一條網(wǎng)絡(luò)鏈接,一次點(diǎn)擊,一場(chǎng)小贏,一顆貪心,一次充值,一顆不甘心,一場(chǎng)人去財(cái)空的騙局……
近日,電影《孤注一擲》引發(fā)觀影熱潮。這是國(guó)內(nèi)首部曝光境外網(wǎng)絡(luò)詐騙全產(chǎn)業(yè)鏈內(nèi)幕的現(xiàn)實(shí)題材作品,也讓我們切實(shí)地體會(huì)到網(wǎng)絡(luò)安全問(wèn)題關(guān)乎每一個(gè)人。
▲ 圖片來(lái)自網(wǎng)絡(luò)
過(guò)去,我們總以為網(wǎng)絡(luò)威脅離我們很遠(yuǎn),或是自認(rèn)為不會(huì)上當(dāng)受騙。然而,我們往往高估了自己,卻又低估了那些網(wǎng)絡(luò)不法分子。
就像電影《孤注一擲》中,高智商程序員被騙到境外詐騙集團(tuán),無(wú)法逃脫;深陷騙局泥潭的碩士畢業(yè)生,最終走上絕路……
這部以現(xiàn)實(shí)為題材的影片,敲響了我們每一個(gè)人心中的警鐘,也引發(fā)了我們對(duì)網(wǎng)絡(luò)安全的高度關(guān)注。
而謹(jǐn)防網(wǎng)絡(luò)詐騙事件的發(fā)生,除了要提升普通大眾的網(wǎng)絡(luò)安全意識(shí)之外,為大眾提供服務(wù)的企事業(yè)組織更需要加強(qiáng)自身服務(wù)的網(wǎng)絡(luò)安全與可靠性。
況且,從每年曝出的網(wǎng)絡(luò)勒索事件來(lái)看,保護(hù)網(wǎng)絡(luò)安全同樣關(guān)乎著企業(yè)自身財(cái)產(chǎn)安全,甚至是企業(yè)的生死存亡。
近期,攻防對(duì)抗“正在進(jìn)行時(shí)”。這正是一次企業(yè)組織檢測(cè)自身網(wǎng)絡(luò)安全能力的大好時(shí)機(jī)。如何在這場(chǎng)攻防演練中,向企業(yè)自身以及用戶(hù)證明自己的網(wǎng)絡(luò)安全能力,是企業(yè)作為藍(lán)隊(duì)防守方的必達(dá)使命。
1、身份安全是網(wǎng)絡(luò)安全的第一道防線
身份安全作為網(wǎng)絡(luò)安全的第一道防線。無(wú)論是在網(wǎng)絡(luò)詐騙中,還是在企業(yè)攻防演練中,身份信息都是被攻擊的首要目標(biāo)。
據(jù)權(quán)威調(diào)查數(shù)據(jù)顯示:85%的數(shù)據(jù)泄露涉及人的因素,而其中61%的數(shù)據(jù)泄露牽涉到登錄憑證。無(wú)論是人還是登錄憑證,都和身份安全有著緊密聯(lián)系。
因此,企業(yè)如何有效防范和應(yīng)對(duì)各種圍繞“身份”展開(kāi)的攻擊,從而提升企業(yè)身份安全水平,保障企業(yè)自身與用戶(hù)的信息與數(shù)據(jù)安全,是企業(yè)在這場(chǎng)攻防演練中需要重點(diǎn)關(guān)注的環(huán)節(jié)之一。
2、常見(jiàn)的身份攻擊手段與防范建議
派拉軟件列舉了企業(yè)目前面臨的部分最常見(jiàn)的身份攻擊手段,并給出對(duì)應(yīng)的防范建議:
01 釣魚(yú)攻擊
釣魚(yú)攻擊是指攻擊者偽裝成受信任的主體,通過(guò)發(fā)送看似來(lái)自可信、合法來(lái)源的電子郵件為“誘餌”,試圖欺騙受害者打開(kāi),即“上鉤”,從而發(fā)生網(wǎng)絡(luò)釣魚(yú)攻擊。
很多情況下,你可能沒(méi)有意識(shí)到自己已被入侵,這使得攻擊者可以在沒(méi)有任何人懷疑惡意活動(dòng)的情況下追蹤同一組織中的其他人。
從而,將攻擊范圍擴(kuò)大的整個(gè)企業(yè)。這種攻擊結(jié)合了社會(huì)工程和技術(shù),通常用于竊取用戶(hù)數(shù)據(jù),包括登錄憑證、信用卡號(hào)等。
針對(duì)這類(lèi)型的攻擊,企業(yè)可以結(jié)合派拉軟件多因素身份認(rèn)證,也是企業(yè)抵御網(wǎng)絡(luò)釣魚(yú)攻擊的最有效方法。因?yàn)樗诘卿浢舾袘?yīng)用程序時(shí),添加了多重驗(yàn)證。
即使擁有了員工賬號(hào)密碼,多因素身份認(rèn)證平臺(tái)也會(huì)阻止攻擊者使用員工被泄露的憑證。因?yàn)閮H憑這些還不足以進(jìn)入企業(yè)重要應(yīng)用系統(tǒng),還需要結(jié)合短信驗(yàn)證、人臉識(shí)別等多種加強(qiáng)認(rèn)證方式進(jìn)行驗(yàn)證。
其次,企業(yè)還應(yīng)加強(qiáng)實(shí)施嚴(yán)格的密碼管理策略。例如,結(jié)合派拉軟件統(tǒng)一身份管理平臺(tái),自動(dòng)設(shè)置賬戶(hù)密碼復(fù)雜度要求,并要求員工定期更改密碼,以及不允許在多個(gè)應(yīng)用程序中重復(fù)使用一個(gè)密碼等。
02密碼攻擊
密碼通常會(huì)被用作一種個(gè)人訪問(wèn)計(jì)算機(jī)系統(tǒng)或應(yīng)用程序的身份驗(yàn)證工具。因此,針對(duì)密碼的攻擊是攻擊方常采用的攻擊手段之一。
目前用于執(zhí)行密碼攻擊的技術(shù)很多,如使用字典、暴力破解,基于密碼規(guī)則,嘗試密碼猜解等。
其中,字典攻擊是一種使用常用單詞和短語(yǔ)(例如字典中列出的單詞和短語(yǔ))來(lái)嘗試猜測(cè)目標(biāo)密碼的技術(shù);暴力破解則是使用有關(guān)個(gè)人或其職位的基本信息來(lái)嘗試猜測(cè)他們的密碼。例如,姓名、生日等的不同組合。
針對(duì)這類(lèi)型的密碼攻擊,最有效的方法是設(shè)置鎖定策略,使得攻擊者在一定次數(shù)的失敗嘗試后,平臺(tái)會(huì)自動(dòng)鎖定對(duì)設(shè)備、網(wǎng)站或應(yīng)用程序的訪問(wèn),從而禁止攻擊者再次訪問(wèn)。
若已經(jīng)制定了鎖定政策,并發(fā)現(xiàn)帳戶(hù)由于登錄嘗試次數(shù)過(guò)多而被鎖定,系統(tǒng)即刻提醒改密操作,甚至強(qiáng)制執(zhí)行。
當(dāng)然,企業(yè)存在的弱密碼、默認(rèn)密碼往往是極易被攻克的。所以,企業(yè)統(tǒng)一身份管理系統(tǒng)具備定期監(jiān)測(cè)企業(yè)高危賬戶(hù)密碼功能,并及時(shí)提醒也是必不可少的。
03撞庫(kù)攻擊
撞庫(kù)攻擊通常是使用自動(dòng)化工具在不同的網(wǎng)站和服務(wù)上嘗試大量用戶(hù)名和密碼組合來(lái)找到對(duì)應(yīng)的匹配項(xiàng)。
通俗理解就是攻擊者通過(guò)收集已泄露的用戶(hù)和密碼信息,生成對(duì)應(yīng)的字典表,嘗試批量登陸其他系統(tǒng)應(yīng)用后,得到一系列可以登錄的賬號(hào)密碼。
這樣的攻擊能成功往往是由于很多用戶(hù)在不同系統(tǒng)應(yīng)用中使用的是相同的賬號(hào)密碼,因此攻擊者可以通過(guò)獲取用戶(hù)在A網(wǎng)站的賬戶(hù)嘗試登錄B網(wǎng)址,也就是進(jìn)行撞庫(kù)攻擊。
撞庫(kù)攻擊取決于密碼的重復(fù)使用。因此,結(jié)合身份管理平臺(tái),利用技術(shù)手段強(qiáng)制員工用戶(hù)執(zhí)行嚴(yán)格的賬戶(hù)密碼管理策略,是企業(yè)有效防范該類(lèi)攻擊的有效方法之一。例如,針對(duì)密碼強(qiáng)度、定期修改密碼等;
此外,加強(qiáng)人機(jī)防控策略,將包括登錄、注冊(cè)、找回密碼、獲取短信驗(yàn)證碼等接口中“機(jī)器”的訪問(wèn)請(qǐng)求和“真實(shí)的人”區(qū)別出來(lái);加強(qiáng)重要系統(tǒng)的二次認(rèn)證等。
04注入攻擊
注入攻擊是指攻擊者使用惡意代碼注入或感染 Web 應(yīng)用程序以檢索個(gè)人信息或破壞企業(yè)系統(tǒng)的過(guò)程。
攻擊者誘使企業(yè)系統(tǒng)認(rèn)為該命令是由管理員發(fā)起的,并盲目地處理該命令。常見(jiàn)注入攻擊有SQL注入、代碼注入等。
針對(duì)注入攻擊,你會(huì)發(fā)現(xiàn)用戶(hù)輸入是它的主要來(lái)源。所以控制用戶(hù)對(duì)應(yīng)用程序的輸入,則可以很好地避免注入攻擊。
因此,企業(yè)可以采取最小權(quán)限模型,結(jié)合身份管理,通過(guò)控制管理員權(quán)限來(lái)限制外部攻擊者獲得該賬戶(hù)權(quán)限時(shí)的訪問(wèn),并結(jié)合使用參數(shù)傳值、基礎(chǔ)過(guò)濾和二次過(guò)濾、漏洞檢測(cè)工具、安全參數(shù)、數(shù)據(jù)庫(kù)加密等策略。
除上述列舉的4大攻擊之外,像會(huì)話劫持、惡意軟件攻擊等等,幾乎所有場(chǎng)景攻擊利用最終都需要用到身份。這也是為什么身份安全一直以來(lái)都是企業(yè)安全的基礎(chǔ)設(shè)施。
而隨著網(wǎng)絡(luò)邊界的日益模糊,身份被定義為新的安全邊界。網(wǎng)絡(luò)架構(gòu)有了新發(fā)展,攻防趨勢(shì)也隨之變化。過(guò)去基于威脅特征“一刀切”的黑名單機(jī)制將逐漸被以“身份”為中心的零信任安全架構(gòu)為代表的白環(huán)境分析手段替代。
企業(yè)組織除了采取攻防演練來(lái)提升對(duì)網(wǎng)絡(luò)攻擊的應(yīng)對(duì)防范能力之外,也需要跟隨技術(shù)發(fā)展步伐,與時(shí)俱進(jìn)創(chuàng)新變革企業(yè)安全管理架構(gòu);
在滿(mǎn)足企業(yè)數(shù)字化安全發(fā)展需求,賦能業(yè)務(wù)價(jià)值創(chuàng)新的同時(shí),為用戶(hù)服務(wù)提供足夠的安全保障,為這場(chǎng)沒(méi)有終點(diǎn)的網(wǎng)絡(luò)安全對(duì)抗賽隨時(shí)隨地做好準(zhǔn)備!