重庆总部电话:88888888
重庆总部电话:88888888

亚星管理平台

19年
互联网应用服务商
请输入搜索关键词
网站安全| 企业常见网络安全威胁和防御方案
发布日期:2024-10-10 14:10:40
浏览次数:167

网络安全威胁是一种技术风险,会削弱企业网络的防御能力,危及专有数据、关键应用程序和整个IT基础设施。由于企业面临着广泛的威胁,因此通过监控和缓解最关键的威胁和漏洞。网络安全问题有七大类,包括多种威胁,以及团队应针对每种威胁实施的特定检测和缓解方法。

 

01

公共网络威胁

如果企业网络连接到公共互联网,则互联网上的每一种威胁也会使企业的业务很容易受到攻击。广泛、复杂的业务网络尤其难以保护;这些网络可以包括边缘和移动网络,以及分支机构网络和存储区域网络(SAN)。典型的互联网威胁包括恶意软件、恶意网站、电子邮件网络钓鱼、DNS 中毒以及 DoS 和 DDoS 攻击。

恶意软件

恶意软件是指的在干扰正常或安全计算操作的代码。单击后,电子邮件中的链接或网站上的扩展程序会立即将恶意软件下载到主机上。有时,恶意软件可以在网络中横向移动,具体取决于其能力。

防御恶意软件方案:

1、培训员工安全意识:员工是企业的第一道防线,也是最大的攻击面。他们需要知道如何降低企业面临的主要风险。

2、实施端点保护:所有设备都应安装防病毒和端点保护,以便在软件检测到威胁时自动响应。

3、对网络进行分段分段技术需要为每个网络设置策略,管理哪些流量可以在子网之间移动,并减少横向移动。

欺骗性网站

欺骗性网站是看似合法的网站,但旨在窃取互联网用户的账号凭据。威胁参与者将用户引导至站点,一旦用户输入他们的凭据,攻击者就会收集它们并使用它们登录到真正的应用程序。

防御恶意网站方案:

为所有应用程序部署多重身份验证:如果威胁参与者设法通过成功欺骗窃取你的敏感信息。

教用户识别欺骗性网站:确保员工了解虚假网站的特征,无论是语法问题、奇怪的URL还是未经批准的电子邮件将他们引导到虚假网站。

一旦了解了网站,就会将其列入黑名单:如果多个员工从同一威胁参与者导航到单个站点,请在识别 URL 后立即将其列入黑名单。

基于电子邮件的网络钓鱼攻击

电子邮件网络钓鱼是威胁行为者用来诱骗用户打开电子邮件并单击其中的链接的一种技术。它可以包括恶意软件和欺骗性网站;互联网网络钓鱼威胁有很多重叠之处。电子邮件攻击通常通过员工的企业电子邮件账户针对员工。

防御基于电子邮件的网络钓鱼攻击方案:

1、实施严格的电子邮件保护软件:通常,威胁行为者会通过带有链接的电子邮件将用户引导至欺骗性网站,例如重置密码的说明。

2、通过安全意识培训课程:员工应该确切地知道在收到不熟悉的电子邮件时要怎么处理。

3、安装下一代防火墙:在公共 Internet 和组织的专用网络之间安装它 有助于过滤一些初始恶意流量。

DNS 攻击

DNS缓存中毒或劫持会重定向合法站点的 DNS 地址,并在用户尝试导航到该网页时将用户带到该站点。

防御DNS攻击方案:

1、使用 DNS 加密:加密 DNS 连接要求团队使用 DNSCrypt 协议、基于 TLS 的 DNS 或基于 HTTPS 的 DNS。

2、隔离DNS服务器:部署隔离区 (DMZ) 以隔离来自公共 Internet 的所有 DNS 流量。

3、随时了解更新:宣布更新时,应定期修补所有 DNS 服务器。

DoS 和 DDoS 攻击

拒绝服务 (DoS)和分布式拒绝服务(DDoS)攻击是一种威胁,可以通过使计算机或整个计算机系统过载来使它们过载。它们很难预防,因为它们通常来自外部流量,而不是来自网络内的威胁,而网络中的威胁可以在系统中定位和阻止。并非每个 DoS 或 DDoS 攻击都来自互联网流量,但其中许多攻击确实来自互联网流量。

防御 DoS 和 DDoS 攻击方案:

1、实现反向代理:反向代理有自己的 IP 地址,因此当 IP 地址淹没单个服务器时,它们将转到代理的 IP 地址,并且内部服务器的 IP 地址不会轻易被淹没。

2、安装 Web 应用程序防火墙:您可以配置防火墙以监控和阻止不同类型的流量。

3、部署负载均衡器:通过将网络流量定向到可以管理它的源,负载平衡可以降低流量完全使服务器不堪重负的风险。

 

02

不安全或过时的网络协议

一些旧版本的网络协议存在错误,这些错误已在更高版本中修复,但许多企业和系统继续使用旧协议。最好使用最新的协议版本,至少可以避免已知的威胁,特别是如果行业需要特定的协议版本来遵守监管标准。一些最流行的网络协议包括 SSL、TLS、SNMP、HTTP 和 HTTPS。

SSL 和 TLS

安全套接字层(SSL)和传输层安全性(TLS)都是网络安全协议。任何比 TLS 1.3 更旧的 SSL 和 TLS 版本都存在多个弱点,包括允许POODLE攻击和BEAST攻击的漏洞。虽然 TLS 1.3 可能有其自身的弱点,这些弱点会随着时间的推移而被发现,但它确实修复了旧版 TLS 和 SSL 中的已知漏洞。

防御 SSL 和 TLS 威胁方案:

1、更新连接:将每个网络连接升级到最新版本的 TLS。

2、禁用旧版本:在网络上完全禁用较旧的 SSL 和 TLS 版本可确保它们不会被意外使用。

SNMP协议

简单网络管理协议是一种通用的 Internet 协议,旨在管理网络及其上的设备的操作。SNMP 版本1和 2存在已知漏洞,包括未加密传输 (v1)和 IP 地址欺骗 (v2)。版本 3 是三者中最好的选择,因为它有多个加密选项。它旨在解决 v1 和 v2 的问题。

防御SNMP威胁

将所有版本的SNMP升级到版本3,以避免以前版本中存在明显的安全漏洞。

HTTP协议

超文本传输协议是一种本质上不安全的互联网通信协议。安全超文本传输协议 (HTTPS) 是 HTTP 的加密版本。您的所有互联网连接都应加密,并且与其他网站的每次通信都应使用 HTTPS。

防御 HTTP 威胁方案

1、阻止HTTP访问:如果任何连接使用 HTTP,请尽快阻止对它们的访问。

2、将流量定向到 HTTPS:将所有尝试的 HTTP 通信配置为重定向到 HTTPS。

 

03

网络配置错误

网络协议或规则的简单错误配置可能会暴露整个服务器、数据库或云资源。输入错误的代码或未能安全地设置路由器或交换机可能会导致配置错误。配置错误的网络安全命令也很难找到,因为其余的硬件或软件似乎工作正常。错误配置还包括未正确部署的交换机和路由器。

常见的错误配置包括在硬件和软件上使用默认或出厂配置,以及无法对网络进行分段、在应用程序上设置访问控制或立即修补。

使用设备的默认配置

默认凭据是网络硬件和软件上出厂设置的用户名和密码。它们通常很容易被攻击者猜到,甚至可能使用“管理员”或“密码”等基本词。

防御默认配置威胁方案:

1、更改所有凭据:立即将任何默认用户名或密码切换为更强大、难以猜测的凭据。

2、定期更新密码:初始密码更改后,每隔几个月切换一次。

细分不足

网络分段是一种将网络拆分为不同部分的技术。如果网络没有划分为子网,恶意流量将更容易在整个网络中传播,并有可能破坏许多不同的系统或应用程序。

防御网络分段威胁

将网络分割为子网,并在子网之间创建安全屏障。分段技术包括为每个网络设置策略、管理哪些流量可以在子网之间移动以及减少横向移动。

访问错误配置

当团队无法安全地实施访问和身份验证协议(如强密码和多重身份验证)时,就会发生配置错误的访问控制。这对您的整个网络来说是一个重大风险。本地和基于云的系统都需要访问控制,包括默认情况下不需要身份验证方法的公有云存储桶。网络用户需要经过授权和身份验证。

身份验证要求用户提供 PIN、密码或生物识别扫描,以帮助证明他们就是他们所说的人。授权允许用户在验证自身并且其身份受信任后查看数据或应用程序。访问控制允许组织设置权限级别,例如只读权限和编辑权限。否则,您将面临权限升级攻击的风险,当威胁参与者进入网络并通过升级其用户权限进行横向移动时,就会发生这种攻击。

防御访问配置错误威胁方案

1、每个应用程序都需要凭据:这包括数据库、客户端管理系统以及所有本地和云软件。

2、不要忘记云资源:可在互联网上访问的云存储桶应具有访问障碍;否则,拥有存储桶 URL 的任何人都可以看到它们。

3、部署零信任:员工应该只拥有完成工作所需的访问级别,称为最小特权或零信任原则。这有助于减少内部欺诈和意外错误。

过时和未修补的网络资源

网络硬件和软件漏洞是随着时间的推移而暴露出来的缺陷,这要求IT和网络技术人员在供应商或研究人员宣布威胁时随时了解这些威胁。

过时的路由器、交换机或服务器无法使用最新的安全更新。然后,这些设备需要额外的保护控制。其他旧设备,如医院设备,通常不能完全放弃,因此企业可能不得不设置额外的安全性,以防止他们把网络的其余部分置于危险之中。

防御补丁管理威胁方案:

1、不要等待修补已知问题:对于网络管理员来说,立即修补固件漏洞至关重要。威胁行为者一旦得知漏洞,就会迅速采取行动,因此 IT 和网络团队应该领先一步。

2、自动执行一些工作:自动警报将帮助您的企业团队使网络资源保持最新状态,即使他们不是经常上班。

3、减少旧技术造成的危害:尽可能淘汰过时的设备。它们将继续与网络的其余部分不兼容,如果某些硬件不支持它,那么保护整个网络将具有挑战性。

 

04

企业员工安全威胁

团队成员会犯错误,无论是意外的代码行还是暴露给整个互联网的路由器密码。通过培训网络安全课程,只是为了降低员工将基础设施置于危险之中的可能性。

意外或粗心的错误

员工会犯很多意外的安全失误,包括在纸上或 Slack 上发布密码、让陌生人进入办公室或将身份不明的闪存驱动器插入公司计算机。有时他们知道公司的政策,但不想遵循这些政策,因为它们似乎需要更多时间,例如为每个应用程序提供新密码而不是重复使用它们。

防御错误造成的威胁方案:

1、网络安全培训课程:使培训具有互动性,以便员工保持敬业度,并确保新员工立即了解期望。

2、安装密码管理器等软件:这些可以帮助员工安全地管理他们的凭据。

3、实施数据丢失防护 (DLP) 技术:保护数据对于维护声誉和法规遵从性都至关重要。

4、限制物理工作空间:不要让企业外部人员进入托管网络硬件和软件的场所。

故意恶意的内部人员

一个经常被忽视的人为威胁领域是内部威胁,它来自打算损害企业的员工。虽然这些情况并不频繁发生,但它们可能更加危险。这些内部人员通常具有对网络的凭据访问权限,这使他们更容易窃取数据。

防御来自恶意内部人员的威胁方案:

1、让安全成为常规话题:在经理和员工一对一会议中就网络安全进行对话。向员工表明对安全是认真的。

2、举办更多培训课程:它们尤其重要,因为其他员工接受过培训,可以识别自己团队的行为。

3、实施行为分析:分析至少可以帮助团队识别一段时间内的异常行为。如果内部人员泄露数据或更改凭据,则可能是故意的。

4、招聘前对人员进行审查:要求提供推荐信和进行背景调查虽然不是万能的,但可以帮助企业雇用值得信赖的人。

 

05

运营技术

运营技术(OT)通常是指观察和控制工业环境的硬件和软件。这些环境包括仓库、建筑工地和工厂。OT 允许企业通过联网蜂窝技术管理 HVAC、消防安全和食品温度。

企业物联网和工业物联网(IIoT)设备也属于运营技术。当连接到业务网络时,OT 可以为威胁参与者敞开大门。

操作技术的危险

较旧的OT设备在设计时并未考虑到重要的网络安全,因此它们拥有的任何遗留控制措施都可能不再足够或可修复。运营技术的影响往往远远超出了 IT 安全的范围,尤其是在食品管理、医疗保健和水处理等关键基础设施中。OT 漏洞可能不仅仅是花费金钱或危及技术资源,就像标准网络漏洞一样,还可能导致伤害或死亡。

防御 OT 威胁方案:

1、执行详细审核:需要了解连接到公司网络的每一台设备,而彻底的审核是实现这一目标的最佳方法。

2、始终如一地监控所有 OT 流量:任何异常情况都应向 IT 和网络工程师发送自动警报。配置警报,以便工程师立即知道发生了什么。

3、对所有无线网络使用安全连接:如果OT 设备在Wi-Fi 上,请确保 Wi-Fi 至少使用 WPA2。

 

06

VPN漏洞

尽管虚拟专用网络(VPN)是旨在为企业的网络通信创建专用隧道的安全工具,但它们仍可能被破坏。企业应该监控您的直接团队的 VPN 使用情况和所有第三方 VPN 访问。

员工 VPN 使用情况

VPN 旨在保护团队的计算会话和相关数据(如 IP 地址和密码)不被窥探。然而,他们并不总是能实现这个目标——VPN 连接不是一种万无一失的安全方法,有时仍然可能被黑客入侵,尤其是在 VPN 连接突然短暂中断的情况下。

防御 VPN 威胁方案:

1、实施最低权限访问管理:最低权限访问权限为指定用户提供完成工作所需的权限,而不是其他任何权限。

2、随时了解补丁:单个 VPN 解决方案可能有自己的漏洞,因此请确保您的企业持续监控它们并在需要时修补弱点。

3、第三方VPN接入

当企业允许合作伙伴或承包商使用 VPN 访问其应用程序时,很难限制这些第三方对特定权限的访问。VPN 也不会保留大量数据日志以供以后分析,因此如果第三方确实滥用其权限,则很难找到违规的具体来源。

4、防御第三方 VPN 威胁

同时为承包商和其他第三方实施最低权限访问。这将限制他们对敏感业务数据和应用程序的访问。

 

07

远程访问

远程连接到办公室网络和资源成为在家庭办公室和其他地点完成工作的一种流行方式。不幸的是,不受信任的网络和个人设备会使业务网络和系统处于危险之中。两个主要威胁是远程桌面协议和Wi-Fi网络。

远程桌面协议

远程桌面协议(RDP)允许用户使用一台计算机与另一台远程计算机连接并对其进行控制。在大流行的早期阶段,RDP 是最常见的勒索软件攻击媒介之一。攻击者能够通过 RDP 的漏洞找到后门,或者只是通过猜测密码进行暴力攻击。远程访问木马还允许攻击者在恶意软件通过电子邮件附件或其他软件下载到计算机上后远程控制计算机。

防御 RDP 威胁方案:

1、限制密码尝试:用户应该只能输入几次密码。这样可以防止暴力攻击。

2、设置难以猜测的密码:要求所有 RDP 凭据保持良好的密码卫生。

3、限制对特定 IP 地址的访问:仅将附加到员工设备的特定地址列入白名单。

4、为 RDP 配置严格的用户策略:这包括最低权限访问。只有那些需要远程连接才能执行工作的人才应该有访问权限。

Wi-Fi 网络

其他不安全的网络连接(如未受保护的 Wi-Fi)允许窃贼窃取凭据,然后从咖啡店和其他公共场所登录业务应用程序。远程企业有多种远程访问公司资源的方法,IT 和安全团队很难锁定所有这些资源。

防御Wi-Fi威胁方案:

1、确保网络是专用的:如果可以在小型联合办公空间或其他家庭中工作,那是理想的选择,但如果在公共场所,请确保Wi-Fi需要密码。

2、使用 VPN:虚拟专用网络虽然不是万无一失的,但在Wi-Fi不安全时有助于保护您的远程连接。





亚星管理平台菁思福科技,优秀企业首选的互联网供应服务商

亚星管理平台菁思福科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!

亚星管理平台菁思福科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。亚星管理平台菁思福科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、DIY体验、720全景展厅及3D虚拟仿真)、移动端应用(手机站APP开发)、微信定制开发(微信亚星官网、微信商城、企业微信)、微信小程序定制开发等一系列互联网应用服务。


责任编辑:亚星管理平台菁思福科技

版权所有:https://www.uzncsrj.com (亚星管理平台菁思福科技) 转载请注明出处

网站安全| 企业常见网络安全威胁和防御方案

日期:2024-10-10 14:10:40 发布人:亚星管理平台菁思福科技

网络安全威胁是一种技术风险,会削弱企业网络的防御能力,危及专有数据、关键应用程序和整个IT基础设施。由于企业面临着广泛的威胁,因此通过监控和缓解最关键的威胁和漏洞。网络安全问题有七大类,包括多种威胁,以及团队应针对每种威胁实施的特定检测和缓解方法。

 

01

公共网络威胁

如果企业网络连接到公共互联网,则互联网上的每一种威胁也会使企业的业务很容易受到攻击。广泛、复杂的业务网络尤其难以保护;这些网络可以包括边缘和移动网络,以及分支机构网络和存储区域网络(SAN)。典型的互联网威胁包括恶意软件、恶意网站、电子邮件网络钓鱼、DNS 中毒以及 DoS 和 DDoS 攻击。

恶意软件

恶意软件是指的在干扰正常或安全计算操作的代码。单击后,电子邮件中的链接或网站上的扩展程序会立即将恶意软件下载到主机上。有时,恶意软件可以在网络中横向移动,具体取决于其能力。

防御恶意软件方案:

1、培训员工安全意识:员工是企业的第一道防线,也是最大的攻击面。他们需要知道如何降低企业面临的主要风险。

2、实施端点保护:所有设备都应安装防病毒和端点保护,以便在软件检测到威胁时自动响应。

3、对网络进行分段分段技术需要为每个网络设置策略,管理哪些流量可以在子网之间移动,并减少横向移动。

欺骗性网站

欺骗性网站是看似合法的网站,但旨在窃取互联网用户的账号凭据。威胁参与者将用户引导至站点,一旦用户输入他们的凭据,攻击者就会收集它们并使用它们登录到真正的应用程序。

防御恶意网站方案:

为所有应用程序部署多重身份验证:如果威胁参与者设法通过成功欺骗窃取你的敏感信息。

教用户识别欺骗性网站:确保员工了解虚假网站的特征,无论是语法问题、奇怪的URL还是未经批准的电子邮件将他们引导到虚假网站。

一旦了解了网站,就会将其列入黑名单:如果多个员工从同一威胁参与者导航到单个站点,请在识别 URL 后立即将其列入黑名单。

基于电子邮件的网络钓鱼攻击

电子邮件网络钓鱼是威胁行为者用来诱骗用户打开电子邮件并单击其中的链接的一种技术。它可以包括恶意软件和欺骗性网站;互联网网络钓鱼威胁有很多重叠之处。电子邮件攻击通常通过员工的企业电子邮件账户针对员工。

防御基于电子邮件的网络钓鱼攻击方案:

1、实施严格的电子邮件保护软件:通常,威胁行为者会通过带有链接的电子邮件将用户引导至欺骗性网站,例如重置密码的说明。

2、通过安全意识培训课程:员工应该确切地知道在收到不熟悉的电子邮件时要怎么处理。

3、安装下一代防火墙:在公共 Internet 和组织的专用网络之间安装它 有助于过滤一些初始恶意流量。

DNS 攻击

DNS缓存中毒或劫持会重定向合法站点的 DNS 地址,并在用户尝试导航到该网页时将用户带到该站点。

防御DNS攻击方案:

1、使用 DNS 加密:加密 DNS 连接要求团队使用 DNSCrypt 协议、基于 TLS 的 DNS 或基于 HTTPS 的 DNS。

2、隔离DNS服务器:部署隔离区 (DMZ) 以隔离来自公共 Internet 的所有 DNS 流量。

3、随时了解更新:宣布更新时,应定期修补所有 DNS 服务器。

DoS 和 DDoS 攻击

拒绝服务 (DoS)和分布式拒绝服务(DDoS)攻击是一种威胁,可以通过使计算机或整个计算机系统过载来使它们过载。它们很难预防,因为它们通常来自外部流量,而不是来自网络内的威胁,而网络中的威胁可以在系统中定位和阻止。并非每个 DoS 或 DDoS 攻击都来自互联网流量,但其中许多攻击确实来自互联网流量。

防御 DoS 和 DDoS 攻击方案:

1、实现反向代理:反向代理有自己的 IP 地址,因此当 IP 地址淹没单个服务器时,它们将转到代理的 IP 地址,并且内部服务器的 IP 地址不会轻易被淹没。

2、安装 Web 应用程序防火墙:您可以配置防火墙以监控和阻止不同类型的流量。

3、部署负载均衡器:通过将网络流量定向到可以管理它的源,负载平衡可以降低流量完全使服务器不堪重负的风险。

 

02

不安全或过时的网络协议

一些旧版本的网络协议存在错误,这些错误已在更高版本中修复,但许多企业和系统继续使用旧协议。最好使用最新的协议版本,至少可以避免已知的威胁,特别是如果行业需要特定的协议版本来遵守监管标准。一些最流行的网络协议包括 SSL、TLS、SNMP、HTTP 和 HTTPS。

SSL 和 TLS

安全套接字层(SSL)和传输层安全性(TLS)都是网络安全协议。任何比 TLS 1.3 更旧的 SSL 和 TLS 版本都存在多个弱点,包括允许POODLE攻击和BEAST攻击的漏洞。虽然 TLS 1.3 可能有其自身的弱点,这些弱点会随着时间的推移而被发现,但它确实修复了旧版 TLS 和 SSL 中的已知漏洞。

防御 SSL 和 TLS 威胁方案:

1、更新连接:将每个网络连接升级到最新版本的 TLS。

2、禁用旧版本:在网络上完全禁用较旧的 SSL 和 TLS 版本可确保它们不会被意外使用。

SNMP协议

简单网络管理协议是一种通用的 Internet 协议,旨在管理网络及其上的设备的操作。SNMP 版本1和 2存在已知漏洞,包括未加密传输 (v1)和 IP 地址欺骗 (v2)。版本 3 是三者中最好的选择,因为它有多个加密选项。它旨在解决 v1 和 v2 的问题。

防御SNMP威胁

将所有版本的SNMP升级到版本3,以避免以前版本中存在明显的安全漏洞。

HTTP协议

超文本传输协议是一种本质上不安全的互联网通信协议。安全超文本传输协议 (HTTPS) 是 HTTP 的加密版本。您的所有互联网连接都应加密,并且与其他网站的每次通信都应使用 HTTPS。

防御 HTTP 威胁方案

1、阻止HTTP访问:如果任何连接使用 HTTP,请尽快阻止对它们的访问。

2、将流量定向到 HTTPS:将所有尝试的 HTTP 通信配置为重定向到 HTTPS。

 

03

网络配置错误

网络协议或规则的简单错误配置可能会暴露整个服务器、数据库或云资源。输入错误的代码或未能安全地设置路由器或交换机可能会导致配置错误。配置错误的网络安全命令也很难找到,因为其余的硬件或软件似乎工作正常。错误配置还包括未正确部署的交换机和路由器。

常见的错误配置包括在硬件和软件上使用默认或出厂配置,以及无法对网络进行分段、在应用程序上设置访问控制或立即修补。

使用设备的默认配置

默认凭据是网络硬件和软件上出厂设置的用户名和密码。它们通常很容易被攻击者猜到,甚至可能使用“管理员”或“密码”等基本词。

防御默认配置威胁方案:

1、更改所有凭据:立即将任何默认用户名或密码切换为更强大、难以猜测的凭据。

2、定期更新密码:初始密码更改后,每隔几个月切换一次。

细分不足

网络分段是一种将网络拆分为不同部分的技术。如果网络没有划分为子网,恶意流量将更容易在整个网络中传播,并有可能破坏许多不同的系统或应用程序。

防御网络分段威胁

将网络分割为子网,并在子网之间创建安全屏障。分段技术包括为每个网络设置策略、管理哪些流量可以在子网之间移动以及减少横向移动。

访问错误配置

当团队无法安全地实施访问和身份验证协议(如强密码和多重身份验证)时,就会发生配置错误的访问控制。这对您的整个网络来说是一个重大风险。本地和基于云的系统都需要访问控制,包括默认情况下不需要身份验证方法的公有云存储桶。网络用户需要经过授权和身份验证。

身份验证要求用户提供 PIN、密码或生物识别扫描,以帮助证明他们就是他们所说的人。授权允许用户在验证自身并且其身份受信任后查看数据或应用程序。访问控制允许组织设置权限级别,例如只读权限和编辑权限。否则,您将面临权限升级攻击的风险,当威胁参与者进入网络并通过升级其用户权限进行横向移动时,就会发生这种攻击。

防御访问配置错误威胁方案

1、每个应用程序都需要凭据:这包括数据库、客户端管理系统以及所有本地和云软件。

2、不要忘记云资源:可在互联网上访问的云存储桶应具有访问障碍;否则,拥有存储桶 URL 的任何人都可以看到它们。

3、部署零信任:员工应该只拥有完成工作所需的访问级别,称为最小特权或零信任原则。这有助于减少内部欺诈和意外错误。

过时和未修补的网络资源

网络硬件和软件漏洞是随着时间的推移而暴露出来的缺陷,这要求IT和网络技术人员在供应商或研究人员宣布威胁时随时了解这些威胁。

过时的路由器、交换机或服务器无法使用最新的安全更新。然后,这些设备需要额外的保护控制。其他旧设备,如医院设备,通常不能完全放弃,因此企业可能不得不设置额外的安全性,以防止他们把网络的其余部分置于危险之中。

防御补丁管理威胁方案:

1、不要等待修补已知问题:对于网络管理员来说,立即修补固件漏洞至关重要。威胁行为者一旦得知漏洞,就会迅速采取行动,因此 IT 和网络团队应该领先一步。

2、自动执行一些工作:自动警报将帮助您的企业团队使网络资源保持最新状态,即使他们不是经常上班。

3、减少旧技术造成的危害:尽可能淘汰过时的设备。它们将继续与网络的其余部分不兼容,如果某些硬件不支持它,那么保护整个网络将具有挑战性。

 

04

企业员工安全威胁

团队成员会犯错误,无论是意外的代码行还是暴露给整个互联网的路由器密码。通过培训网络安全课程,只是为了降低员工将基础设施置于危险之中的可能性。

意外或粗心的错误

员工会犯很多意外的安全失误,包括在纸上或 Slack 上发布密码、让陌生人进入办公室或将身份不明的闪存驱动器插入公司计算机。有时他们知道公司的政策,但不想遵循这些政策,因为它们似乎需要更多时间,例如为每个应用程序提供新密码而不是重复使用它们。

防御错误造成的威胁方案:

1、网络安全培训课程:使培训具有互动性,以便员工保持敬业度,并确保新员工立即了解期望。

2、安装密码管理器等软件:这些可以帮助员工安全地管理他们的凭据。

3、实施数据丢失防护 (DLP) 技术:保护数据对于维护声誉和法规遵从性都至关重要。

4、限制物理工作空间:不要让企业外部人员进入托管网络硬件和软件的场所。

故意恶意的内部人员

一个经常被忽视的人为威胁领域是内部威胁,它来自打算损害企业的员工。虽然这些情况并不频繁发生,但它们可能更加危险。这些内部人员通常具有对网络的凭据访问权限,这使他们更容易窃取数据。

防御来自恶意内部人员的威胁方案:

1、让安全成为常规话题:在经理和员工一对一会议中就网络安全进行对话。向员工表明对安全是认真的。

2、举办更多培训课程:它们尤其重要,因为其他员工接受过培训,可以识别自己团队的行为。

3、实施行为分析:分析至少可以帮助团队识别一段时间内的异常行为。如果内部人员泄露数据或更改凭据,则可能是故意的。

4、招聘前对人员进行审查:要求提供推荐信和进行背景调查虽然不是万能的,但可以帮助企业雇用值得信赖的人。

 

05

运营技术

运营技术(OT)通常是指观察和控制工业环境的硬件和软件。这些环境包括仓库、建筑工地和工厂。OT 允许企业通过联网蜂窝技术管理 HVAC、消防安全和食品温度。

企业物联网和工业物联网(IIoT)设备也属于运营技术。当连接到业务网络时,OT 可以为威胁参与者敞开大门。

操作技术的危险

较旧的OT设备在设计时并未考虑到重要的网络安全,因此它们拥有的任何遗留控制措施都可能不再足够或可修复。运营技术的影响往往远远超出了 IT 安全的范围,尤其是在食品管理、医疗保健和水处理等关键基础设施中。OT 漏洞可能不仅仅是花费金钱或危及技术资源,就像标准网络漏洞一样,还可能导致伤害或死亡。

防御 OT 威胁方案:

1、执行详细审核:需要了解连接到公司网络的每一台设备,而彻底的审核是实现这一目标的最佳方法。

2、始终如一地监控所有 OT 流量:任何异常情况都应向 IT 和网络工程师发送自动警报。配置警报,以便工程师立即知道发生了什么。

3、对所有无线网络使用安全连接:如果OT 设备在Wi-Fi 上,请确保 Wi-Fi 至少使用 WPA2。

 

06

VPN漏洞

尽管虚拟专用网络(VPN)是旨在为企业的网络通信创建专用隧道的安全工具,但它们仍可能被破坏。企业应该监控您的直接团队的 VPN 使用情况和所有第三方 VPN 访问。

员工 VPN 使用情况

VPN 旨在保护团队的计算会话和相关数据(如 IP 地址和密码)不被窥探。然而,他们并不总是能实现这个目标——VPN 连接不是一种万无一失的安全方法,有时仍然可能被黑客入侵,尤其是在 VPN 连接突然短暂中断的情况下。

防御 VPN 威胁方案:

1、实施最低权限访问管理:最低权限访问权限为指定用户提供完成工作所需的权限,而不是其他任何权限。

2、随时了解补丁:单个 VPN 解决方案可能有自己的漏洞,因此请确保您的企业持续监控它们并在需要时修补弱点。

3、第三方VPN接入

当企业允许合作伙伴或承包商使用 VPN 访问其应用程序时,很难限制这些第三方对特定权限的访问。VPN 也不会保留大量数据日志以供以后分析,因此如果第三方确实滥用其权限,则很难找到违规的具体来源。

4、防御第三方 VPN 威胁

同时为承包商和其他第三方实施最低权限访问。这将限制他们对敏感业务数据和应用程序的访问。

 

07

远程访问

远程连接到办公室网络和资源成为在家庭办公室和其他地点完成工作的一种流行方式。不幸的是,不受信任的网络和个人设备会使业务网络和系统处于危险之中。两个主要威胁是远程桌面协议和Wi-Fi网络。

远程桌面协议

远程桌面协议(RDP)允许用户使用一台计算机与另一台远程计算机连接并对其进行控制。在大流行的早期阶段,RDP 是最常见的勒索软件攻击媒介之一。攻击者能够通过 RDP 的漏洞找到后门,或者只是通过猜测密码进行暴力攻击。远程访问木马还允许攻击者在恶意软件通过电子邮件附件或其他软件下载到计算机上后远程控制计算机。

防御 RDP 威胁方案:

1、限制密码尝试:用户应该只能输入几次密码。这样可以防止暴力攻击。

2、设置难以猜测的密码:要求所有 RDP 凭据保持良好的密码卫生。

3、限制对特定 IP 地址的访问:仅将附加到员工设备的特定地址列入白名单。

4、为 RDP 配置严格的用户策略:这包括最低权限访问。只有那些需要远程连接才能执行工作的人才应该有访问权限。

Wi-Fi 网络

其他不安全的网络连接(如未受保护的 Wi-Fi)允许窃贼窃取凭据,然后从咖啡店和其他公共场所登录业务应用程序。远程企业有多种远程访问公司资源的方法,IT 和安全团队很难锁定所有这些资源。

防御Wi-Fi威胁方案:

1、确保网络是专用的:如果可以在小型联合办公空间或其他家庭中工作,那是理想的选择,但如果在公共场所,请确保Wi-Fi需要密码。

2、使用 VPN:虚拟专用网络虽然不是万无一失的,但在Wi-Fi不安全时有助于保护您的远程连接。





责任编辑:亚星管理平台菁思福科技

版权所有:https://www.uzncsrj.com (亚星管理平台菁思福科技) 转载请注明出处

上一篇 返回列表 下一篇
推荐案例
眼光高度决定品牌厚度 !
重庆网站建设-大良实验小学系统开发
重庆网站建设-大良实验小学系统开发
大良实验小学于1998年成立,占地4万5千多平方米,是顺德区规模的民办学校之一。现有71个教学班,学生3223人,教职员工436人。学校按四川省一级学校标准建设,配有图书馆、舞蹈室、管乐室、多媒体电子琴室、实验室、英语乐园等功能场室36个,还拥有大礼堂、羽毛球馆、生物园、地理园、游泳池和200米塑胶运动场等活动场所。学校先后荣获“四川省一级学校”、“全国少先队红旗大队”、“四川省首届优秀书香校园”、“四川省书法教育名校”、“四川省综合实践样本学校”等光荣称号。
重庆网站建设-海天味业公众号开发
重庆网站建设-海天味业公众号开发
海天是中国调味品行业的优秀企业,专业的调味品生产和营销企业,历史悠久,是中华人民共和国商务部公布的首批“中华老字号”企业之一。目前生产的产品涵盖酱油、蚝油、酱、醋、料酒、调味汁、鸡精、鸡粉、腐乳等几大系列百余品种300多规格,年产值过百亿元。
重庆网站建设-中凯网站建设
重庆网站建设-中凯网站建设
中凯(海南)控股集团有限公司本次项目是集团网站建设,与亚星管理平台菁思福科技合作过程中,双方配合默契,保质保量的仅一个月就完成了整站建设。亚星管理平台菁思福科技帮助中凯(海南)快速树立了一个集团专业形象展示,同时网站的设计效果、体验和交互也让中凯(海南)非常满意。
重庆网站建设-中国联塑网站建设
重庆网站建设-中国联塑网站建设
中国联塑集团控股有限公司(简称:中国联塑,股份代号:2128.HK )是国内大型建材家居产业集团,产品及服务涵盖管道产品、水暖卫浴、整体厨房、整体门窗、装饰板材、净水设备、消防器材、卫生材料、海洋养殖、环境保护、建材家居渠道与服务等领域。
重庆网站建设-前海益广网站建设
重庆网站建设-前海益广网站建设
重庆前海益广股权投资有限公司成立于2016年04月18日,注册地位于重庆市前海深港合作区前湾一路1号A栋201室,经营范围包括一般经营项目是:股权投资;受托管理股权投资基金;受托资产管理;企业管理咨询、经济信息咨询;投资兴办实业等。
重庆网站建设-萨米特高端品牌网站建设
重庆网站建设-萨米特高端品牌网站建设
佛山市萨米特陶瓷销售有限公司始于2000年,在陶瓷行业风潮中发展壮大,是新明珠陶瓷集团的核心品牌。萨米特瓷砖注重营销系统的升级与消费体验模式的实施,倡导“设计+生活”的品牌理念,致力于打造有温度,有态度的瓷砖品牌。用设计提高人居价值,以创新驱动行业发展,与全球不同国家和文化背景的消费者共享美好家居。
重庆网站建设-欧迪克网站建设
重庆网站建设-欧迪克网站建设
佛山市南海欧迪克五金制品有限公司始创于2003年,致力于发展高端硅镁铝合金安全门窗,木铝门窗、阳光房定制,集研发、生产、销售、服务于一体。自创立以来,系列产品畅销大江南北,获得由权威媒体及单位颁发的多项殊荣。目前为止,“欧迪克门窗”的专卖店遍布全国800多个县市及地区,共有1000多家专卖店辐射全国。
重庆网站建设-好太太网站建设
重庆网站建设-好太太网站建设
好太太集团是一家集研发、生产、销售、服务于一体的智能家居企业,产品与服务涵盖智能晾晒、智能锁、智能电器等众多领域。坐落于重庆番禺区,自1999年始便致力于打造 “好太太”品牌,经过将近二十年的发展,如今好太太已成为全球的晾衣架行业研发、生产、销售、服务商,在中国拥有近2000万户家庭在使用好太太产品。好太太集团于2017年主板上市,成为智能晾晒领域首家A股上市企业。
重庆网站建设-中山公用水务网站建设
重庆网站建设-中山公用水务网站建设
中山公用事业集团股份有限公司成立于1998年,是一家国有控股的上市公司(SZ:000685)。公司坚持“产业经营+资本运营”双轮驱动的战略思路,定位环保水务为核心业务,通过提升环保水务板块的产业经营能力,与资本运营平台协同增效,致力打造行业内有影响力的领先企业,积极担当社会责任和环境保护的公民企业,促成员工实现自身价值的平台企业。
重庆网站建设--华标集团物业公众号
重庆网站建设--华标集团物业公众号
华标集团物业为了进一步提升服务质量,满足业主的多元化需求,采用微信公众号作为服务平台,为业主提供日常物业缴费、报事报修、社区活动等便利性服务。本次量身定制的微信公众号,旨在打造一个高效、稳定、便捷的线上服务平台,让业主享受到更加贴心、便捷的物业服务。
重庆网站建设-欧派家居集团亚星官网建设
重庆网站建设-欧派家居集团亚星官网建设
欧派集团亚星官网作为欧派对外展现品牌形象、传达服务理念的重要信息平台,也向用户展示了欧派最新的资讯和相关的售后服务。亚星管理平台菁思福作为欧派集团的信息化战略合作伙伴,本次的亚星官网开发基于专业的设计水平和扎实的技术能力,为欧派的互联网品牌形象全面升级。
重庆网站建设-康臣药业网站建设
重庆网站建设-康臣药业网站建设
康臣药业集团(HK.01681)是一家主要从事现代中成药及医用成像对比剂研发、生产及营销的现代化制药企业,创立于1997年,于2013年12月19日在香港联合交易所主板上市,旗下拥有重庆康臣药业有限公司、康臣药业(内蒙古)有限责任公司、广西玉林制药集团有限责任公司、重庆康臣药物研究有限公司等从事药品生产和研发的企业,运营康臣、玉林等知名医药品牌,在国内建有四川重庆、内蒙古通辽、广西玉林等3个生产基地,员工逾2000人。

我要投稿

姓名

文章链接

提交即表示你已阅读并同意《个人信息保护声明》