常見網絡安全威脅和防御措施

網絡安全威脅是一種技術風險，會削弱企業網絡的防御能力，危及專有數據、關鍵應用程序和整個 IT 基礎設施。由于企業面臨廣泛的威脅，因此他們應該仔細監控和緩解最關鍵的威脅和漏洞。網絡安全問題有七大類，它們都包括多種威脅，以及您的團隊應針對每種威脅實施的特定檢測和緩解方法。

01

公共網絡威脅

如果企業網絡連接到公共互聯網，則互聯網上的各種威脅也可能使企業容易受到攻擊。廣泛、復雜的業務網絡尤其難以保護;這些網絡可以包括邊緣和移動網絡，以及分支機構網絡和存儲區域網絡 （SAN）。典型的 Internet 威脅包括惡意軟件、惡意網站、電子郵件網絡釣魚、DNS 中毒以及 DoS 和 DDoS 攻擊。

惡意軟件

惡意軟件 是旨在干擾正常或安全計算作的代碼。單擊后，電子郵件中的鏈接或網站上的擴展會立即將惡意軟件下載到主機上。有時，惡意軟件可以在網絡中橫向移動，具體取決于其能力。

防御惡意軟件

培訓員工：員工是組織的第一道防線，也是最大的攻擊面。他們需要知道如何降低企業面臨的主要風險。

實施端點保護：所有設備都應安裝防病毒和端點保護，以便在軟件檢測到威脅時自動響應。

對網絡進行分段：分段技術需要為每個網絡設置策略，管理哪些流量可以在子網之間移動，并減少橫向移動。

欺騙性網站

欺騙性網站是看似合法但旨在竊取 Internet 用戶帳戶憑據的網站。威脅行為者將用戶引導至該站點，一旦用戶輸入了他們的憑據，攻擊者就會收集這些憑據并使用它們登錄真實的應用程序。

抵御惡意網站

為所有應用程序部署多重身份驗證：如果威脅行為者通過成功的欺騙設法竊取您的憑據，他們將更難通過 MFA。

教用戶識別欺騙性網站：確保您的員工了解虛假網站的特征，無論是語法問題、奇怪的 URL 還是將他們引導到那里的未經批準的電子郵件。

一旦你了解了它們，就把它們列入黑名單：如果多名員工從同一威脅行為者導航到單個站點，請在發現 URL 后立即將其列入黑名單。

02

基于電子郵件的網絡釣魚攻擊

電子郵件網絡釣魚是威脅行為者用來誘騙用戶打開電子郵件并點擊其中鏈接的一種技術。它可以包括惡意軟件和欺騙網站;Internet 網絡釣魚威脅有很多重疊之處。電子郵件攻擊通常通過員工的企業電子郵件帳戶以員工為目標。

抵御基于電子郵件的網絡釣魚攻擊

實施嚴格的電子郵件保護軟件：通常，威脅行為者會通過帶有鏈接的電子郵件將用戶引導至欺騙性網站，例如重置密碼的說明。

舉辦密集的安全意識培訓課程：員工應該確切地知道在收到不熟悉的電子郵件時要尋找什么。

安裝下一代防火墻：在公共 Internet 和組織的專用網絡之間安裝 NGFW 有助于過濾一些初始惡意流量。

DNS 攻擊

DNS 緩存中毒或劫持會重定向合法站點的 DNS 地址，并在用戶嘗試導航到該網頁時將其帶到惡意站點。

防御 DNS 攻擊

使用 DNS 加密：加密 DNS 連接需要團隊使用 DNSCrypt 協議、基于 TLS 的 DNS 或基于 HTTPS 的 DNS。

隔離 DNS 服務器：部署隔離區 （DMZ） 以將所有 DNS 流量與公共互聯網隔離開來。

隨時了解更新：當宣布更新時，應定期修補所有 DNS 服務器。

DoS 和 DDoS 攻擊

拒絕服務 （DoS） 和分布式拒絕服務 （DDoS） 攻擊是一種威脅，可以通過使機器或整個計算機系統過載來使其癱瘓。眾所周知，它們很難預防，因為它們通常來自外部流量，而不是來自網絡內部的威脅，當它位于您的系統中時，可以找到并停止這些威脅。并非每次 DoS 或 DDoS 攻擊都來自互聯網流量，但其中許多都來自互聯網流量。

防御DoS和DDoS攻擊

實現反向代理：反向代理有自己的 IP 地址，因此當 IP 地址淹沒單個服務器時，它們會轉到代理的 IP 地址，內部服務器的 IP 地址不會那么容易被淹沒。

安裝 Web 應用程序防火墻：可以配置防火墻來監控和阻止不同類型的流量。

部署負載均衡器：通過將網絡流量定向到可以管理網絡流量的來源，負載平衡可以降低流量完全壓垮服務器的風險。

03

不安全或過時的網絡協議

一些舊版本的網絡協議存在已在更高版本中修復的錯誤，但許多企業和系統繼續使用舊協議。最好使用最新的協議版本，至少可以避免已知的威脅，特別是如果您的行業需要某個協議版本來保持符合監管標準。一些最流行的網絡協議包括 SSL、TLS、SNMP、HTTP 和 HTTPS。

SSL & TLS

安全套接字層 （SSL） 和傳輸層安全性 （TLS） 都是網絡安全協議。TLS 1.3 之前的任何 SSL 和 TLS 版本都存在多個弱點，包括允許 POODLE 攻擊和 BEAST 攻擊的漏洞。雖然 TLS 1.3 可能有自己的弱點，這些弱點會隨著時間的推移而被發現，但它確實修復了舊版 TLS 和 SSL 中的已知漏洞。

防御SSL和TLS威脅

更新連接：保持每個網絡連接都升級到最新版本的 TLS。

禁用舊版本：在您的網絡上完全禁用較舊的 SSL 和 TLS 版本可確保它們不會被意外使用。

SNMP （SNMP 協議）

簡單網絡管理協議 （SNMP） 是一種通用的 Internet 協議，旨在管理網絡及其上的設備的作。SNMP 版本 1 和 2 存在已知漏洞，包括未加密傳輸 （v1） 和 IP 地址欺騙 （v2）。版本 3 是三者中的最佳選擇，因為它具有多個加密選項。它旨在解決 v1 和 v2 的問題。

防御 SNMP 威脅

將 SNMP 的所有版本升級到版本 3，以避免以前版本中出現明顯的安全漏洞。

HTTP 協議

超文本傳輸協議是一種本質上并不安全的 Internet 通信協議。安全超文本傳輸協議 （HTTPS） 是 HTTP 的加密版本。所有互聯網連接都應該加密，并且與其他網站的每次通信都應該使用 HTTPS。

防御 HTTP 威脅

阻止 HTTP 訪問：如果任何連接使用 HTTP，請盡快阻止對它們的訪問。

將流量定向到 HTTPS：配置所有嘗試的 HTTP 通信以重定向到 HTTPS。

04

網絡配置錯誤

網絡協議或規則的簡單錯誤配置可能會暴露整個服務器、數據庫或云資源。鍵入一行錯誤代碼或未能安全地設置路由器或交換機都可能導致配置錯誤。配置錯誤的網絡安全命令也很難找到，因為其余的硬件或軟件似乎工作正常。錯誤配置還包括部署不當的交換機和路由器。

常見的錯誤配置包括在硬件和軟件上使用默認或出廠配置，以及未能對網絡進行分段、在應用程序上設置訪問控制或立即修補。

使用設備的默認配置

默認憑證是網絡硬件和軟件上出廠設置的用戶名和密碼。攻擊者通常很容易猜到它們，甚至可能使用“admin”或“password”等基本詞。

防御默認配置威脅

更改所有憑據：立即將任何默認用戶名或密碼切換為更強、更難猜測的憑據。

定期更新密碼：初始密碼更改后，請每隔幾個月切換一次。

分割不充分

網絡分段是一種將網絡拆分為不同部分的技術。如果網絡沒有劃分為子網，惡意流量就更容易在整個網絡中傳播，并有機會破壞許多不同的系統或應用程序。

抵御網絡分段威脅

將網絡劃分為子網，并在它們之間創建安全屏障。分段技術包括為每個網絡設置策略、管理哪些流量可以在子網之間移動以及減少橫向移動。

訪問錯誤配置

當團隊無法安全地實施訪問和身份驗證協議（如強密碼和多因素身份驗證）時，就會發生配置錯誤的訪問控制。這對您的整個網絡來說都是一個重大風險。本地和基于云的系統都需要訪問控制，包括默認情況下不需要身份驗證方法的公有云存儲桶。網絡用戶需要經過授權和身份驗證。

身份驗證要求用戶提供 PIN、密碼或生物識別掃描，以幫助證明他們是他們所聲稱的身份。授權允許用戶在驗證自己并且其身份受信任后查看數據或應用程序。訪問控制允許組織設置權限級別，例如只讀和編輯權限。否則，面臨權限提升攻擊的風險，當威脅行為者進入網絡并通過提升其用戶權限橫向移動時，就會發生這種攻擊。

抵御 Access Misconfiguration 威脅

使用以下提示來降低與訪問相關的錯誤配置風險：

每個應用程序都需要憑據：這包括數據庫、客戶端管理系統以及所有本地和云軟件。

不要忘記云資源：可通過 Internet 訪問的 Cloud Bucket 應具有訪問屏障;否則，它們對擁有存儲桶 URL 的任何人可見。

部署 Zero Trust：員工應該只擁有完成工作所需的訪問級別，稱為最低權限或零信任原則。這有助于減少內部欺詐和意外錯誤。

過時和未修補的網絡資源

網絡硬件和軟件漏洞是隨著時間的推移而顯現出來的缺陷，這需要 IT 和網絡技術人員在供應商或研究人員宣布威脅時隨時了解威脅。

過時的路由器、交換機或服務器無法使用最新的安全更新。然后，這些設備需要額外的保護控制。其他舊設備（如醫院設備）通常不能完全丟棄，因此企業可能必須設置額外的安全性，以防止它們將網絡的其余部分置于風險之中。

抵御補丁管理威脅

不要等待修補已知問題：網絡管理員立即修補固件漏洞至關重要。一旦發現漏洞，威脅行為者就會迅速采取行動，因此 IT 和網絡團隊應該領先一步。

自動化一些工作：自動警報將幫助您的企業團隊保持網絡資源最新，即使他們不是一直處于時鐘狀態。

減少舊技術造成的危害：盡可能淘汰過時的設備。它們將繼續與網絡的其余部分不兼容，如果某些硬件不支持它，則很難保護整個網絡。

05

運營技術

運營技術 （OT） 通常是指觀察和控制工業環境的硬件和軟件。這些環境包括倉庫、建筑工地和工廠。OT 允許企業通過網絡連接的蜂窩技術來管理 HVAC、消防安全和食品溫度。

企業物聯網和工業物聯網 （IIoT） 設備也屬于運營技術。當連接到業務網絡時，OT 可以為威脅行為者提供一扇敞開的大門。

運營技術的危險

較舊的 IOT 設備在設計時并未考慮到重要的網絡安全，因此它們擁有的任何傳統控制措施可能不再足夠或無法修復。最初，工廠和建筑工地的設備和傳感器沒有互聯網連接，也沒有支持 4G 或 5G。當前的 OT 設計使攻擊者很容易通過網絡橫向移動。對于運行時間超過連接到 Internet 的時間的傳統 IOT，實施大規模安全性也非常困難。

運營技術的影響往往遠遠超出 IT 安全，尤其是在食品管理、醫療保健和水處理等關鍵基礎設施中。OT 漏洞可能不僅僅是花費金錢或危及技術資源（如標準網絡漏洞），還可能導致受傷或死亡。

抵御 OT 威脅

執行詳細審計：您需要了解連接到公司網絡的每臺設備，而徹底的審計是最好的方法。

持續監控所有 OT 流量：任何異常都應向 IT 和網絡工程師發送自動警報。配置警報，以便工程師立即了解發生了什么。

對所有無線網絡使用安全連接：如果 OT 設備使用 Wi-Fi，請確保 Wi-Fi 至少使用 WPA2。

VPN 漏洞

盡管虛擬專用網絡 （VPN） 是為組織的網絡通信創建私有隧道的安全工具，但它們仍然可能被攻破。企業應監控直接團隊的 VPN 使用情況和所有第三方 VPN 訪問。

抵御 VPN 威脅

實施最低權限訪問管理：最低權限訪問權限為指定用戶提供完成其工作所需的權限，而不是其他任何權限。

掌握補丁：單個 VPN 解決方案可能有自己的漏洞，因此請確保企業持續監控它們并在需要時修補弱點。

第三方 VPN 訪問

當企業使用 VPN 向合作伙伴或承包商提供對其應用程序的訪問權限時，很難限制這些第三方訪問特定權限。VPN 也不會保留大量數據日志以供以后分析，因此如果第三方濫用其權限，則很難找到違規的具體來源。

抵御第三方 VPN 威脅

也為承包商和其他第三方實施最低權限訪問。它將限制他們對敏感業務數據和應用程序的訪問。

遠程訪問

遠程桌面協議 （RDP） 允許用戶使用一臺計算機與另一臺遠程計算機連接并對其進行控制。在大流行的早期階段，RDP 是最常見的勒索軟件攻擊媒介之一。攻擊者能夠通過 RDP 的漏洞找到后門，或者簡單地通過猜測密碼進行暴力攻擊。遠程訪問木馬還允許攻擊者在惡意軟件通過電子郵件附件或其他軟件下載到計算機后遠程控制計算機。

抵御 RDP 威脅

限制密碼嘗試次數：用戶應該只能輸入幾次密碼。這可以防止暴力攻擊。

設置難以猜中的密碼：要求所有 RDP 憑據都有良好的密碼安全機制。

限制對特定 IP 地址的訪問：僅將附加到員工設備的特定地址列入白名單。

為 RDP 配置嚴格的用戶策略：這包括最低權限訪問。只有那些需要遠程連接以執行其工作的人才應該具有訪問權限。

Wi-Fi 網絡

其他不安全的網絡連接（如不受保護的 Wi-Fi）允許竊賊竊取憑據，然后從咖啡店和其他公共場所登錄業務應用程序。遠程企業有多種遠程訪問公司資源的方法，IT 和安全團隊很難鎖定所有這些方法。

抵御 Wi-Fi 威脅

確保網絡是私有的：如果在小型聯合辦公空間或其他家中工作，那是理想的，但如果在公共場所，請確保 Wi-Fi 需要密碼。

使用 VPN：虛擬專用網絡雖然并非萬無一失，但在 Wi-Fi 不安全時有助于保護您的遠程連接。

來源｜安全結構

編輯｜展麟