随着政企用户数字化转型的深入,也带来了更多的未知网络安全风险。平时,企业网络安全人员全天值守,遇到问题也能够快速处理。国庆8天小长假将至,为了让网络安全人也有一个愉快的假期,奇安信根据近年来的网络安全应急响应实践,总结出了长假期间政企用户常见的七大网络安全风险。希望能帮助网络安全人提前做好预防和排查,避免“踩坑”。
风险1:勒索病毒
风险特点:系统一旦遭受勒索病毒攻击,将会使大多数文件被加密,并添加一个特殊的后缀,导致受害者无法读取原本正常的文件,从而造成无法估量的损失。攻击者通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
如何预防:网络安全人员可以充分利用云端免疫技术,由云端下发免疫策略或补丁,帮助用户做好防护或打补丁,对于无法打补丁的用户终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,这种技术已应用于奇安信终端安全方案中。但是云端免疫技术只是一种折中方案,其安全性仍然比打了补丁的系统有一定差距。
风险2:挖矿木马
风险特点:挖矿木马会利用各种方式入侵系统,利用被入侵系统的计算能力挖掘加密数字货币来牟利。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改计划任务、防火墙配置、系统动态链接库等,这些技术手段严重时可能造成服务器业务中断。
风险3:Webshell脚本
风险特点:网页中一旦被植入了Webshell,攻击者就能利用它获取服务器系统权限、控制“肉鸡”发起DDoS攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等一系列攻击行为。
风险4:网页篡改
风险特点:网页篡改一般有明显的网页篡改和隐藏式两种。明显的网页篡改如攻击者为炫耀自己的技术技巧或表明自己的观点,如YouTube被黑客入侵大量MV消失和简介被篡改事件;隐藏式篡改一般是将被攻击网站植入色情、诈骗等非法信息,再通过灰黑色产业牟取非法的经济利益。
如何预防:网络安全人员可以采取以下的技术手段,阻止网页被篡改或将危害降到最低。为服务器升级到最新的安全补丁,打补丁主要是为了防止缓冲溢出和设计缺陷等攻击。封闭未用但已经开放的网络服务端口以及未使用的服务。使用复杂的管理员密码。网站程序要有合理的设计并注意安全代码的编写。设置合适的网站权限,对网站目录文件权限设置原则是只分配需要写入的目录写的权限,其它全为只读权限。采取安装ARP防火墙并手动绑定网关mac地址等措施防止ARP欺骗的发生。
风险5:DDoS攻击
风险特点:绝大部分的DDoS攻击都是通过僵尸网络产生的,当确定受害者的IP或域名后,僵尸网络控制者发送攻击指令后,随后就可以断开连接,指令在僵尸程序间自行传播和执行,每台僵尸主机都将做出响应,同时向目标发送请求,这可能致使目标服务器或网络溢出,导致拒绝服务。
风险6:数据泄露
风险特点:数据泄露主要是外部数据泄露和内部数据泄露。外部数据泄露包括政企用户自身的供应链、第三方供应商以及通过搜索引擎、网盘、公开的代码仓库、社交网络等互联网渠道所导致的数据泄露;内部数据泄露主要包括内部人员窃密、终端木马窃取,基础支撑平台、内部应用系统等数据违规导出所导致的数据泄露。
针对数据内部泄露问题,要针对业务系统运营人员和运维研发人员的访问权限做好访问控制,建立终端准入机制,统一部署杀毒和终端管控软件,通过安全意识培训培养良好的终端使用习惯,避免数据通过终端被窃取。
风险7:流量劫持
如何预防:常见的流量劫持有DNS劫持、HTTP劫持、链路层劫持等。针对DNS劫持,网络安全人员可以通过锁定Hosts文件不允许修改,配置本地DNS为自动获取或设置为可信DNS服务器,路由器采用强口令密码策略,使用加密协议进行DNS查询等方式预防。HTTP劫持关键点在于识别HTTP协议和HTTP协议为明文协议,通过使用HTTPS进行数据交互即可预防HTTP劫持。针对链路层的TCP劫持,可以使用加密通信以及避免使用共享式网络。针对ARP劫持可以避免使用共享式网络、将IP和MAC静态绑定、使用具有ARP防护功能的终端安全软件和网络设备等方式有效预防。