警惕那些常見(jiàn)卻又容易被忽視的網(wǎng)絡(luò)安全威脅
勒索軟件、惡意軟件、網(wǎng)絡(luò)釣魚(yú)攻擊......這些都是現(xiàn)代企業(yè)在數(shù)字化轉(zhuǎn)型發(fā)展中面臨的諸多網(wǎng)絡(luò)安全威脅與挑戰(zhàn),由此造成的危害也時(shí)有報(bào)道。然而當(dāng)企業(yè)投入了巨大資源啟動(dòng)網(wǎng)絡(luò)安全防護(hù)計(jì)劃時(shí),一些常見(jiàn)的高危風(fēng)險(xiǎn)容易被安全團(tuán)隊(duì)所忽視。其原因可能是安全人員陷入了“安全警報(bào)疲勞”狀態(tài),或是認(rèn)知不足而放松了警惕心,然而,這些沒(méi)有得到足夠重視的常見(jiàn)威脅正在企業(yè)數(shù)字化環(huán)境中到處肆虐,并隨時(shí)可能引發(fā)災(zāi)難性的影響。
· 公開(kāi)信息的惡意利用
公開(kāi)信息被惡意利用是企業(yè)面臨威脅之一,但幾乎很少人會(huì)關(guān)注和談?wù)撨@種威脅。事實(shí)上,大多數(shù)的網(wǎng)絡(luò)攻擊發(fā)生之前,網(wǎng)絡(luò)犯罪分子都會(huì)提前收集目標(biāo)企業(yè)的電子郵件地址、電話號(hào)碼和社會(huì)安全號(hào)碼等基本信息。企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該更加關(guān)注和重視這方面的保護(hù),教育企業(yè)員工如何管理他們?cè)诰W(wǎng)上的企業(yè)與個(gè)人信息。
· 數(shù)據(jù)勒索攻擊
近年來(lái)勒索軟件攻擊者的策略頗有成效,企業(yè)組織將會(huì)看到更多的勒索軟件攻擊,因此安全主管們需要提前做好準(zhǔn)備。但很多企業(yè)對(duì)勒索攻擊仍然缺乏足夠的重視。同時(shí),一些企業(yè)的安全管理者存在認(rèn)知誤區(qū):我們已經(jīng)對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行了備份,這樣就可以不需要支付贖金以恢復(fù)數(shù)據(jù)。然而,現(xiàn)在勒索攻擊者的方法已有所改進(jìn),雙重勒索甚至多重勒索模式將會(huì)成為主要攻擊手段。
· 用戶賬戶接管攻擊
用戶賬戶接管攻擊是一種威脅巨大網(wǎng)絡(luò)安全風(fēng)險(xiǎn),但是目前很少有企業(yè)已經(jīng)具備有效的防護(hù)手段。網(wǎng)絡(luò)攻擊者不再直接攻擊高價(jià)值目標(biāo),而是通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊目標(biāo)的供應(yīng)商和第三方供應(yīng)鏈,然后利用被攻陷的用戶賬戶向目標(biāo)發(fā)送合法郵件。美國(guó)聯(lián)邦調(diào)查局(FBA)將這種攻擊方式稱為“價(jià)值260億美元的欺詐騙局”。一旦合法賬戶被攻擊者接管,就可以被利用下達(dá)欺詐性的訂單,攔截商務(wù)憑證,轉(zhuǎn)移有價(jià)值的數(shù)字資產(chǎn),甚至給受害企業(yè)的品牌帶來(lái)?yè)p害。
· 不斷擴(kuò)大的API攻擊面
應(yīng)用編程接口(API)是應(yīng)用程序間通信的核心,它提供了對(duì)第三方驗(yàn)證和數(shù)據(jù)源的訪問(wèn)。隨著API應(yīng)用增長(zhǎng),隨之而來(lái)的攻擊面也在不斷擴(kuò)大,確保API應(yīng)用安全對(duì)保護(hù)企業(yè)數(shù)字化發(fā)展安全變得越來(lái)越重要?,F(xiàn)代企業(yè)需要將確保API應(yīng)用安全視為一條核心業(yè)務(wù)運(yùn)營(yíng)原則。
· 影子SaaS應(yīng)用
很多企業(yè)還沒(méi)有意識(shí)到技術(shù)工具的無(wú)序采購(gòu)也是一大風(fēng)險(xiǎn)。龐大的軟件即服務(wù)(SaaS)市場(chǎng),讓普通員工也可以便捷地購(gòu)買(mǎi)到應(yīng)用軟件程序,甚至是免費(fèi)的,當(dāng)這些應(yīng)用中被導(dǎo)入企業(yè)業(yè)務(wù)數(shù)據(jù)時(shí),員工、客戶和合作伙伴的隱私信息就可能面臨險(xiǎn)境。雖然許多企業(yè)明確規(guī)定了應(yīng)用程序必須得到批準(zhǔn)后才能使用,但影子SaaS應(yīng)用是大多數(shù)企業(yè)還難以充分防范的安全風(fēng)險(xiǎn)之一。
· 多維度的數(shù)據(jù)應(yīng)用漏洞
隨著數(shù)字化轉(zhuǎn)型的發(fā)展,現(xiàn)代企業(yè)組織大多需要將業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在多個(gè)數(shù)據(jù)中心和應(yīng)用中。企業(yè)數(shù)據(jù)資產(chǎn)會(huì)更加容易受到網(wǎng)絡(luò)犯罪活動(dòng)、人為錯(cuò)誤、自然災(zāi)害等多方面因素的安全威脅。然而,很多企業(yè)都沒(méi)有部署積極主動(dòng)的安全措施,為數(shù)據(jù)資產(chǎn)提供體系化的保護(hù),無(wú)法做到無(wú)論數(shù)據(jù)存放在哪里都可以被安全利用。
· 薄弱的網(wǎng)絡(luò)安全意識(shí)
如果我們復(fù)盤(pán)許多重大數(shù)據(jù)泄露事件,其根本原因往往是因?yàn)槠髽I(yè)員工有意或無(wú)意的網(wǎng)絡(luò)安全違規(guī)操作,比如在辦公電腦上重復(fù)使用賬戶密碼,或者用不安全的個(gè)人設(shè)備訪問(wèn)公司應(yīng)用程序。組織應(yīng)給予更多的重視,幫助每個(gè)員工管理好企業(yè)辦公網(wǎng)絡(luò)內(nèi)外的個(gè)人安全,以更好地消除這些安全隱患。
· 松懈的安全管理制度
目前企業(yè)最大的安全挑戰(zhàn)是在企業(yè)內(nèi)部,無(wú)論是松懈的管理制度,還是沒(méi)有為員工提供經(jīng)過(guò)優(yōu)化的工作流程,都會(huì)讓各種安全威脅從內(nèi)部開(kāi)始產(chǎn)生。企業(yè)應(yīng)該盡可能實(shí)現(xiàn)安全管理流程的自動(dòng)化,積極實(shí)施零信任安全框架,并持續(xù)開(kāi)展網(wǎng)絡(luò)安全文化建設(shè),確保每個(gè)員工都能夠嚴(yán)格遵守安全規(guī)程。
· 中間人攻擊
中間人攻擊是指攻擊者介入到兩個(gè)受害者的網(wǎng)絡(luò)通信中,并可以竊聽(tīng)或篡改對(duì)話內(nèi)容。攻擊者會(huì)攔截并篡改受害者之間的消息,然后將它們重新發(fā)送給另一個(gè)受害者,使消息看起來(lái)如同來(lái)自原始發(fā)送者。這種類型的攻擊可用于竊取敏感信息,比如登錄憑據(jù)、財(cái)務(wù)信息或商業(yè)機(jī)密。中間人攻擊還可以被用來(lái)向網(wǎng)站或軟件注入惡意代碼,然后感染受害者的計(jì)算設(shè)備和應(yīng)用。為了防護(hù)中間人攻擊,企業(yè)應(yīng)該積極部署新一代加密技術(shù)和VPN協(xié)議來(lái)保護(hù)業(yè)務(wù)過(guò)程中的通信安全。
· 不安全的物聯(lián)網(wǎng)設(shè)備
物聯(lián)網(wǎng)設(shè)備面臨的網(wǎng)絡(luò)威脅正在引起技術(shù)主管和網(wǎng)絡(luò)安全公司的關(guān)注。然而,如果我們想為物聯(lián)網(wǎng)的大規(guī)模應(yīng)用做好準(zhǔn)備,還應(yīng)該為大規(guī)模生產(chǎn)的不達(dá)標(biāo)、不安全的設(shè)備做好準(zhǔn)備。因此,我們需要格外關(guān)注應(yīng)用編程接口漏洞以及設(shè)備和移動(dòng)應(yīng)用程序之間共享數(shù)據(jù)的協(xié)議。
· 過(guò)于寬松的云應(yīng)用環(huán)境
在云端,傳統(tǒng)的物理防護(hù)邊界被打破,只有通過(guò)嚴(yán)格的身份訪問(wèn)控制才能構(gòu)建起新的安全邊界。但是事實(shí)上,目前有很多云上存儲(chǔ)的數(shù)據(jù)被廣泛暴露在互聯(lián)網(wǎng)上,很多沒(méi)有得到授權(quán)的用戶也都可以訪問(wèn)這些數(shù)據(jù)。盡管排查和消除云端有風(fēng)險(xiǎn)的訪問(wèn)權(quán)限是一個(gè)復(fù)雜的、動(dòng)態(tài)的長(zhǎng)期過(guò)程,但企業(yè)必須立刻重視起來(lái),并且開(kāi)始采取相關(guān)的治理措施。
· APP欺詐
由于APP欺詐通常是在用戶授權(quán)的情況下發(fā)生,因此很難實(shí)時(shí)識(shí)別和預(yù)防,但這種威脅卻會(huì)給受害人造成直接的財(cái)產(chǎn)損失。盡管很多企業(yè)在面對(duì)受害消費(fèi)者追責(zé)索賠時(shí),會(huì)將部分責(zé)任推給對(duì)方,但是考慮到企業(yè)品牌和用戶信任度的損害,企業(yè)也將因?yàn)?/span>APP欺詐而付出巨大的代價(jià)。因此,企業(yè)的安全團(tuán)隊(duì)需要迅速行動(dòng)起來(lái),制定一項(xiàng)防止可能導(dǎo)致業(yè)務(wù)資金流失的APP欺詐防護(hù)計(jì)劃,并從早期的盡職調(diào)查就開(kāi)始做起。
來(lái)源:信息新安全、安全牛