流行的早期階段，RDP 是最常見的勒索軟件攻擊媒介之一。攻擊者能夠通過 RDP 的漏洞找到后門，或者簡單地通過猜測密碼進(jìn)行暴力攻擊。遠(yuǎn)程訪問木馬還允許攻擊者在惡意軟件通過電子郵件附件或其他軟件下載到計算機(jī)后遠(yuǎn)程控制計算機(jī)。

抵御 RDP 威脅

限制密碼嘗試次數(shù)：用戶應(yīng)該只能輸入幾次密碼。這可以防止暴力攻擊。

設(shè)置難以猜中的密碼：要求所有 RDP 憑據(jù)都有良好的密碼安全機(jī)制。

限制對特定 IP 地址的訪問：僅將附加到員工設(shè)備的特定地址列入白名單。

為 RDP 配置嚴(yán)格的用戶策略：這包括最低權(quán)限訪問。只有那些需要遠(yuǎn)程連接以執(zhí)行其工作的人才應(yīng)該具有訪問權(quán)限。

Wi-Fi 網(wǎng)絡(luò)

其他不安全的網(wǎng)絡(luò)連接（如不受保護(hù)的 Wi-Fi）允許竊賊竊取憑據(jù)，然后從咖啡店和其他公共場所登錄業(yè)務(wù)應(yīng)用程序。遠(yuǎn)程企業(yè)有多種遠(yuǎn)程訪問公司資源的方法，IT 和安全團(tuán)隊很難鎖定所有這些方法。

抵御 Wi-Fi 威脅

確保網(wǎng)絡(luò)是私有的：如果在小型聯(lián)合辦公空間或其他家中工作，那是理想的，但如果在公共場所，請確保 Wi-Fi 需要密碼。

使用 VPN：虛擬專用網(wǎng)絡(luò)雖然并非萬無一失，但在 Wi-Fi 不安全時有助于保護(hù)您的遠(yuǎn)程連接。

來源｜安全結(jié)構(gòu)

編輯｜展麟