《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 奇安信提示:長(zhǎng)假期間政企單位需重點(diǎn)防范七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

奇安信提示:長(zhǎng)假期間政企單位需重點(diǎn)防范七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2020-09-29
來(lái)源:奇安信

  奇安信提示:長(zhǎng)假期間政企單位需重點(diǎn)防范七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隨著政企用戶數(shù)字化轉(zhuǎn)型的深入,也帶來(lái)了更多的未知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。平時(shí),企業(yè)網(wǎng)絡(luò)安全人員全天值守,遇到問(wèn)題也能夠快速處理。國(guó)慶8天小長(zhǎng)假將至,為了讓網(wǎng)絡(luò)安全人也有一個(gè)愉快的假期,奇安信根據(jù)近年來(lái)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實(shí)踐,總結(jié)出了長(zhǎng)假期間政企用戶常見(jiàn)的七大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。希望能幫助網(wǎng)絡(luò)安全人提前做好預(yù)防和排查,避免“踩坑”。

  風(fēng)險(xiǎn)1:勒索病毒

1.png

  圖:2017年5月爆發(fā)的WannaCry勒索病毒勒索信風(fēng)險(xiǎn)特點(diǎn):系統(tǒng)一旦遭受勒索病毒攻擊,將會(huì)使大多數(shù)文件被加密,并添加一個(gè)特殊的后綴,導(dǎo)致受害者無(wú)法讀取原本正常的文件,從而造成無(wú)法估量的損失。攻擊者通過(guò)這樣的行為向受害用戶勒索高昂的贖金,這些贖金必須通過(guò)數(shù)字貨幣支付,一般無(wú)法溯源,因此危害巨大。

  如何預(yù)防:網(wǎng)絡(luò)安全人員可以充分利用云端免疫技術(shù),由云端下發(fā)免疫策略或補(bǔ)丁,幫助用戶做好防護(hù)或打補(bǔ)丁,對(duì)于無(wú)法打補(bǔ)丁的用戶終端,免疫工具下發(fā)的免疫策略本身也具有較強(qiáng)的定向防護(hù)能力,這種技術(shù)已應(yīng)用于奇安信終端安全方案中。但是云端免疫技術(shù)只是一種折中方案,其安全性仍然比打了補(bǔ)丁的系統(tǒng)有一定差距。

  勒索病毒無(wú)論采用什么技術(shù),基本的特點(diǎn)就是對(duì)文檔進(jìn)行篡改。通過(guò)監(jiān)測(cè)系統(tǒng)中是否存在文檔篡改行為,并對(duì)可能被篡改的文檔加以必要的保護(hù),就可以在相當(dāng)程度上挽回勒索病毒攻擊的損失。文檔自動(dòng)備份隔離技術(shù)可以在用戶終端的文檔出現(xiàn)被篡改情況時(shí),第一時(shí)間將文檔自動(dòng)備份在隔離區(qū),用戶可以隨時(shí)恢復(fù)文件。另外,攻擊者之所以能夠滲透進(jìn)入企業(yè)服務(wù)器,絕大多數(shù)情況都是因?yàn)楣芾韱T設(shè)置的密碼為弱密碼或賬號(hào)密碼被盜,因此加強(qiáng)登陸密碼的安全管理也是一種必要的反勒索技術(shù)。

  風(fēng)險(xiǎn)2:挖礦木馬

2.jpg

  風(fēng)險(xiǎn)特點(diǎn):挖礦木馬會(huì)利用各種方式入侵系統(tǒng),利用被入侵系統(tǒng)的計(jì)算能力挖掘加密數(shù)字貨幣來(lái)牟利。挖礦木馬為了能夠長(zhǎng)期在服務(wù)器中駐留,會(huì)采用多種安全對(duì)抗技術(shù),如修改計(jì)劃任務(wù)、防火墻配置、系統(tǒng)動(dòng)態(tài)鏈接庫(kù)等,這些技術(shù)手段嚴(yán)重時(shí)可能造成服務(wù)器業(yè)務(wù)中斷。

  如何預(yù)防:首先要避免使用弱口令,在服務(wù)器登錄賬戶和開(kāi)放端口上的服務(wù)使用強(qiáng)密碼。二是要及時(shí)打補(bǔ)丁,相應(yīng)廠商在大部分漏洞細(xì)節(jié)公布之前就已經(jīng)推送相關(guān)補(bǔ)丁,及時(shí)為系統(tǒng)和相關(guān)服務(wù)打補(bǔ)丁就能有效避免漏洞利用攻擊。三是對(duì)服務(wù)器進(jìn)行定期維護(hù),挖礦木馬一般會(huì)持續(xù)駐留在主機(jī)/服務(wù)器中,如果未定期查看服務(wù)器狀態(tài),挖礦木馬就很難被發(fā)現(xiàn)。

  風(fēng)險(xiǎn)3:Webshell腳本

3.png

  風(fēng)險(xiǎn)特點(diǎn):網(wǎng)頁(yè)中一旦被植入了Webshell,攻擊者就能利用它獲取服務(wù)器系統(tǒng)權(quán)限、控制“肉雞”發(fā)起DDoS攻擊、篡改網(wǎng)站、網(wǎng)頁(yè)掛馬、作為用于隱藏自己的代理服務(wù)器、內(nèi)部掃描、植入暗鏈/黑鏈等一系列攻擊行為。

  如何預(yù)防:網(wǎng)絡(luò)安全人員可以配置防火墻并開(kāi)啟相關(guān)策略,防止暴露不必要的服務(wù)為黑客所利用。對(duì)服務(wù)器進(jìn)行安全加固,如關(guān)閉遠(yuǎn)程桌面功能、定期更換密碼等。加強(qiáng)權(quán)限管理,對(duì)敏感目錄進(jìn)行權(quán)限設(shè)置。安裝Webshell檢測(cè)工具。排查程序存在的漏洞并及時(shí)修補(bǔ)。備份數(shù)據(jù)庫(kù)的重要文件。注意服務(wù)器中是否有來(lái)歷不明的可執(zhí)行腳本文件。對(duì)系統(tǒng)文件上傳功能,采用白名單上傳文件,上傳目錄權(quán)限遵循最小權(quán)限原則。

  風(fēng)險(xiǎn)4:網(wǎng)頁(yè)篡改

4.jpg

  風(fēng)險(xiǎn)特點(diǎn):網(wǎng)頁(yè)篡改一般有明顯的網(wǎng)頁(yè)篡改和隱藏式兩種。明顯的網(wǎng)頁(yè)篡改如攻擊者為炫耀自己的技術(shù)技巧或表明自己的觀點(diǎn),如YouTube被黑客入侵大量 MV 消失和簡(jiǎn)介被篡改事件;隱藏式篡改一般是將被攻擊網(wǎng)站植入色情、詐騙等非法信息,再通過(guò)灰黑色產(chǎn)業(yè)牟取非法的經(jīng)濟(jì)利益。

  如何預(yù)防:網(wǎng)絡(luò)安全人員可以采取以下的技術(shù)手段,阻止網(wǎng)頁(yè)被篡改或?qū)⑽:档阶畹?。為服?wù)器升級(jí)到最新的安全補(bǔ)丁,打補(bǔ)丁主要是為了防止緩沖溢出和設(shè)計(jì)缺陷等攻擊。封閉未用但已經(jīng)開(kāi)放的網(wǎng)絡(luò)服務(wù)端口以及未使用的服務(wù)。使用復(fù)雜的管理員密碼。網(wǎng)站程序要有合理的設(shè)計(jì)并注意安全代碼的編寫(xiě)。設(shè)置合適的網(wǎng)站權(quán)限,對(duì)網(wǎng)站目錄文件權(quán)限設(shè)置原則是只分配需要寫(xiě)入的目錄寫(xiě)的權(quán)限,其它全為只讀權(quán)限。采取安裝ARP防火墻并手動(dòng)綁定網(wǎng)關(guān)mac地址等措施防止ARP欺騙的發(fā)生。

  風(fēng)險(xiǎn)5:DDoS攻擊

5.jpg

  風(fēng)險(xiǎn)特點(diǎn):絕大部分的DDoS攻擊都是通過(guò)僵尸網(wǎng)絡(luò)產(chǎn)生的,當(dāng)確定受害者的 IP 或域名后,僵尸網(wǎng)絡(luò)控制者發(fā)送攻擊指令后,隨后就可以斷開(kāi)連接,指令在僵尸程序間自行傳播和執(zhí)行,每臺(tái)僵尸主機(jī)都將做出響應(yīng),同時(shí)向目標(biāo)發(fā)送請(qǐng)求,這可能致使目標(biāo)服務(wù)器或網(wǎng)絡(luò)溢出,導(dǎo)致拒絕服務(wù)。

  如何預(yù)防:對(duì)于DDoS攻擊防護(hù)來(lái)說(shuō),本質(zhì)上只能緩而不能完全的防御,我們主要分析防御的思路。在攻擊前的防御階段,網(wǎng)絡(luò)安全人員需要多關(guān)注安全廠商、CNCERT等機(jī)構(gòu)發(fā)布的最新安全通告,及時(shí)針對(duì)攻擊進(jìn)行針對(duì)性防護(hù)策略。服務(wù)器禁止開(kāi)放與業(yè)務(wù)無(wú)關(guān)端口,并在防火墻上對(duì)不必要的端口進(jìn)行過(guò)濾。在攻擊時(shí)的緩解階段,需要根據(jù)相關(guān)設(shè)備或?qū)α髁糠治鰜?lái)確認(rèn)攻擊類(lèi)型,在安全設(shè)備上進(jìn)行防護(hù)策略的調(diào)整,對(duì)異常訪問(wèn)進(jìn)行限制。如果攻擊流量超過(guò)本地最大防御限度,可以有條件的接入運(yùn)營(yíng)商或CDN服務(wù)商對(duì)流量進(jìn)行清洗。在攻擊后的追溯總結(jié)階段,要對(duì)攻擊期間的日志進(jìn)行保存、分析,整理出攻擊IP,方便后續(xù)的追溯。

  風(fēng)險(xiǎn)6:數(shù)據(jù)泄露

6.jpg

  風(fēng)險(xiǎn)特點(diǎn):數(shù)據(jù)泄露主要是外部數(shù)據(jù)泄露和內(nèi)部數(shù)據(jù)泄露。外部數(shù)據(jù)泄露包括政企用戶自身的供應(yīng)鏈、第三方供應(yīng)商以及通過(guò)搜索引擎、網(wǎng)盤(pán)、公開(kāi)的代碼倉(cāng)庫(kù)、社交網(wǎng)絡(luò)等互聯(lián)網(wǎng)渠道所導(dǎo)致的數(shù)據(jù)泄露;內(nèi)部數(shù)據(jù)泄露主要包括內(nèi)部人員竊密、終端木馬竊取,基礎(chǔ)支撐平臺(tái)、內(nèi)部應(yīng)用系統(tǒng)等數(shù)據(jù)違規(guī)導(dǎo)出所導(dǎo)致的數(shù)據(jù)泄露。

  如何預(yù)防:網(wǎng)絡(luò)安全人員要做好自身供應(yīng)鏈和第三方供應(yīng)商的數(shù)據(jù)訪問(wèn)控制,尤其需要做好審計(jì)措施。還要做好互聯(lián)網(wǎng)應(yīng)用服務(wù)的安全配置并定期巡檢避免違規(guī)共享被搜索引擎收錄。互聯(lián)網(wǎng)應(yīng)用系統(tǒng)正式上線前應(yīng)進(jìn)行全面的滲透測(cè)試,盡可能避免未授權(quán)訪問(wèn)、弱口令、SQL注入等攻擊手段導(dǎo)致數(shù)據(jù)泄露。

  針對(duì)數(shù)據(jù)內(nèi)部泄露問(wèn)題,要針對(duì)業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)人員和運(yùn)維研發(fā)人員的訪問(wèn)權(quán)限做好訪問(wèn)控制,建立終端準(zhǔn)入機(jī)制,統(tǒng)一部署殺毒和終端管控軟件,通過(guò)安全意識(shí)培訓(xùn)培養(yǎng)良好的終端使用習(xí)慣,避免數(shù)據(jù)通過(guò)終端被竊取。

  風(fēng)險(xiǎn)7:流量劫持

7.jpg

  風(fēng)險(xiǎn)特點(diǎn):流量劫持通過(guò)在應(yīng)用系統(tǒng)中植入惡意代碼、在網(wǎng)絡(luò)中部署惡意設(shè)備、使用惡意軟件等手段,控制客戶端與服務(wù)端之間的流量通信、篡改流量數(shù)據(jù)或改變流量走向,造成非預(yù)期行為的網(wǎng)絡(luò)攻擊技術(shù)。在日常生活中經(jīng)常遇到的流氓軟件、廣告彈窗、網(wǎng)址跳轉(zhuǎn)等都是流量劫持表現(xiàn)形式。

  如何預(yù)防:常見(jiàn)的流量劫持有DNS劫持、HTTP劫持、鏈路層劫持等。針對(duì)DNS劫持,網(wǎng)絡(luò)安全人員可以通過(guò)鎖定Hosts文件不允許修改,配置本地DNS為自動(dòng)獲取或設(shè)置為可信DNS服務(wù)器,路由器采用強(qiáng)口令密碼策略,使用加密協(xié)議進(jìn)行DNS查詢等方式預(yù)防。HTTP劫持關(guān)鍵點(diǎn)在于識(shí)別HTTP協(xié)議和HTTP協(xié)議為明文協(xié)議,通過(guò)使用HTTPS進(jìn)行數(shù)據(jù)交互即可預(yù)防HTTP劫持。針對(duì)鏈路層的TCP劫持,可以使用加密通信以及避免使用共享式網(wǎng)絡(luò)。針對(duì)ARP劫持可以避免使用共享式網(wǎng)絡(luò)、將IP和MAC靜態(tài)綁定、使用具有ARP防護(hù)功能的終端安全軟件和網(wǎng)絡(luò)設(shè)備等方式有效預(yù)防。

  最后,奇安信稱(chēng),如果政企用戶遇到網(wǎng)絡(luò)安全問(wèn)題也勿慌,可以撥打奇安信應(yīng)急響應(yīng)服務(wù)7*24小時(shí)熱線4009 727 120。奇安信應(yīng)急響應(yīng)服務(wù)致力于成為“網(wǎng)絡(luò)安全120”,業(yè)務(wù)已覆蓋了全國(guó)31個(gè)省份,能提供7*24小時(shí)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù),幫助客戶盡可能的減少安全事件所帶來(lái)的經(jīng)濟(jì)損失以及惡劣的社會(huì)負(fù)面影響。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。