奇安信提示：長假期間政企單位需重點防范七大網(wǎng)絡安全風險隨著政企用戶數(shù)字化轉型的深入，也帶來了更多的未知網(wǎng)絡安全風險。平時，企業(yè)網(wǎng)絡安全人員全天值守，遇到問題也能夠快速處理。國慶8天小長假將至，為了讓網(wǎng)絡安全人也有一個愉快的假期，奇安信根據(jù)近年來的網(wǎng)絡安全應急響應實踐，總結出了長假期間政企用戶常見的七大網(wǎng)絡安全風險。希望能幫助網(wǎng)絡安全人提前做好預防和排查，避免“踩坑”。

　　風險1：勒索病毒

　　圖：2017年5月爆發(fā)的WannaCry勒索病毒勒索信風險特點：系統(tǒng)一旦遭受勒索病毒攻擊，將會使大多數(shù)文件被加密，并添加一個特殊的后綴，導致受害者無法讀取原本正常的文件，從而造成無法估量的損失。攻擊者通過這樣的行為向受害用戶勒索高昂的贖金，這些贖金必須通過數(shù)字貨幣支付，一般無法溯源，因此危害巨大。

　　如何預防：網(wǎng)絡安全人員可以充分利用云端免疫技術，由云端下發(fā)免疫策略或補丁，幫助用戶做好防護或打補丁，對于無法打補丁的用戶終端，免疫工具下發(fā)的免疫策略本身也具有較強的定向防護能力，這種技術已應用于奇安信終端安全方案中。但是云端免疫技術只是一種折中方案，其安全性仍然比打了補丁的系統(tǒng)有一定差距。

　　勒索病毒無論采用什么技術，基本的特點就是對文檔進行篡改。通過監(jiān)測系統(tǒng)中是否存在文檔篡改行為，并對可能被篡改的文檔加以必要的保護，就可以在相當程度上挽回勒索病毒攻擊的損失。文檔自動備份隔離技術可以在用戶終端的文檔出現(xiàn)被篡改情況時，第一時間將文檔自動備份在隔離區(qū)，用戶可以隨時恢復文件。另外，攻擊者之所以能夠滲透進入企業(yè)服務器，絕大多數(shù)情況都是因為管理員設置的密碼為弱密碼或賬號密碼被盜，因此加強登陸密碼的安全管理也是一種必要的反勒索技術。

　　風險2：挖礦木馬

　　風險特點：挖礦木馬會利用各種方式入侵系統(tǒng)，利用被入侵系統(tǒng)的計算能力挖掘加密數(shù)字貨幣來牟利。挖礦木馬為了能夠長期在服務器中駐留，會采用多種安全對抗技術，如修改計劃任務、防火墻配置、系統(tǒng)動態(tài)鏈接庫等，這些技術手段嚴重時可能造成服務器業(yè)務中斷。

　　如何預防：首先要避免使用弱口令，在服務器登錄賬戶和開放端口上的服務使用強密碼。二是要及時打補丁，相應廠商在大部分漏洞細節(jié)公布之前就已經(jīng)推送相關補丁，及時為系統(tǒng)和相關服務打補丁就能有效避免漏洞利用攻擊。三是對服務器進行定期維護，挖礦木馬一般會持續(xù)駐留在主機/服務器中，如果未定期查看服務器狀態(tài)，挖礦木馬就很難被發(fā)現(xiàn)。

　　風險3：Webshell腳本

　　風險特點：網(wǎng)頁中一旦被植入了Webshell，攻擊者就能利用它獲取服務器系統(tǒng)權限、控制“肉雞”發(fā)起DDoS攻擊、篡改網(wǎng)站、網(wǎng)頁掛馬、作為用于隱藏自己的代理服務器、內部掃描、植入暗鏈/黑鏈等一系列攻擊行為。

　　如何預防：網(wǎng)絡安全人員可以配置防火墻并開啟相關策略，防止暴露不必要的服務為黑客所利用。對服務器進行安全加固，如關閉遠程桌面功能、定期更換密碼等。加強權限管理，對敏感目錄進行權限設置。安裝Webshell檢測工具。排查程序存在的漏洞并及時修補。備份數(shù)據(jù)庫的重要文件。注意服務器中是否有來歷不明的可執(zhí)行腳本文件。對系統(tǒng)文件上傳功能，采用白名單上傳文件，上傳目錄權限遵循最小權限原則。

　　風險4：網(wǎng)頁篡改

　　風險特點：網(wǎng)頁篡改一般有明顯的網(wǎng)頁篡改和隱藏式兩種。明顯的網(wǎng)頁篡改如攻擊者為炫耀自己的技術技巧或表明自己的觀點，如YouTube被黑客入侵大量 MV 消失和簡介被篡改事件；隱藏式篡改一般是將被攻擊網(wǎng)站植入色情、詐騙等非法信息，再通過灰黑色產業(yè)牟取非法的經(jīng)濟利益。

　　如何預防：網(wǎng)絡安全人員可以采取以下的技術手段，阻止網(wǎng)頁被篡改或將危害降到最低。為服務器升級到最新的安全補丁，打補丁主要是為了防止緩沖溢出和設計缺陷等攻擊。封閉未用但已經(jīng)開放的網(wǎng)絡服務端口以及未使用的服務。使用復雜的管理員密碼。網(wǎng)站程序要有合理的設計并注意安全代碼的編寫。設置合適的網(wǎng)站權限，對網(wǎng)站目錄文件權限設置原則是只分配需要寫入的目錄寫的權限，其它全為只讀權限。采取安裝ARP防火墻并手動綁定網(wǎng)關mac地址等措施防止ARP欺騙的發(fā)生。

　　風險5：DDoS攻擊

　　風險特點：絕大部分的DDoS攻擊都是通過僵尸網(wǎng)絡產生的，當確定受害者的 IP 或域名后，僵尸網(wǎng)絡控制者發(fā)送攻擊指令后，隨后就可以斷開連接，指令在僵尸程序間自行傳播和執(zhí)行，每臺僵尸主機都將做出響應，同時向目標發(fā)送請求，這可能致使目標服務器或網(wǎng)絡溢出，導致拒絕服務。

　　如何預防：對于DDoS攻擊防護來說，本質上只能緩而不能完全的防御，我們主要分析防御的思路。在攻擊前的防御階段，網(wǎng)絡安全人員需要多關注安全廠商、CNCERT等機構發(fā)布的最新安全通告，及時針對攻擊進行針對性防護策略。服務器禁止開放與業(yè)務無關端口，并在防火墻上對不必要的端口進行過濾。在攻擊時的緩解階段，需要根據(jù)相關設備或對流量分析來確認攻擊類型，在安全設備上進行防護策略的調整，對異常訪問進行限制。如果攻擊流量超過本地最大防御限度，可以有條件的接入運營商或CDN服務商對流量進行清洗。在攻擊后的追溯總結階段，要對攻擊期間的日志進行保存、分析，整理出攻擊IP，方便后續(xù)的追溯。

　　風險6：數(shù)據(jù)泄露

　　風險特點：數(shù)據(jù)泄露主要是外部數(shù)據(jù)泄露和內部數(shù)據(jù)泄露。外部數(shù)據(jù)泄露包括政企用戶自身的供應鏈、第三方供應商以及通過搜索引擎、網(wǎng)盤、公開的代碼倉庫、社交網(wǎng)絡等互聯(lián)網(wǎng)渠道所導致的數(shù)據(jù)泄露；內部數(shù)據(jù)泄露主要包括內部人員竊密、終端木馬竊取，基礎支撐平臺、內部應用系統(tǒng)等數(shù)據(jù)違規(guī)導出所導致的數(shù)據(jù)泄露。

　　如何預防：網(wǎng)絡安全人員要做好自身供應鏈和第三方供應商的數(shù)據(jù)訪問控制，尤其需要做好審計措施。還要做好互聯(lián)網(wǎng)應用服務的安全配置并定期巡檢避免違規(guī)共享被搜索引擎收錄。互聯(lián)網(wǎng)應用系統(tǒng)正式上線前應進行全面的滲透測試，盡可能避免未授權訪問、弱口令、SQL注入等攻擊手段導致數(shù)據(jù)泄露。

　　針對數(shù)據(jù)內部泄露問題，要針對業(yè)務系統(tǒng)運營人員和運維研發(fā)人員的訪問權限做好訪問控制，建立終端準入機制，統(tǒng)一部署殺毒和終端管控軟件，通過安全意識培訓培養(yǎng)良好的終端使用習慣，避免數(shù)據(jù)通過終端被竊取。

　　風險7：流量劫持

　　風險特點：流量劫持通過在應用系統(tǒng)中植入惡意代碼、在網(wǎng)絡中部署惡意設備、使用惡意軟件等手段，控制客戶端與服務端之間的流量通信、篡改流量數(shù)據(jù)或改變流量走向，造成非預期行為的網(wǎng)絡攻擊技術。在日常生活中經(jīng)常遇到的流氓軟件、廣告彈窗、網(wǎng)址跳轉等都是流量劫持表現(xiàn)形式。

　　如何預防：常見的流量劫持有DNS劫持、HTTP劫持、鏈路層劫持等。針對DNS劫持，網(wǎng)絡安全人員可以通過鎖定Hosts文件不允許修改，配置本地DNS為自動獲取或設置為可信DNS服務器，路由器采用強口令密碼策略，使用加密協(xié)議進行DNS查詢等方式預防。HTTP劫持關鍵點在于識別HTTP協(xié)議和HTTP協(xié)議為明文協(xié)議，通過使用HTTPS進行數(shù)據(jù)交互即可預防HTTP劫持。針對鏈路層的TCP劫持，可以使用加密通信以及避免使用共享式網(wǎng)絡。針對ARP劫持可以避免使用共享式網(wǎng)絡、將IP和MAC靜態(tài)綁定、使用具有ARP防護功能的終端安全軟件和網(wǎng)絡設備等方式有效預防。

　　最后，奇安信稱，如果政企用戶遇到網(wǎng)絡安全問題也勿慌，可以撥打奇安信應急響應服務7*24小時熱線4009 727 120。奇安信應急響應服務致力于成為“網(wǎng)絡安全120”，業(yè)務已覆蓋了全國31個省份，能提供7*24小時的網(wǎng)絡安全應急響應服務，幫助客戶盡可能的減少安全事件所帶來的經(jīng)濟損失以及惡劣的社會負面影響。