奇安信提示：長假期間政企單位需重點防范七大網(wǎng)絡(luò)安全風險隨著政企用戶數(shù)字化轉(zhuǎn)型的深入，也帶來了更多的未知網(wǎng)絡(luò)安全風險。平時，企業(yè)網(wǎng)絡(luò)安全人員全天值守，遇到問題也能夠快速處理。國慶8天小長假將至，為了讓網(wǎng)絡(luò)安全人也有一個愉快的假期，奇安信根據(jù)近年來的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實踐，總結(jié)出了長假期間政企用戶常見的七大網(wǎng)絡(luò)安全風險。希望能幫助網(wǎng)絡(luò)安全人提前做好預(yù)防和排查，避免“踩坑”。

　　風險1：勒索病毒

　　圖：2017年5月爆發(fā)的WannaCry勒索病毒勒索信風險特點：系統(tǒng)一旦遭受勒索病毒攻擊，將會使大多數(shù)文件被加密，并添加一個特殊的后綴，導致受害者無法讀取原本正常的文件，從而造成無法估量的損失。攻擊者通過這樣的行為向受害用戶勒索高昂的贖金，這些贖金必須通過數(shù)字貨幣支付，一般無法溯源，因此危害巨大。

　　如何預(yù)防：網(wǎng)絡(luò)安全人員可以充分利用云端免疫技術(shù)，由云端下發(fā)免疫策略或補丁，幫助用戶做好防護或打補丁，對于無法打補丁的用戶終端，免疫工具下發(fā)的免疫策略本身也具有較強的定向防護能力，這種技術(shù)已應(yīng)用于奇安信終端安全方案中。但是云端免疫技術(shù)只是一種折中方案，其安全性仍然比打了補丁的系統(tǒng)有一定差距。

　　勒索病毒無論采用什么技術(shù)，基本的特點就是對文檔進行篡改。通過監(jiān)測系統(tǒng)中是否存在文檔篡改行為，并對可能被篡改的文檔加以必要的保護，就可以在相當程度上挽回勒索病毒攻擊的損失。文檔自動備份隔離技術(shù)可以在用戶終端的文檔出現(xiàn)被篡改情況時，第一時間將文檔自動備份在隔離區(qū)，用戶可以隨時恢復文件。另外，攻擊者之所以能夠滲透進入企業(yè)服務(wù)器，絕大多數(shù)情況都是因為管理員設(shè)置的密碼為弱密碼或賬號密碼被盜，因此加強登陸密碼的安全管理也是一種必要的反勒索技術(shù)。

　　風險2：挖礦木馬

　　風險特點：挖礦木馬會利用各種方式入侵系統(tǒng)，利用被入侵系統(tǒng)的計算能力挖掘加密數(shù)字貨幣來牟利。挖礦木馬為了能夠長期在服務(wù)器中駐留，會采用多種安全對抗技術(shù)，如修改計劃任務(wù)、防火墻配置、系統(tǒng)動態(tài)鏈接庫等，這些技術(shù)手段嚴重時可能造成服務(wù)器業(yè)務(wù)中斷。

　　如何預(yù)防：首先要避免使用弱口令，在服務(wù)器登錄賬戶和開放端口上的服務(wù)使用強密碼。二是要及時打補丁，相應(yīng)廠商在大部分漏洞細節(jié)公布之前就已經(jīng)推送相關(guān)補丁，及時為系統(tǒng)和相關(guān)服務(wù)打補丁就能有效避免漏洞利用攻擊。三是對服務(wù)器進行定期維護，挖礦木馬一般會持續(xù)駐留在主機/服務(wù)器中，如果未定期查看服務(wù)器狀態(tài)，挖礦木馬就很難被發(fā)現(xiàn)。

　　風險3：Webshell腳本

　　風險特點：網(wǎng)頁中一旦被植入了Webshell，攻擊者就能利用它獲取服務(wù)器系統(tǒng)權(quán)限、控制“肉雞”發(fā)起DDoS攻擊、篡改網(wǎng)站、網(wǎng)頁掛馬、作為用于隱藏自己的代理服務(wù)器、內(nèi)部掃描、植入暗鏈/黑鏈等一系列攻擊行為。

　　如何預(yù)防：網(wǎng)絡(luò)安全人員可以配置防火墻并開啟相關(guān)策略，防止暴露不必要的服務(wù)為黑客所利用。對服務(wù)器進行安全加固，如關(guān)閉遠程桌面功能、定期更換密碼等。加強權(quán)限管理，對敏感目錄進行權(quán)限設(shè)置。安裝Webshell檢測工具。排查程序存在的漏洞并及時修補。備份數(shù)據(jù)庫的重要文件。注意服務(wù)器中是否有來歷不明的可執(zhí)行腳本文件。對系統(tǒng)文件上傳功能，采用白名單上傳文件，上傳目錄權(quán)限遵循最小權(quán)限原則。

　　風險4：網(wǎng)頁篡改

　　風險特點：網(wǎng)頁篡改一般有明顯的網(wǎng)頁篡改和隱藏式兩種。明顯的網(wǎng)頁篡改如攻擊者為炫耀自己的技術(shù)技巧或表明自己的觀點，如YouTube被黑客入侵大量 MV 消失和簡介被篡改事件；隱藏式篡改一般是將被攻擊網(wǎng)站植入色情、詐騙等非法信息，再通過灰黑色產(chǎn)業(yè)牟取非法的經(jīng)濟利益。

　　如何預(yù)防：網(wǎng)絡(luò)安全人員可以采取以下的技術(shù)手段，阻止網(wǎng)頁被篡改或?qū)⑽：档阶畹?。為服?wù)器升級到最新的安全補丁，打補丁主要是為了防止緩沖溢出和設(shè)計缺陷等攻擊。封閉未用但已經(jīng)開放的網(wǎng)絡(luò)服務(wù)端口以及未使用的服務(wù)。使用復雜的管理員密碼。網(wǎng)站程序要有合理的設(shè)計并注意安全代碼的編寫。設(shè)置合適的網(wǎng)站權(quán)限，對網(wǎng)站目錄文件權(quán)限設(shè)置原則是只分配需要寫入的目錄寫的權(quán)限，其它全為只讀權(quán)限。采取安裝ARP防火墻并手動綁定網(wǎng)關(guān)mac地址等措施防止ARP欺騙的發(fā)生。

　　風險5：DDoS攻擊

　　風險特點：絕大部分的DDoS攻擊都是通過僵尸網(wǎng)絡(luò)產(chǎn)生的，當確定受害者的 IP 或域名后，僵尸網(wǎng)絡(luò)控制者發(fā)送攻擊指令后，隨后就可以斷開連接，指令在僵尸程序間自行傳播和執(zhí)行，每臺僵尸主機都將做出響應(yīng)，同時向目標發(fā)送請求，這可能致使目標服務(wù)器或網(wǎng)絡(luò)溢出，導致拒絕服務(wù)。

　　如何預(yù)防：對于DDoS攻擊防護來說，本質(zhì)上只能緩而不能完全的防御，我們主要分析防御的思路。在攻擊前的防御階段，網(wǎng)絡(luò)安全人員需要多關(guān)注安全廠商、CNCERT等機構(gòu)發(fā)布的最新安全通告，及時針對攻擊進行針對性防護策略。服務(wù)器禁止開放與業(yè)務(wù)無關(guān)端口，并在防火墻上對不必要的端口進行過濾。在攻擊時的緩解階段，需要根據(jù)相關(guān)設(shè)備或?qū)α髁糠治鰜泶_認攻擊類型，在安全設(shè)備上進行防護策略的調(diào)整，對異常訪問進行限制。如果攻擊流量超過本地最大防御限度，可以有條件的接入運營商或CDN服務(wù)商對流量進行清洗。在攻擊后的追溯總結(jié)階段，要對攻擊期間的日志進行保存、分析，整理出攻擊IP，方便后續(xù)的追溯。

　　風險6：數(shù)據(jù)泄露

　　風險特點：數(shù)據(jù)泄露主要是外部數(shù)據(jù)泄露和內(nèi)部數(shù)據(jù)泄露。外部數(shù)據(jù)泄露包括政企用戶自身的供應(yīng)鏈、第三方供應(yīng)商以及通過搜索引擎、網(wǎng)盤、公開的代碼倉庫、社交網(wǎng)絡(luò)等互聯(lián)網(wǎng)渠道所導致的數(shù)據(jù)泄露；內(nèi)部數(shù)據(jù)泄露主要包括內(nèi)部人員竊密、終端木馬竊取，基礎(chǔ)支撐平臺、內(nèi)部應(yīng)用系統(tǒng)等數(shù)據(jù)違規(guī)導出所導致的數(shù)據(jù)泄露。

　　如何預(yù)防：網(wǎng)絡(luò)安全人員要做好自身供應(yīng)鏈和第三方供應(yīng)商的數(shù)據(jù)訪問控制，尤其需要做好審計措施。還要做好互聯(lián)網(wǎng)應(yīng)用服務(wù)的安全配置并定期巡檢避免違規(guī)共享被搜索引擎收錄。互聯(lián)網(wǎng)應(yīng)用系統(tǒng)正式上線前應(yīng)進行全面的滲透測試，盡可能避免未授權(quán)訪問、弱口令、SQL注入等攻擊手段導致數(shù)據(jù)泄露。

　　針對數(shù)據(jù)內(nèi)部泄露問題，要針對業(yè)務(wù)系統(tǒng)運營人員和運維研發(fā)人員的訪問權(quán)限做好訪問控制，建立終端準入機制，統(tǒng)一部署殺毒和終端管控軟件，通過安全意識培訓培養(yǎng)良好的終端使用習慣，避免數(shù)據(jù)通過終端被竊取。

　　風險7：流量劫持

　　風險特點：流量劫持通過在應(yīng)用系統(tǒng)中植入惡意代碼、在網(wǎng)絡(luò)中部署惡意設(shè)備、使用惡意軟件等手段，控制客戶端與服務(wù)端之間的流量通信、篡改流量數(shù)據(jù)或改變流量走向，造成非預(yù)期行為的網(wǎng)絡(luò)攻擊技術(shù)。在日常生活中經(jīng)常遇到的流氓軟件、廣告彈窗、網(wǎng)址跳轉(zhuǎn)等都是流量劫持表現(xiàn)形式。

　　如何預(yù)防：常見的流量劫持有DNS劫持、HTTP劫持、鏈路層劫持等。針對DNS劫持，網(wǎng)絡(luò)安全人員可以通過鎖定Hosts文件不允許修改，配置本地DNS為自動獲取或設(shè)置為可信DNS服務(wù)器，路由器采用強口令密碼策略，使用加密協(xié)議進行DNS查詢等方式預(yù)防。HTTP劫持關(guān)鍵點在于識別HTTP協(xié)議和HTTP協(xié)議為明文協(xié)議，通過使用HTTPS進行數(shù)據(jù)交互即可預(yù)防HTTP劫持。針對鏈路層的TCP劫持，可以使用加密通信以及避免使用共享式網(wǎng)絡(luò)。針對ARP劫持可以避免使用共享式網(wǎng)絡(luò)、將IP和MAC靜態(tài)綁定、使用具有ARP防護功能的終端安全軟件和網(wǎng)絡(luò)設(shè)備等方式有效預(yù)防。

　　最后，奇安信稱，如果政企用戶遇到網(wǎng)絡(luò)安全問題也勿慌，可以撥打奇安信應(yīng)急響應(yīng)服務(wù)7*24小時熱線4009 727 120。奇安信應(yīng)急響應(yīng)服務(wù)致力于成為“網(wǎng)絡(luò)安全120”，業(yè)務(wù)已覆蓋了全國31個省份，能提供7*24小時的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)，幫助客戶盡可能的減少安全事件所帶來的經(jīng)濟損失以及惡劣的社會負面影響。