網(wǎng)絡安全威脅是一種技術風險，會削弱企業(yè)網(wǎng)絡的防御能力，危及專有數(shù)據(jù)、關鍵應用程序和整個 IT 基礎設施。由于企業(yè)面臨廣泛的威脅，因此他們應該仔細監(jiān)控和緩解最關鍵的威脅和漏洞。網(wǎng)絡安全問題有七大類，它們都包括多種威脅，以及您的團隊應針對每種威脅實施的特定檢測和緩解方法。

01

公共網(wǎng)絡威脅

如果企業(yè)網(wǎng)絡連接到公共互聯(lián)網(wǎng)，則互聯(lián)網(wǎng)上的各種威脅也可能使企業(yè)容易受到攻擊。廣泛、復雜的業(yè)務網(wǎng)絡尤其難以保護;這些網(wǎng)絡可以包括邊緣和移動網(wǎng)絡，以及分支機構網(wǎng)絡和存儲區(qū)域網(wǎng)絡 （SAN）。典型的 Internet 威脅包括惡意軟件、惡意網(wǎng)站、電子郵件網(wǎng)絡釣魚、DNS 中毒以及 DoS 和 DDoS 攻擊。

惡意軟件

惡意軟件 是旨在干擾正常或安全計算作的代碼。單擊后，電子郵件中的鏈接或網(wǎng)站上的擴展會立即將惡意軟件下載到主機上。有時，惡意軟件可以在網(wǎng)絡中橫向移動，具體取決于其能力。

防御惡意軟件

培訓員工：員工是組織的第一道防線，也是最大的攻擊面。他們需要知道如何降低企業(yè)面臨的主要風險。

實施端點保護：所有設備都應安裝防病毒和端點保護，以便在軟件檢測到威脅時自動響應。

對網(wǎng)絡進行分段：分段技術需要為每個網(wǎng)絡設置策略，管理哪些流量可以在子網(wǎng)之間移動，并減少橫向移動。

欺騙性網(wǎng)站

欺騙性網(wǎng)站是看似合法但旨在竊取 Internet 用戶帳戶憑據(jù)的網(wǎng)站。威脅行為者將用戶引導至該站點，一旦用戶輸入了他們的憑據(jù)，攻擊者就會收集這些憑據(jù)并使用它們登錄真實的應用程序。

抵御惡意網(wǎng)站

為所有應用程序部署多重身份驗證：如果威脅行為者通過成功的欺騙設法竊取您的憑據(jù)，他們將更難通過 MFA。

教用戶識別欺騙性網(wǎng)站：確保您的員工了解虛假網(wǎng)站的特征，無論是語法問題、奇怪的 URL 還是將他們引導到那里的未經(jīng)批準的電子郵件。

一旦你了解了它們，就把它們列入黑名單：如果多名員工從同一威脅行為者導航到單個站點，請在發(fā)現(xiàn) URL 后立即將其列入黑名單。

02

基于電子郵件的網(wǎng)絡釣魚攻擊

電子郵件網(wǎng)絡釣魚是威脅行為者用來誘騙用戶打開電子郵件并點擊其中鏈接的一種技術。它可以包括惡意軟件和欺騙網(wǎng)站;Internet 網(wǎng)絡釣魚威脅有很多重疊之處。電子郵件攻擊通常通過員工的企業(yè)電子郵件帳戶以員工為目標。

抵御基于電子郵件的網(wǎng)絡釣魚攻擊

實施嚴格的電子郵件保護軟件：通常，威脅行為者會通過帶有鏈接的電子郵件將用戶引導至欺騙性網(wǎng)站，例如重置密碼的說明。

舉辦密集的安全意識培訓課程：員工應該確切地知道在收到不熟悉的電子郵件時要尋找什么。

安裝下一代防火墻：在公共 Internet 和組織的專用網(wǎng)絡之間安裝 NGFW 有助于過濾一些初始惡意流量。

DNS 攻擊

DNS 緩存中毒或劫持會重定向合法站點的 DNS 地址，并在用戶嘗試導航到該網(wǎng)頁時將其帶到惡意站點。

防御 DNS 攻擊

使用 DNS 加密：加密 DNS 連接需要團隊使用 DNSCrypt 協(xié)議、基于 TLS 的 DNS 或基于 HTTPS 的 DNS。

隔離 DNS 服務器：部署隔離區(qū) （DMZ） 以將所有 DNS 流量與公共互聯(lián)網(wǎng)隔離開來。

隨時了解更新：當宣布更新時，應定期修補所有 DNS 服務器。

DoS 和 DDoS 攻擊

拒絕服務 （DoS） 和分布式拒絕服務 （DDoS） 攻擊是一種威脅，可以通過使機器或整個計算機系統(tǒng)過載來使其癱瘓。眾所周知，它們很難預防，因為它們通常來自外部流量，而不是來自網(wǎng)絡內部的威脅，當它位于您的系統(tǒng)中時，可以找到并停止這些威脅。并非每次 DoS 或 DDoS 攻擊都來自互聯(lián)網(wǎng)流量，但其中許多都來自互聯(lián)網(wǎng)流量。

防御DoS和DDoS攻擊

實現(xiàn)反向代理：反向代理有自己的 IP 地址，因此當 IP 地址淹沒單個服務器時，它們會轉到代理的 IP 地址，內部服務器的 IP 地址不會那么容易被淹沒。

安裝 Web 應用程序防火墻：可以配置防火墻來監(jiān)控和阻止不同類型的流量。

部署負載均衡器：通過將網(wǎng)絡流量定向到可以管理網(wǎng)絡流量的來源，負載平衡可以降低流量完全壓垮服務器的風險。

03

不安全或過時的網(wǎng)絡協(xié)議

一些舊版本的網(wǎng)絡協(xié)議存在已在更高版本中修復的錯誤，但許多企業(yè)和系統(tǒng)繼續(xù)使用舊協(xié)議。最好使用最新的協(xié)議版本，至少可以避免已知的威脅，特別是如果您的行業(yè)需要某個協(xié)議版本來保持符合監(jiān)管標準。一些最流行的網(wǎng)絡協(xié)議包括 SSL、TLS、SNMP、HTTP 和 HTTPS。

SSL & TLS

安全套接字層 （SSL） 和傳輸層安全性 （TLS） 都是網(wǎng)絡安全協(xié)議。TLS 1.3 之前的任何 SSL 和 TLS 版本都存在多個弱點，包括允許 POODLE 攻擊和 BEAST 攻擊的漏洞。雖然 TLS 1.3 可能有自己的弱點，這些弱點會隨著時間的推移而被發(fā)現(xiàn)，但它確實修復了舊版 TLS 和 SSL 中的已知漏洞。

防御SSL和TLS威脅

更新連接：保持每個網(wǎng)絡連接都升級到最新版本的 TLS。

禁用舊版本：在您的網(wǎng)絡上完全禁用較舊的 SSL 和 TLS 版本可確保它們不會被意外使用。

SNMP （SNMP 協(xié)議）

簡單網(wǎng)絡管理協(xié)議 （SNMP） 是一種通用的 Internet 協(xié)議，旨在管理網(wǎng)絡及其上的設備的作。SNMP 版本 1 和 2 存在已知漏洞，包括未加密傳輸 （v1） 和 IP 地址欺騙 （v2）。版本 3 是三者中的最佳選擇，因為它具有多個加密選項。它旨在解決 v1 和 v2 的問題。

防御 SNMP 威脅

將 SNMP 的所有版本升級到版本 3，以避免以前版本中出現(xiàn)明顯的安全漏洞。

HTTP 協(xié)議

超文本傳輸協(xié)議是一種本質上并不安全的 Internet 通信協(xié)議。安全超文本傳輸協(xié)議 （HTTPS） 是 HTTP 的加密版本。所有互聯(lián)網(wǎng)連接都應該加密，并且與其他網(wǎng)站的每次通信都應該使用 HTTPS。

防御 HTTP 威脅

阻止 HTTP 訪問：如果任何連接使用 HTTP，請盡快阻止對它們的訪問。

將流量定向到 HTTPS：配置所有嘗試的 HTTP 通信以重定向到 HTTPS。

04

網(wǎng)絡配置錯誤

網(wǎng)絡協(xié)議或規(guī)則的簡單錯誤配置可能會暴露整個服務器、數(shù)據(jù)庫或云資源。鍵入一行錯誤代碼或未能安全地設置路由器或交換機都可能導致配置錯誤。配置錯誤的網(wǎng)絡安全命令也很難找到，因為其余的硬件或軟件似乎工作正常。錯誤配置還包括部署不當?shù)慕粨Q機和路由器。

常見的錯誤配置包括在硬件和軟件上使用默認或出廠配置，以及未能對網(wǎng)絡進行分段、在應用程序上設置訪問控制或立即修補。

使用設備的默認配置

默認憑證是網(wǎng)絡硬件和軟件上出廠設置的用戶名和密碼。攻擊者通常很容易猜到它們，甚至可能使用“admin”或“password”等基本詞。

防御默認配置威脅

更改所有憑據(jù)：立即將任何默認用戶名或密碼切換為更強、更難猜測的憑據(jù)。

定期更新密碼：初始密碼更改后，請每隔幾個月切換一次。

分割不充分

網(wǎng)絡分段是一種將網(wǎng)絡拆分為不同部分的技術。如果網(wǎng)絡沒有劃分為子網(wǎng)，惡意流量就更容易在整個網(wǎng)絡中傳播，并有機會破壞許多不同的系統(tǒng)或應用程序。

抵御網(wǎng)絡分段威脅

將網(wǎng)絡劃分為子網(wǎng)，并在它們之間創(chuàng)建安全屏障。分段技術包括為每個網(wǎng)絡設置策略、管理哪些流量可以在子網(wǎng)之間移動以及減少橫向移動。

訪問錯誤配置

當團隊無法安全地實施訪問和身份驗證協(xié)議（如強密碼和多因素身份驗證）時，就會發(fā)生配置錯誤的訪問控制。這對您的整個網(wǎng)絡來說都是一個重大風險。本地和基于云的系統(tǒng)都需要訪問控制，包括默認情況下不需要身份驗證方法的公有云存儲桶。網(wǎng)絡用戶需要經(jīng)過授權和身份驗證。

身份驗證要求用戶提供 PIN、密碼或生物識別掃描，以幫助證明他們是他們所聲稱的身份。授權允許用戶在驗證自己并且其身份受信任后查看數(shù)據(jù)或應用程序。訪問控制允許組織設置權限級別，例如只讀和編輯權限。否則，面臨權限提升攻擊的風險，當威脅行為者進入網(wǎng)絡并通過提升其用戶權限橫向移動時，就會發(fā)生這種攻擊。

抵御 Access Misconfiguration 威脅

使用以下提示來降低與訪問相關的錯誤配置風險：

每個應用程序都需要憑據(jù)：這包括數(shù)據(jù)庫、客戶端管理系統(tǒng)以及所有本地和云軟件。

不要忘記云資源：可通過 Internet 訪問的 Cloud Bucket 應具有訪問屏障;否則，它們對擁有存儲桶 URL 的任何人可見。

部署 Zero Trust：員工應該只擁有完成工作所需的訪問級別，稱為最低權限或零信任原則。這有助于減少內部欺詐和意外錯誤。

過時和未修補的網(wǎng)絡資源

網(wǎng)絡硬件和軟件漏洞是隨著時間的推移而顯現(xiàn)出來的缺陷，這需要 IT 和網(wǎng)絡技術人員在供應商或研究人員宣布威脅時隨時了解威脅。

過時的路由器、交換機或服務器無法使用最新的安全更新。然后，這些設備需要額外的保護控制。其他舊設備（如醫(yī)院設備）通常不能完全丟棄，因此企業(yè)可能必須設置額外的安全性，以防止它們將網(wǎng)絡的其余部分置于風險之中。

抵御補丁管理威脅

不要等待修補已知問題：網(wǎng)絡管理員立即修補固件漏洞至關重要。一旦發(fā)現(xiàn)漏洞，威脅行為者就會迅速采取行動，因此 IT 和網(wǎng)絡團隊應該領先一步。

自動化一些工作：自動警報將幫助您的企業(yè)團隊保持網(wǎng)絡資源最新，即使他們不是一直處于時鐘狀態(tài)。

減少舊技術造成的危害：盡可能淘汰過時的設備。它們將繼續(xù)與網(wǎng)絡的其余部分不兼容，如果某些硬件不支持它，則很難保護整個網(wǎng)絡。

05

運營技術

運營技術 （OT） 通常是指觀察和控制工業(yè)環(huán)境的硬件和軟件。這些環(huán)境包括倉庫、建筑工地和工廠。OT 允許企業(yè)通過網(wǎng)絡連接的蜂窩技術來管理 HVAC、消防安全和食品溫度。

企業(yè)物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng) （IIoT） 設備也屬于運營技術。當連接到業(yè)務網(wǎng)絡時，OT 可以為威脅行為者提供一扇敞開的大門。

運營技術的危險

較舊的 IOT 設備在設計時并未考慮到重要的網(wǎng)絡安全，因此它們擁有的任何傳統(tǒng)控制措施可能不再足夠或無法修復。最初，工廠和建筑工地的設備和傳感器沒有互聯(lián)網(wǎng)連接，也沒有支持 4G 或 5G。當前的 OT 設計使攻擊者很容易通過網(wǎng)絡橫向移動。對于運行時間超過連接到 Internet 的時間的傳統(tǒng) IOT，實施大規(guī)模安全性也非常困難。

運營技術的影響往往遠遠超出 IT 安全，尤其是在食品管理、醫(yī)療保健和水處理等關鍵基礎設施中。OT 漏洞可能不僅僅是花費金錢或危及技術資源（如標準網(wǎng)絡漏洞），還可能導致受傷或死亡。

抵御 OT 威脅

執(zhí)行詳細審計：您需要了解連接到公司網(wǎng)絡的每臺設備，而徹底的審計是最好的方法。

持續(xù)監(jiān)控所有 OT 流量：任何異常都應向 IT 和網(wǎng)絡工程師發(fā)送自動警報。配置警報，以便工程師立即了解發(fā)生了什么。

對所有無線網(wǎng)絡使用安全連接：如果 OT 設備使用 Wi-Fi，請確保 Wi-Fi 至少使用 WPA2。

VPN 漏洞

盡管虛擬專用網(wǎng)絡 （VPN） 是為組織的網(wǎng)絡通信創(chuàng)建私有隧道的安全工具，但它們仍然可能被攻破。企業(yè)應監(jiān)控直接團隊的 VPN 使用情況和所有第三方 VPN 訪問。

抵御 VPN 威脅

實施最低權限訪問管理：最低權限訪問權限為指定用戶提供完成其工作所需的權限，而不是其他任何權限。

掌握補?。?/strong>單個 VPN 解決方案可能有自己的漏洞，因此請確保企業(yè)持續(xù)監(jiān)控它們并在需要時修補弱點。

第三方 VPN 訪問

當企業(yè)使用 VPN 向合作伙伴或承包商提供對其應用程序的訪問權限時，很難限制這些第三方訪問特定權限。VPN 也不會保留大量數(shù)據(jù)日志以供以后分析，因此如果第三方濫用其權限，則很難找到違規(guī)的具體來源。

抵御第三方 VPN 威脅

也為承包商和其他第三方實施最低權限訪問。它將限制他們對敏感業(yè)務數(shù)據(jù)和應用程序的訪問。

遠程訪問

遠程桌面協(xié)議 （RDP） 允許用戶使用一臺計算機與另一臺遠程計算機連接并對其進行控制。在大流行的早期階段，RDP 是最常見的勒索軟件攻擊媒介之一。攻擊者能夠通過 RDP 的漏洞找到后門，或者簡單地通過猜測密碼進行暴力攻擊。遠程訪問木馬還允許攻擊者在惡意軟件通過電子郵件附件或其他軟件下載到計算機后遠程控制計算機。

抵御 RDP 威脅

限制密碼嘗試次數(shù)：用戶應該只能輸入幾次密碼。這可以防止暴力攻擊。

設置難以猜中的密碼：要求所有 RDP 憑據(jù)都有良好的密碼安全機制。

限制對特定 IP 地址的訪問：僅將附加到員工設備的特定地址列入白名單。

為 RDP 配置嚴格的用戶策略：這包括最低權限訪問。只有那些需要遠程連接以執(zhí)行其工作的人才應該具有訪問權限。

Wi-Fi 網(wǎng)絡

其他不安全的網(wǎng)絡連接（如不受保護的 Wi-Fi）允許竊賊竊取憑據(jù)，然后從咖啡店和其他公共場所登錄業(yè)務應用程序。遠程企業(yè)有多種遠程訪問公司資源的方法，IT 和安全團隊很難鎖定所有這些方法。

抵御 Wi-Fi 威脅

確保網(wǎng)絡是私有的：如果在小型聯(lián)合辦公空間或其他家中工作，那是理想的，但如果在公共場所，請確保 Wi-Fi 需要密碼。

使用 VPN：虛擬專用網(wǎng)絡雖然并非萬無一失，但在 Wi-Fi 不安全時有助于保護您的遠程連接。

來源｜安全結構

編輯｜展麟