根據(jù)安全服務(wù)供應(yīng)商Trustwave的研究數(shù)據(jù)顯示,雖然很多應(yīng)用程序漏洞都是已知的且可被阻止的,但很多企業(yè)都沒有部署安全編碼做法或定期測試其應(yīng)用程序來查找漏洞。Trustwave事件響應(yīng)和取證主管Chris Pogue表示,如果企業(yè)忽視這些基本的網(wǎng)絡(luò)安全做法,他們根本無法阻止更高級(jí)的攻擊。
網(wǎng)絡(luò)給企業(yè)帶來各種各樣的安全威脅,下面我們列出了威脅企業(yè)的10個(gè)網(wǎng)絡(luò)威脅:
1. DDoS攻擊
IT專家認(rèn)為分布式拒絕服務(wù)攻擊就是:大量數(shù)據(jù)包涌入受害者的網(wǎng)絡(luò),讓有效請(qǐng)求無法通過。但這只是最基本的DDoS攻擊形式,防御方面的改進(jìn)已經(jīng)迫使攻擊者改變了他們的攻擊方式。DDoS攻擊使用的數(shù)據(jù)包越來越多,攻擊流量最多達(dá)到100Gbps。
攻擊者還開始針對(duì)基礎(chǔ)設(shè)施的其他部分,其中企業(yè)域名服務(wù)的服務(wù)器的攻擊者最喜歡的目標(biāo)。因?yàn)楫?dāng)攻擊者成功攻擊DNS服務(wù)器后,客戶將無法訪問企業(yè)的服務(wù)。
大規(guī)模DDoS攻擊通常會(huì)采用“低且慢”的攻擊,這種攻擊使用特制的請(qǐng)求來讓web應(yīng)用程序或設(shè)備來處理特定的服務(wù),以快速消耗處理和內(nèi)存資源。這種應(yīng)用層攻擊現(xiàn)在占所有攻擊的四分之一。
此外,攻擊者還會(huì)尋找目標(biāo)網(wǎng)站的網(wǎng)址,然后呼叫該網(wǎng)站的后端數(shù)據(jù)庫,對(duì)這些網(wǎng)頁的頻繁呼叫將很快消耗掉網(wǎng)站的資源。
在速度慢的攻擊中,路由器將崩潰,因此,企業(yè)無法使用設(shè)備來阻止不好的流量。這些攻擊還可以通過云DDoS防護(hù)服務(wù)。企業(yè)應(yīng)該采用混合的方法,使用web應(yīng)用程序防火墻、網(wǎng)絡(luò)安全設(shè)備和內(nèi)容分發(fā)網(wǎng)絡(luò)來建立一個(gè)多層次的防御,以盡可能早地篩選出不需要的流量。
2. 舊版本的瀏覽器和易受攻擊的插件
每年涉及數(shù)百萬美元的銀行賬戶欺詐網(wǎng)絡(luò)攻擊都是利用瀏覽器漏洞,更常見的是,利用處理Oracle的Java和Adobe的Flash及Reader的瀏覽器插件。漏洞利用工具包匯聚了十幾個(gè)針對(duì)各種易受攻擊組件的漏洞利用,如果企業(yè)沒有及時(shí)更新,攻擊者將通過這種工具包迅速侵入企業(yè)的系統(tǒng)。例如,最新版本的Blackhole漏洞利用工具包包含7個(gè)針對(duì)Java瀏覽器插件的漏洞利用,5個(gè)針對(duì)Adobe PDF Reader插件,2個(gè)針對(duì)Flash。
企業(yè)應(yīng)該特別注意Oracle的Java插件,因?yàn)镴ava被廣泛部署,但卻鮮少修復(fù)。 企業(yè)應(yīng)該利用補(bǔ)丁修復(fù)管理產(chǎn)品來阻止這種漏洞利用攻擊。
3.包含不良內(nèi)容的好網(wǎng)站
知名的合法網(wǎng)站開始成為攻擊者的目標(biāo),因?yàn)楣粽呖梢岳糜脩魧?duì)這些網(wǎng)站的信任。企業(yè)不可能阻止員工訪問這些知名網(wǎng)站,并且企業(yè)的技術(shù)防御總是不夠。
還有另一種更陰險(xiǎn)的攻擊--惡意廣告攻擊,這種攻擊將惡意內(nèi)容插入廣告網(wǎng)絡(luò)中,惡意廣告可能只是偶爾出現(xiàn)在廣告跳轉(zhuǎn)中,這使這種攻擊很難察覺。
同樣的,企業(yè)應(yīng)該采用多層次的防御方法,例如,安全代理服務(wù)器結(jié)合員工計(jì)算機(jī)上的反惡意軟件保護(hù)來阻止已知威脅的執(zhí)行。
4.移動(dòng)應(yīng)用程序和不安全的Web
BYOD趨勢導(dǎo)致企業(yè)內(nèi)消費(fèi)者設(shè)備激增,但移動(dòng)應(yīng)用程序安全性很差,這使企業(yè)數(shù)據(jù)處于危險(xiǎn)之中。
60%的移動(dòng)應(yīng)用程序從設(shè)備獲取獨(dú)特的硬件信息并通過網(wǎng)絡(luò)接口傳出去,更糟糕的是,10%的應(yīng)用程序沒有安全地傳輸用戶的登錄憑證。
此外,支持很多移動(dòng)應(yīng)用的Web服務(wù)也很不安全。由于用戶不喜歡輸入密碼來使用移動(dòng)設(shè)備上的服務(wù),移動(dòng)應(yīng)用經(jīng)常使用沒有過期的會(huì)話令牌。而攻擊者可以在熱點(diǎn)嗅探流量并獲取這些令牌,從而訪問用戶的賬戶。
企業(yè)很難限制員工使用的應(yīng)用程序,但企業(yè)可以限制員工放到其設(shè)備的數(shù)據(jù)以及限制進(jìn)入企業(yè)的設(shè)備。
5. SQL注入
對(duì)于SQL注入攻擊,最簡單的辦法就是檢查所有用戶提供的輸入,以確保其有效性。
企業(yè)在修復(fù)SQL漏洞時(shí),通常專注于他們的主要網(wǎng)站,而忽視了其他連接的網(wǎng)站,例如遠(yuǎn)程協(xié)作系統(tǒng)等。攻擊者可以利用這些網(wǎng)站來感染員工的系統(tǒng),然后侵入內(nèi)部網(wǎng)絡(luò)。
為了減少SQL注入問題的風(fēng)險(xiǎn),企業(yè)應(yīng)該選擇自己的軟件開發(fā)框架,只要開發(fā)人員堅(jiān)持按照該框架來編程,并保持更新,他們將創(chuàng)造出安全的代碼。
6.證書的危害
企業(yè)不能盲目地信任證書,攻擊者可能使用偷來的證書創(chuàng)建假的網(wǎng)站和服務(wù),或者使用這些證書來簽署惡意代碼,使這些代碼看起來合法。
此外,糟糕的證書管理也會(huì)讓企業(yè)付出巨大的代價(jià)。企業(yè)應(yīng)該跟蹤證書使用情況,并及時(shí)撤銷問題證書。
7.跨站腳本問題
跨站腳本利用了瀏覽器對(duì)網(wǎng)站的信任,代碼安全公司Veracode發(fā)現(xiàn),超過70%的應(yīng)用程序包含跨站腳本漏洞,這是影響商業(yè)開源和內(nèi)部開發(fā)軟件的首要漏洞問題。
企業(yè)可以利用自動(dòng)代碼檢查工具來檢測跨站腳本問題,企業(yè)還應(yīng)該修改其開發(fā)流程,在將程序投入生產(chǎn)環(huán)境之前,檢查程序的漏洞問題。
8.不安全的“物聯(lián)網(wǎng)”
在物聯(lián)網(wǎng)中,路由器、打印機(jī)、門鎖等一切事物都通過互聯(lián)網(wǎng)連接,在很多情況下,這些設(shè)備使用的是較舊版本的軟件,而這通常很難更新。 攻擊者很容易利用這些設(shè)備來侵入企業(yè)內(nèi)部網(wǎng)絡(luò)。
企業(yè)應(yīng)該及時(shí)發(fā)現(xiàn)和禁用其環(huán)境中任何UPnP端點(diǎn),并通過有效的工具來發(fā)現(xiàn)易受攻擊的設(shè)備。
9.情報(bào)機(jī)器人
并非所有攻擊的目的都是攻擊企業(yè)的防御系統(tǒng)。自動(dòng)web機(jī)器人可以收集你網(wǎng)頁中的信息,從而讓你的競爭對(duì)手更了解你的情況,但這并不會(huì)破壞你的網(wǎng)絡(luò)。
企業(yè)可以利用web應(yīng)用程序防火墻服務(wù)來判斷哪些流量連接到良好的搜索索引機(jī)器人,而哪些連接到競爭對(duì)手的市場情報(bào)機(jī)器人或者假的谷歌機(jī)器人。這些服務(wù)可以防止企業(yè)信息流到競爭對(duì)手。
10.新技術(shù) 舊問題
不同企業(yè)可能會(huì)遇到不同的威脅,有網(wǎng)上業(yè)務(wù)的企業(yè)可能會(huì)有SQL注入和HTML5問題,有很多遠(yuǎn)程辦公人員的企業(yè)可能會(huì)有移動(dòng)問題。企業(yè)不應(yīng)該試圖將每一種威脅降到最低,而應(yīng)該專注于最常被利用的漏洞,并解決漏洞問題。同時(shí),培養(yǎng)開發(fā)人員采用安全做法,并讓開發(fā)人員互相檢查代碼以減少漏洞。
