企业网络安全问题解析:DDOS攻击、APT渗透与新漏洞的影响
我们今天面临许多网络安全问题,而由于竞争和利润驱动的企业,它们已成为最脆弱的目标。最常见的是 DDOS:这种攻击通常具有国际政治目标。例如,最大的“匿名者”组织曾利用DDOS攻击瘫痪菲律宾国家DNS,导致整个国家网络瘫痪。
另外,多年来APT的持续渗透也尤为显着,比如华为窃听事件:
除此之外,由于网络安全事件的突发性,新漏洞的出现往往波及面广,后果严重。
比如漏洞,淘宝也受到了影响。此事件发生后,不少业内人士调侃称,要么是在买硬盘,要么是在买硬盘的路上。 (该漏洞可导致每次执行请求不到1秒即可检索到两个淘宝账号密码)
阿里巴巴当然第一时间响应,紧急修复了漏洞,涉事网站也立即下线。当然,后来的新闻报道是这样的:
原来这是美国掌握多年的0day,我们不禁要问:
从目前国内的安全形势来看,并不算太乐观。企业中经常会出现各种问题,这些问题是由开发、运维、人员的安全意识造成的。
应用程序漏洞、常见开发框架漏洞、弱密码等现象随处可见,这些都影响着企业的安全。
那么回过头来看,我们看到,面对层出不穷的安全事件和不断暴露的新漏洞,企业的安全建设一定是一个动态的、持续的过程。安全保障体系建立后,会发生动态调整和变化。它使安全事件或漏洞消失,并且是一个持续处于稳定状态的过程。
企业安全面临的问题
那么如何构建企业安全呢?如何从无到有快速构建成熟的安全体系?
首先,企业安全必须落实一件事,就是人的问题。
安全需要专业人员来处理,专业的事情交给专门的人。明确相关责任人后,要明确安全投入的方向。最后,安全需要与自身业务结合起来。
有的公司从事互联网电子商务,有的公司从事互联网金融的P2P领域。每个公司的业务都有自己的特点,适合自己业务的安全才是最合适的。
这时,企业常常会问,如何才能找到安全专业人员?安全专业人员通常需要具备多方面的专业技能。安全是一项非常复杂的技能和工艺。
https://img0.baidu.com/it/u=675532497,2257098998&fm=253&fmt=JPEG&app=138&f=JPEG?w=500&h=674
不同的艺术家有不同的特点。安全技能与其他艺术家技能一样,也是一种技能。企业在招聘保安人员时,必须注意:
其次,人员到位后,公司要投入资金。
如果你想建立良好的安全性,你必须愿意投资,并在正确的方向上进行适当的安全投资。这些投资点一定是你自身业务安全最需要的薄弱环节。例如,如果您建立一个网站,您可能需要建立一个WAF来完成它。游戏行业最怕DDOS攻击,必须有相应的流量清洗设备。
当然,钱也不能乱花,不然买一堆装备只会变成马其诺防线。
常见的安全防护产品布局:
这个产品能解决所有的安全问题吗?比如说有了WAF,就可以攻破黑客的防御吗?
攻防之间始终存在着不断的对抗,存在着WAF的规则防御被绕过的风险,如下图所示。
传统安全已无法满足企业网络内资产动态变化的需求。以下是传统解决方案面临的一些问题。
攻击与防御
入侵检测
当前,大量敏捷开发、大量业务量变化和扩张,资产监管难度成为首要问题。这时就需要一个持续的安全系统来跟随企业内部资产的动态变化,做出持续的安全响应。
面对安全风险,一般需要做到以下几点:
当发生安全事件时,尽快意识到系统存在的风险,还原入侵攻击事件的日志,还原攻击者所做的事情,然后修复发现的漏洞。
安全除了在企业内部建立内部安全自适应安全体系外,还需要专业人员来实施。下面介绍一下自适应安全系统:
企业安全体系建设
如上图所示,从人员角度来看,安全分为预警、防护、响应、监控四大维度。不同的维度要求保安人员具备不同的技能。
当我们有了相关的防护体系和人员技能后,我们还需要对不同的业务系统进行安全评估。常见的安全评估包括:漏洞扫描、配置检查、渗透测试、代码审计等。
https://img0.baidu.com/it/u=2150539882,3945623460&fm=253&fmt=JPEG&app=120&f=JPEG?w=617&h=408
安全评估的对象也很多。例如,可以对网站、移动应用、智能硬件设备等进行全面的安全评估,但安全评估只是发现问题,然后修复问题。因此,安全评估建立后,需要持续约束发展。这个时候,从发展的角度介入安全就显得尤为重要。
例如,对于开发中的安全生命周期,必须建立完整的开发安全体系。为什么要从开发开始涉足安全?仅仅发现安全问题并解决它还不够吗?
从产品修复成本来看,事后发现问题后修复的成本往往比开发阶段介入安全的成本要大得多。当设计阶段加入安全建模来识别风险时,企业的发展就有了安全的开发模型和思维。
说完安全发展,我们再来看看安全基线体系。每个企业都会有自己的安全基线系统。这些基线系统的建立过程也需要长期的动态建立:
当安全评估、开发安全、安全基线体系等业务安全三大体系建立起来后,企业的安全建设就开始成型。
但最重要的问题来了,安全的基础是什么? ——这是人。
企业内部员工的安全意识培训和教育尤为重要。例如,电子邮件网络钓鱼和社会工程被用来窃取重要的公司信息。通常企业的财务和行政人员的安全意识较差。他们经常收到冒充领导的电子邮件,询问企业内部财务和行政信息。这些人员不假思索地将整个企业的信息发送到一封电子邮件中,标题是:在总是有人询问的邮箱中。
还有今年年初最流行的电子邮件勒索病毒:
公司成立之初,没有人点击它。公司安全管理员提醒大家不要点击后,一群人就上当了。硬盘驱动器已加密并锁定。当我问这些人为什么要打开它时,他们得到的答案是出于好奇,我想看看电子邮件病毒是什么样子的......
因此,企业安全体系的最后一个环节是人员安全意识。企业必须有自己的安全规章制度来执行。
日常安全办公参考
最后为大家提供日常安全办公的一些参考。如上图所示,企业日常需要加强这些方面。这里简单说两点:
移动存储
我们知道U盘是不能随便插的。因为U盘中的文件可以轻松恢复。
事实上,这种恢复的数据不仅限于USB驱动器。例如有专门的数据恢复软件。许多人只是删除存储的照片、视频和其他数据,然后将其转移给二手商户。如果这些数据被恢复,对个人的影响将是巨大的。 (一些名人以前也发生过类似事件。)
加密存储
重要的客户信息必须加密存储,或使用驱动器加密。上图是我们公司使用的加密软件。
页:
[1]