《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 奇安信提示:長假期間政企單位需重點防范七大網(wǎng)絡(luò)安全風險

奇安信提示:長假期間政企單位需重點防范七大網(wǎng)絡(luò)安全風險

2020-09-29
來源:奇安信

  奇安信提示:長假期間政企單位需重點防范七大網(wǎng)絡(luò)安全風險隨著政企用戶數(shù)字化轉(zhuǎn)型的深入,,也帶來了更多的未知網(wǎng)絡(luò)安全風險,。平時,企業(yè)網(wǎng)絡(luò)安全人員全天值守,遇到問題也能夠快速處理,。國慶8天小長假將至,,為了讓網(wǎng)絡(luò)安全人也有一個愉快的假期,,奇安信根據(jù)近年來的網(wǎng)絡(luò)安全應急響應實踐,,總結(jié)出了長假期間政企用戶常見的七大網(wǎng)絡(luò)安全風險。希望能幫助網(wǎng)絡(luò)安全人提前做好預防和排查,,避免“踩坑”,。

  風險1:勒索病毒

1.png

  圖:2017年5月爆發(fā)的WannaCry勒索病毒勒索信風險特點:系統(tǒng)一旦遭受勒索病毒攻擊,將會使大多數(shù)文件被加密,,并添加一個特殊的后綴,,導致受害者無法讀取原本正常的文件,從而造成無法估量的損失,。攻擊者通過這樣的行為向受害用戶勒索高昂的贖金,,這些贖金必須通過數(shù)字貨幣支付,一般無法溯源,,因此危害巨大,。

  如何預防:網(wǎng)絡(luò)安全人員可以充分利用云端免疫技術(shù),,由云端下發(fā)免疫策略或補丁,幫助用戶做好防護或打補丁,,對于無法打補丁的用戶終端,,免疫工具下發(fā)的免疫策略本身也具有較強的定向防護能力,這種技術(shù)已應用于奇安信終端安全方案中,。但是云端免疫技術(shù)只是一種折中方案,其安全性仍然比打了補丁的系統(tǒng)有一定差距,。

  勒索病毒無論采用什么技術(shù),,基本的特點就是對文檔進行篡改。通過監(jiān)測系統(tǒng)中是否存在文檔篡改行為,,并對可能被篡改的文檔加以必要的保護,,就可以在相當程度上挽回勒索病毒攻擊的損失。文檔自動備份隔離技術(shù)可以在用戶終端的文檔出現(xiàn)被篡改情況時,,第一時間將文檔自動備份在隔離區(qū),,用戶可以隨時恢復文件。另外,,攻擊者之所以能夠滲透進入企業(yè)服務器,,絕大多數(shù)情況都是因為管理員設(shè)置的密碼為弱密碼或賬號密碼被盜,因此加強登陸密碼的安全管理也是一種必要的反勒索技術(shù),。

  風險2:挖礦木馬

2.jpg

  風險特點:挖礦木馬會利用各種方式入侵系統(tǒng),,利用被入侵系統(tǒng)的計算能力挖掘加密數(shù)字貨幣來牟利。挖礦木馬為了能夠長期在服務器中駐留,,會采用多種安全對抗技術(shù),,如修改計劃任務、防火墻配置,、系統(tǒng)動態(tài)鏈接庫等,,這些技術(shù)手段嚴重時可能造成服務器業(yè)務中斷。

  如何預防:首先要避免使用弱口令,,在服務器登錄賬戶和開放端口上的服務使用強密碼,。二是要及時打補丁,相應廠商在大部分漏洞細節(jié)公布之前就已經(jīng)推送相關(guān)補丁,,及時為系統(tǒng)和相關(guān)服務打補丁就能有效避免漏洞利用攻擊,。三是對服務器進行定期維護,挖礦木馬一般會持續(xù)駐留在主機/服務器中,,如果未定期查看服務器狀態(tài),,挖礦木馬就很難被發(fā)現(xiàn)。

  風險3:Webshell腳本

3.png

  風險特點:網(wǎng)頁中一旦被植入了Webshell,,攻擊者就能利用它獲取服務器系統(tǒng)權(quán)限,、控制“肉雞”發(fā)起DDoS攻擊,、篡改網(wǎng)站、網(wǎng)頁掛馬,、作為用于隱藏自己的代理服務器,、內(nèi)部掃描、植入暗鏈/黑鏈等一系列攻擊行為,。

  如何預防:網(wǎng)絡(luò)安全人員可以配置防火墻并開啟相關(guān)策略,,防止暴露不必要的服務為黑客所利用。對服務器進行安全加固,,如關(guān)閉遠程桌面功能,、定期更換密碼等。加強權(quán)限管理,,對敏感目錄進行權(quán)限設(shè)置,。安裝Webshell檢測工具。排查程序存在的漏洞并及時修補,。備份數(shù)據(jù)庫的重要文件,。注意服務器中是否有來歷不明的可執(zhí)行腳本文件。對系統(tǒng)文件上傳功能,,采用白名單上傳文件,,上傳目錄權(quán)限遵循最小權(quán)限原則。

  風險4:網(wǎng)頁篡改

4.jpg

  風險特點:網(wǎng)頁篡改一般有明顯的網(wǎng)頁篡改和隱藏式兩種,。明顯的網(wǎng)頁篡改如攻擊者為炫耀自己的技術(shù)技巧或表明自己的觀點,,如YouTube被黑客入侵大量 MV 消失和簡介被篡改事件;隱藏式篡改一般是將被攻擊網(wǎng)站植入色情,、詐騙等非法信息,,再通過灰黑色產(chǎn)業(yè)牟取非法的經(jīng)濟利益。

  如何預防:網(wǎng)絡(luò)安全人員可以采取以下的技術(shù)手段,,阻止網(wǎng)頁被篡改或?qū)⑽:档阶畹?。為服務器升級到最新的安全補丁,打補丁主要是為了防止緩沖溢出和設(shè)計缺陷等攻擊,。封閉未用但已經(jīng)開放的網(wǎng)絡(luò)服務端口以及未使用的服務,。使用復雜的管理員密碼。網(wǎng)站程序要有合理的設(shè)計并注意安全代碼的編寫,。設(shè)置合適的網(wǎng)站權(quán)限,,對網(wǎng)站目錄文件權(quán)限設(shè)置原則是只分配需要寫入的目錄寫的權(quán)限,其它全為只讀權(quán)限,。采取安裝ARP防火墻并手動綁定網(wǎng)關(guān)mac地址等措施防止ARP欺騙的發(fā)生,。

  風險5:DDoS攻擊

5.jpg

  風險特點:絕大部分的DDoS攻擊都是通過僵尸網(wǎng)絡(luò)產(chǎn)生的,當確定受害者的 IP 或域名后,,僵尸網(wǎng)絡(luò)控制者發(fā)送攻擊指令后,,隨后就可以斷開連接,,指令在僵尸程序間自行傳播和執(zhí)行,每臺僵尸主機都將做出響應,,同時向目標發(fā)送請求,,這可能致使目標服務器或網(wǎng)絡(luò)溢出,導致拒絕服務,。

  如何預防:對于DDoS攻擊防護來說,,本質(zhì)上只能緩而不能完全的防御,我們主要分析防御的思路,。在攻擊前的防御階段,,網(wǎng)絡(luò)安全人員需要多關(guān)注安全廠商、CNCERT等機構(gòu)發(fā)布的最新安全通告,,及時針對攻擊進行針對性防護策略。服務器禁止開放與業(yè)務無關(guān)端口,,并在防火墻上對不必要的端口進行過濾,。在攻擊時的緩解階段,需要根據(jù)相關(guān)設(shè)備或?qū)α髁糠治鰜泶_認攻擊類型,,在安全設(shè)備上進行防護策略的調(diào)整,,對異常訪問進行限制。如果攻擊流量超過本地最大防御限度,,可以有條件的接入運營商或CDN服務商對流量進行清洗,。在攻擊后的追溯總結(jié)階段,要對攻擊期間的日志進行保存,、分析,,整理出攻擊IP,方便后續(xù)的追溯,。

  風險6:數(shù)據(jù)泄露

6.jpg

  風險特點:數(shù)據(jù)泄露主要是外部數(shù)據(jù)泄露和內(nèi)部數(shù)據(jù)泄露,。外部數(shù)據(jù)泄露包括政企用戶自身的供應鏈、第三方供應商以及通過搜索引擎,、網(wǎng)盤,、公開的代碼倉庫、社交網(wǎng)絡(luò)等互聯(lián)網(wǎng)渠道所導致的數(shù)據(jù)泄露,;內(nèi)部數(shù)據(jù)泄露主要包括內(nèi)部人員竊密,、終端木馬竊取,基礎(chǔ)支撐平臺,、內(nèi)部應用系統(tǒng)等數(shù)據(jù)違規(guī)導出所導致的數(shù)據(jù)泄露,。

  如何預防:網(wǎng)絡(luò)安全人員要做好自身供應鏈和第三方供應商的數(shù)據(jù)訪問控制,尤其需要做好審計措施,。還要做好互聯(lián)網(wǎng)應用服務的安全配置并定期巡檢避免違規(guī)共享被搜索引擎收錄,?;ヂ?lián)網(wǎng)應用系統(tǒng)正式上線前應進行全面的滲透測試,盡可能避免未授權(quán)訪問,、弱口令,、SQL注入等攻擊手段導致數(shù)據(jù)泄露。

  針對數(shù)據(jù)內(nèi)部泄露問題,,要針對業(yè)務系統(tǒng)運營人員和運維研發(fā)人員的訪問權(quán)限做好訪問控制,,建立終端準入機制,統(tǒng)一部署殺毒和終端管控軟件,,通過安全意識培訓培養(yǎng)良好的終端使用習慣,,避免數(shù)據(jù)通過終端被竊取。

  風險7:流量劫持

7.jpg

  風險特點:流量劫持通過在應用系統(tǒng)中植入惡意代碼,、在網(wǎng)絡(luò)中部署惡意設(shè)備,、使用惡意軟件等手段,控制客戶端與服務端之間的流量通信,、篡改流量數(shù)據(jù)或改變流量走向,,造成非預期行為的網(wǎng)絡(luò)攻擊技術(shù)。在日常生活中經(jīng)常遇到的流氓軟件,、廣告彈窗,、網(wǎng)址跳轉(zhuǎn)等都是流量劫持表現(xiàn)形式。

  如何預防:常見的流量劫持有DNS劫持,、HTTP劫持,、鏈路層劫持等。針對DNS劫持,,網(wǎng)絡(luò)安全人員可以通過鎖定Hosts文件不允許修改,,配置本地DNS為自動獲取或設(shè)置為可信DNS服務器,路由器采用強口令密碼策略,,使用加密協(xié)議進行DNS查詢等方式預防,。HTTP劫持關(guān)鍵點在于識別HTTP協(xié)議和HTTP協(xié)議為明文協(xié)議,通過使用HTTPS進行數(shù)據(jù)交互即可預防HTTP劫持,。針對鏈路層的TCP劫持,,可以使用加密通信以及避免使用共享式網(wǎng)絡(luò)。針對ARP劫持可以避免使用共享式網(wǎng)絡(luò),、將IP和MAC靜態(tài)綁定,、使用具有ARP防護功能的終端安全軟件和網(wǎng)絡(luò)設(shè)備等方式有效預防。

  最后,,奇安信稱,,如果政企用戶遇到網(wǎng)絡(luò)安全問題也勿慌,可以撥打奇安信應急響應服務7*24小時熱線4009 727 120,。奇安信應急響應服務致力于成為“網(wǎng)絡(luò)安全120”,,業(yè)務已覆蓋了全國31個省份,,能提供7*24小時的網(wǎng)絡(luò)安全應急響應服務,幫助客戶盡可能的減少安全事件所帶來的經(jīng)濟損失以及惡劣的社會負面影響,。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]