常见网络安全威胁和防御措施

网络安全威胁是一种技术风险，会削弱企业网络的防御能力，危及专有数据、关键应用程序和整个 IT 基础设施。由于企业面临广泛的威胁，因此他们应该仔细监控和缓解最关键的威胁和漏洞。网络安全问题有七大类，它们都包括多种威胁，以及您的团队应针对每种威胁实施的特定检测和缓解方法。

如果企业网络连接到公共互联网，则互联网上的各种威胁也可能使企业容易受到攻击。广泛、复杂的业务网络尤其难以保护;这些网络可以包括边缘和移动网络，以及分支机构网络和存储区域网络 （SAN）。典型的 Internet 威胁包括恶意软件、恶意网站、电子邮件网络钓鱼、DNS 中毒以及 DoS 和 DDoS 攻击。

恶意软件

恶意软件 是旨在干扰正常或安全计算作的代码。单击后，电子邮件中的链接或网站上的扩展会立即将恶意软件下载到主机上。有时，恶意软件可以在网络中横向移动，具体取决于其能力。

防御恶意软件

培训员工：员工是组织的第一道防线，也是最大的攻击面。他们需要知道如何降低企业面临的主要风险。

实施端点保护：所有设备都应安装防病毒和端点保护，以便在软件检测到威胁时自动响应。

对网络进行分段：分段技术需要为每个网络设置策略，管理哪些流量可以在子网之间移动，并减少横向移动。

欺骗性网站

欺骗性网站是看似合法但旨在窃取 Internet 用户帐户凭据的网站。威胁行为者将用户引导至该站点，一旦用户输入了他们的凭据，攻击者就会收集这些凭据并使用它们登录真实的应用程序。

抵御恶意网站

为所有应用程序部署多重身份验证：如果威胁行为者通过成功的欺骗设法窃取您的凭据，他们将更难通过 MFA。

教用户识别欺骗性网站：确保您的员工了解虚假网站的特征，无论是语法问题、奇怪的 URL 还是将他们引导到那里的未经批准的电子邮件。

一旦你了解了它们，就把它们列入黑名单：如果多名员工从同一威胁行为者导航到单个站点，请在发现 URL 后立即将其列入黑名单。

电子邮件网络钓鱼是威胁行为者用来诱骗用户打开电子邮件并点击其中链接的一种技术。它可以包括恶意软件和欺骗网站;Internet 网络钓鱼威胁有很多重叠之处。电子邮件攻击通常通过员工的企业电子邮件帐户以员工为目标。

抵御基于电子邮件的网络钓鱼攻击

实施严格的电子邮件保护软件：通常，威胁行为者会通过带有链接的电子邮件将用户引导至欺骗性网站，例如重置密码的说明。

举办密集的安全意识培训课程：员工应该确切地知道在收到不熟悉的电子邮件时要寻找什么。

安装下一代防火墙：在公共 Internet 和组织的专用网络之间安装 NGFW 有助于过滤一些初始恶意流量。

DNS 攻击

DNS 缓存中毒或劫持会重定向合法站点的 DNS 地址，并在用户尝试导航到该网页时将其带到恶意站点。

防御 DNS 攻击

使用 DNS 加密：加密 DNS 连接需要团队使用 DNSCrypt 协议、基于 TLS 的 DNS 或基于 HTTPS 的 DNS。

隔离 DNS 服务器：部署隔离区 （DMZ） 以将所有 DNS 流量与公共互联网隔离开来。

随时了解更新：当宣布更新时，应定期修补所有 DNS 服务器。

DoS 和 DDoS 攻击

拒绝服务 （DoS） 和分布式拒绝服务 （DDoS） 攻击是一种威胁，可以通过使机器或整个计算机系统过载来使其瘫痪。众所周知，它们很难预防，因为它们通常来自外部流量，而不是来自网络内部的威胁，当它位于您的系统中时，可以找到并停止这些威胁。并非每次 DoS 或 DDoS 攻击都来自互联网流量，但其中许多都来自互联网流量。

防御DoS和DDoS攻击

实现反向代理：反向代理有自己的 IP 地址，因此当 IP 地址淹没单个服务器时，它们会转到代理的 IP 地址，内部服务器的 IP 地址不会那么容易被淹没。

安装 Web 应用程序防火墙：可以配置防火墙来监控和阻止不同类型的流量。

部署负载均衡器：通过将网络流量定向到可以管理网络流量的来源，负载平衡可以降低流量完全压垮服务器的风险。

一些旧版本的网络协议存在已在更高版本中修复的错误，但许多企业和系统继续使用旧协议。最好使用最新的协议版本，至少可以避免已知的威胁，特别是如果您的行业需要某个协议版本来保持符合监管标准。一些最流行的网络协议包括 SSL、TLS、SNMP、HTTP 和 HTTPS。

SSL & TLS

安全套接字层 （SSL） 和传输层安全性 （TLS） 都是网络安全协议。TLS 1.3 之前的任何 SSL 和 TLS 版本都存在多个弱点，包括允许 POODLE 攻击和 BEAST 攻击的漏洞。虽然 TLS 1.3 可能有自己的弱点，这些弱点会随着时间的推移而被发现，但它确实修复了旧版 TLS 和 SSL 中的已知漏洞。

防御SSL和TLS威胁

更新连接：保持每个网络连接都升级到最新版本的 TLS。

禁用旧版本：在您的网络上完全禁用较旧的 SSL 和 TLS 版本可确保它们不会被意外使用。

SNMP （SNMP 协议）

简单网络管理协议 （SNMP） 是一种通用的 Internet 协议，旨在管理网络及其上的设备的作。SNMP 版本 1 和 2 存在已知漏洞，包括未加密传输 （v1） 和 IP 地址欺骗 （v2）。版本 3 是三者中的最佳选择，因为它具有多个加密选项。它旨在解决 v1 和 v2 的问题。

防御 SNMP 威胁

将 SNMP 的所有版本升级到版本 3，以避免以前版本中出现明显的安全漏洞。

HTTP 协议

超文本传输协议是一种本质上并不安全的 Internet 通信协议。安全超文本传输协议 （HTTPS） 是 HTTP 的加密版本。所有互联网连接都应该加密，并且与其他网站的每次通信都应该使用 HTTPS。

防御 HTTP 威胁

阻止 HTTP 访问：如果任何连接使用 HTTP，请尽快阻止对它们的访问。

将流量定向到 HTTPS：配置所有尝试的 HTTP 通信以重定向到 HTTPS。

网络协议或规则的简单错误配置可能会暴露整个服务器、数据库或云资源。键入一行错误代码或未能安全地设置路由器或交换机都可能导致配置错误。配置错误的网络安全命令也很难找到，因为其余的硬件或软件似乎工作正常。错误配置还包括部署不当的交换机和路由器。

常见的错误配置包括在硬件和软件上使用默认或出厂配置，以及未能对网络进行分段、在应用程序上设置访问控制或立即修补。

使用设备的默认配置

默认凭证是网络硬件和软件上出厂设置的用户名和密码。攻击者通常很容易猜到它们，甚至可能使用“admin”或“password”等基本词。

防御默认配置威胁

更改所有凭据：立即将任何默认用户名或密码切换为更强、更难猜测的凭据。

定期更新密码：初始密码更改后，请每隔几个月切换一次。

分割不充分

网络分段是一种将网络拆分为不同部分的技术。如果网络没有划分为子网，恶意流量就更容易在整个网络中传播，并有机会破坏许多不同的系统或应用程序。

抵御网络分段威胁

将网络划分为子网，并在它们之间创建安全屏障。分段技术包括为每个网络设置策略、管理哪些流量可以在子网之间移动以及减少横向移动。

访问错误配置

当团队无法安全地实施访问和身份验证协议（如强密码和多因素身份验证）时，就会发生配置错误的访问控制。这对您的整个网络来说都是一个重大风险。本地和基于云的系统都需要访问控制，包括默认情况下不需要身份验证方法的公有云存储桶。网络用户需要经过授权和身份验证。

身份验证要求用户提供 PIN、密码或生物识别扫描，以帮助证明他们是他们所声称的身份。授权允许用户在验证自己并且其身份受信任后查看数据或应用程序。访问控制允许组织设置权限级别，例如只读和编辑权限。否则，面临权限提升攻击的风险，当威胁行为者进入网络并通过提升其用户权限横向移动时，就会发生这种攻击。

抵御 Access Misconfiguration 威胁

使用以下提示来降低与访问相关的错误配置风险：

每个应用程序都需要凭据：这包括数据库、客户端管理系统以及所有本地和云软件。

不要忘记云资源：可通过 Internet 访问的 Cloud Bucket 应具有访问屏障;否则，它们对拥有存储桶 URL 的任何人可见。

部署 Zero Trust：员工应该只拥有完成工作所需的访问级别，称为最低权限或零信任原则。这有助于减少内部欺诈和意外错误。

过时和未修补的网络资源

网络硬件和软件漏洞是随着时间的推移而显现出来的缺陷，这需要 IT 和网络技术人员在供应商或研究人员宣布威胁时随时了解威胁。

过时的路由器、交换机或服务器无法使用最新的安全更新。然后，这些设备需要额外的保护控制。其他旧设备（如医院设备）通常不能完全丢弃，因此企业可能必须设置额外的安全性，以防止它们将网络的其余部分置于风险之中。

抵御补丁管理威胁

不要等待修补已知问题：网络管理员立即修补固件漏洞至关重要。一旦发现漏洞，威胁行为者就会迅速采取行动，因此 IT 和网络团队应该领先一步。

自动化一些工作：自动警报将帮助您的企业团队保持网络资源最新，即使他们不是一直处于时钟状态。

减少旧技术造成的危害：尽可能淘汰过时的设备。它们将继续与网络的其余部分不兼容，如果某些硬件不支持它，则很难保护整个网络。

运营技术 （OT） 通常是指观察和控制工业环境的硬件和软件。这些环境包括仓库、建筑工地和工厂。OT 允许企业通过网络连接的蜂窝技术来管理 HVAC、消防安全和食品温度。

企业物联网和工业物联网 （IIoT） 设备也属于运营技术。当连接到业务网络时，OT 可以为威胁行为者提供一扇敞开的大门。

运营技术的危险

较旧的 IOT 设备在设计时并未考虑到重要的网络安全，因此它们拥有的任何传统控制措施可能不再足够或无法修复。最初，工厂和建筑工地的设备和传感器没有互联网连接，也没有支持 4G 或 5G。当前的 OT 设计使攻击者很容易通过网络横向移动。对于运行时间超过连接到 Internet 的时间的传统 IOT，实施大规模安全性也非常困难。

运营技术的影响往往远远超出 IT 安全，尤其是在食品管理、医疗保健和水处理等关键基础设施中。OT 漏洞可能不仅仅是花费金钱或危及技术资源（如标准网络漏洞），还可能导致受伤或死亡。

抵御 OT 威胁

执行详细审计：您需要了解连接到公司网络的每台设备，而彻底的审计是最好的方法。

持续监控所有 OT 流量：任何异常都应向 IT 和网络工程师发送自动警报。配置警报，以便工程师立即了解发生了什么。

对所有无线网络使用安全连接：如果 OT 设备使用 Wi-Fi，请确保 Wi-Fi 至少使用 WPA2。

VPN 漏洞

尽管虚拟专用网络 （VPN） 是为组织的网络通信创建私有隧道的安全工具，但它们仍然可能被攻破。企业应监控直接团队的 VPN 使用情况和所有第三方 VPN 访问。

抵御 VPN 威胁

实施最低权限访问管理：最低权限访问权限为指定用户提供完成其工作所需的权限，而不是其他任何权限。

掌握补丁：单个 VPN 解决方案可能有自己的漏洞，因此请确保企业持续监控它们并在需要时修补弱点。

第三方 VPN 访问

当企业使用 VPN 向合作伙伴或承包商提供对其应用程序的访问权限时，很难限制这些第三方访问特定权限。VPN 也不会保留大量数据日志以供以后分析，因此如果第三方滥用其权限，则很难找到违规的具体来源。

抵御第三方 VPN 威胁

也为承包商和其他第三方实施最低权限访问。它将限制他们对敏感业务数据和应用程序的访问。

远程访问

远程桌面协议 （RDP） 允许用户使用一台计算机与另一台远程计算机连接并对其进行控制。在大流行的早期阶段，RDP 是最常见的勒索软件攻击媒介之一。攻击者能够通过 RDP 的漏洞找到后门，或者简单地通过猜测密码进行暴力攻击。远程访问木马还允许攻击者在恶意软件通过电子邮件附件或其他软件下载到计算机后远程控制计算机。

抵御 RDP 威胁

限制密码尝试次数：用户应该只能输入几次密码。这可以防止暴力攻击。

设置难以猜中的密码：要求所有 RDP 凭据都有良好的密码安全机制。

限制对特定 IP 地址的访问：仅将附加到员工设备的特定地址列入白名单。

为 RDP 配置严格的用户策略：这包括最低权限访问。只有那些需要远程连接以执行其工作的人才应该具有访问权限。

Wi-Fi 网络

其他不安全的网络连接（如不受保护的 Wi-Fi）允许窃贼窃取凭据，然后从咖啡店和其他公共场所登录业务应用程序。远程企业有多种远程访问公司资源的方法，IT 和安全团队很难锁定所有这些方法。

抵御 Wi-Fi 威胁

确保网络是私有的：如果在小型联合办公空间或其他家中工作，那是理想的，但如果在公共场所，请确保 Wi-Fi 需要密码。

使用 VPN：虚拟专用网络虽然并非万无一失，但在 Wi-Fi 不安全时有助于保护您的远程连接。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力。

原文链接：https://mp.weixin.qq.com/s/c9JDPfX6NaImz74Ss_vftw