警惕那些常見卻又容易被忽視的網絡安全威脅

警惕那些常見卻又容易被忽視的網絡安全威脅




勒索軟件、惡意軟件、網絡釣魚攻擊......這些都是現代企業在數字化轉型發展中面臨的諸多網絡安全威脅與挑戰，由此造成的危害也時有報道。然而當企業投入了巨大資源啟動網絡安全防護計劃時，一些常見的高危風險容易被安全團隊所忽視。其原因可能是安全人員陷入了“安全警報疲勞”狀態，或是認知不足而放松了警惕心，然而，這些沒有得到足夠重視的常見威脅正在企業數字化環境中到處肆虐，并隨時可能引發災難性的影響。


· 公開信息的惡意利用



公開信息被惡意利用是企業面臨威脅之一，但幾乎很少人會關注和談論這種威脅。事實上，大多數的網絡攻擊發生之前，網絡犯罪分子都會提前收集目標企業的電子郵件地址、電話號碼和社會安全號碼等基本信息。企業安全團隊應該更加關注和重視這方面的保護，教育企業員工如何管理他們在網上的企業與個人信息。


· 數據勒索攻擊



近年來勒索軟件攻擊者的策略頗有成效，企業組織將會看到更多的勒索軟件攻擊，因此安全主管們需要提前做好準備。但很多企業對勒索攻擊仍然缺乏足夠的重視。同時，一些企業的安全管理者存在認知誤區：我們已經對業務數據進行了備份，這樣就可以不需要支付贖金以恢復數據。然而，現在勒索攻擊者的方法已有所改進，雙重勒索甚至多重勒索模式將會成為主要攻擊手段。


· 用戶賬戶接管攻擊



用戶賬戶接管攻擊是一種威脅巨大網絡安全風險，但是目前很少有企業已經具備有效的防護手段。網絡攻擊者不再直接攻擊高價值目標，而是通過網絡釣魚攻擊目標的供應商和第三方供應鏈，然后利用被攻陷的用戶賬戶向目標發送合法郵件。美國聯邦調查局（FBA）將這種攻擊方式稱為“價值260億美元的欺詐騙局”。一旦合法賬戶被攻擊者接管，就可以被利用下達欺詐性的訂單，攔截商務憑證，轉移有價值的數字資產，甚至給受害企業的品牌帶來損害。


· 不斷擴大的API攻擊面



應用編程接口（API）是應用程序間通信的核心，它提供了對第三方驗證和數據源的訪問。隨著API應用增長，隨之而來的攻擊面也在不斷擴大，確保API應用安全對保護企業數字化發展安全變得越來越重要?，F代企業需要將確保API應用安全視為一條核心業務運營原則。


· 影子SaaS應用


很多企業還沒有意識到技術工具的無序采購也是一大風險。龐大的軟件即服務（SaaS）市場，讓普通員工也可以便捷地購買到應用軟件程序，甚至是免費的，當這些應用中被導入企業業務數據時，員工、客戶和合作伙伴的隱私信息就可能面臨險境。雖然許多企業明確規定了應用程序必須得到批準后才能使用，但影子SaaS應用是大多數企業還難以充分防范的安全風險之一。


· 多維度的數據應用漏洞



隨著數字化轉型的發展，現代企業組織大多需要將業務數據存儲在多個數據中心和應用中。企業數據資產會更加容易受到網絡犯罪活動、人為錯誤、自然災害等多方面因素的安全威脅。然而，很多企業都沒有部署積極主動的安全措施，為數據資產提供體系化的保護，無法做到無論數據存放在哪里都可以被安全利用。


· 薄弱的網絡安全意識



如果我們復盤許多重大數據泄露事件，其根本原因往往是因為企業員工有意或無意的網絡安全違規操作，比如在辦公電腦上重復使用賬戶密碼，或者用不安全的個人設備訪問公司應用程序。組織應給予更多的重視，幫助每個員工管理好企業辦公網絡內外的個人安全，以更好地消除這些安全隱患。


· 松懈的安全管理制度



目前企業最大的安全挑戰是在企業內部，無論是松懈的管理制度，還是沒有為員工提供經過優化的工作流程，都會讓各種安全威脅從內部開始產生。企業應該盡可能實現安全管理流程的自動化，積極實施零信任安全框架，并持續開展網絡安全文化建設，確保每個員工都能夠嚴格遵守安全規程。


· 中間人攻擊



中間人攻擊是指攻擊者介入到兩個受害者的網絡通信中，并可以竊聽或篡改對話內容。攻擊者會攔截并篡改受害者之間的消息，然后將它們重新發送給另一個受害者，使消息看起來如同來自原始發送者。這種類型的攻擊可用于竊取敏感信息，比如登錄憑據、財務信息或商業機密。中間人攻擊還可以被用來向網站或軟件注入惡意代碼，然后感染受害者的計算設備和應用。為了防護中間人攻擊，企業應該積極部署新一代加密技術和VPN協議來保護業務過程中的通信安全。


· 不安全的物聯網設備



物聯網設備面臨的網絡威脅正在引起技術主管和網絡安全公司的關注。然而，如果我們想為物聯網的大規模應用做好準備，還應該為大規模生產的不達標、不安全的設備做好準備。因此，我們需要格外關注應用編程接口漏洞以及設備和移動應用程序之間共享數據的協議。


· 過于寬松的云應用環境



在云端，傳統的物理防護邊界被打破，只有通過嚴格的身份訪問控制才能構建起新的安全邊界。但是事實上，目前有很多云上存儲的數據被廣泛暴露在互聯網上，很多沒有得到授權的用戶也都可以訪問這些數據。盡管排查和消除云端有風險的訪問權限是一個復雜的、動態的長期過程，但企業必須立刻重視起來，并且開始采取相關的治理措施。


· APP欺詐



由于APP欺詐通常是在用戶授權的情況下發生，因此很難實時識別和預防，但這種威脅卻會給受害人造成直接的財產損失。盡管很多企業在面對受害消費者追責索賠時，會將部分責任推給對方，但是考慮到企業品牌和用戶信任度的損害，企業也將因為APP欺詐而付出巨大的代價。因此，企業的安全團隊需要迅速行動起來，制定一項防止可能導致業務資金流失的APP欺詐防護計劃，并從早期的盡職調查就開始做起。

來源：信息新安全、安全牛

2022年貴州“網信杯”網絡安全技能競賽決賽圓滿收官

12月1日，2022年貴州技能大賽——“網信杯”網絡安全技能競賽決賽在貴陽國家大數據安全靶場圓滿落幕，并舉行了頒獎儀式。


據悉，此次競賽由貴州省委網信辦、省工業和信息化廳、省公安廳、省人力資源社會保障廳、省大數據局、省總工會、省通信管理局、國家計算機網絡與信息安全管理中心貴州分中心等部門聯合主辦。此次活動是貴州省連續組織的第四屆網絡安全技能競賽，共有來自全省各地區、各部門、各單位的384名個人賽選手、141支參賽隊伍，共計563名選手參賽，再創歷屆參賽人數新高。自競賽活動全面啟動以來，各參賽選手在省直和各地區共10個不同賽道進行激烈角逐。最終110名個人賽參賽選手及35支團隊賽參賽隊伍脫穎而出晉級總決賽。

11月29日，線下總決賽拉開帷幕。個人賽采取“理論測試（30%）+CTF奪旗賽（70%）”形式，時長6小時；團隊賽采取“攻防對抗”形式，時長6小時，首次加入了CFS場景賽，利用虛擬仿真技術將現實場景融入競賽中，展現“生產生活與網絡安全密不可分”的理念，全面考察團隊和選手的理論知識和實戰能力。


經過為期兩天的激烈比拼，來自貴州電網有限責任公司的周澤元獲得個人賽一等獎；來自云上貴州大數據（集團）有限公司的白遠杰、田超獲個人賽二等獎；來自貴州電網有限責任公司的班秋成，中國移動通信集團貴州有限公司的韓筱、郭運東獲個人賽三等獎。來自云上貴州大數據（集團）有限公司的云上貴州一隊獲團隊賽一等獎；來自中國移動通信集團貴州有限公司的貴州移動天鷹一隊、來自貴州電網有限責任公司的貴州電網甲秀青禾隊獲團隊賽二等獎；來自貴陽銀行股份有限公司的SSID隊、TEST隊，來自中國移動通信集團貴州有限公司的貴州移動天鷹二隊獲團隊賽三等獎。


同時，對于團隊賽獲得前6名的團隊領隊個人，組委會頒發了優秀領隊獎。省公安廳、國家稅務總局貴州省稅務局、貴陽市委網信辦、遵義市委網信辦、銅仁市委網信辦等5家單位為此次競賽的優秀組織單位，省衛生健康委、省氣象局、六盤水市委網信辦、安順市委網信辦、黔南州委網信辦、黔西南州委網信辦、國家稅務總局貴陽市稅務局等7家單位為此次競賽的積極組織單位。

積極構建網絡空間安全、創新人才培養體系，推動網絡安全人才培養、技術創新和產業發展，是在“大安全”時代切實維護全省國家安全和發展利益的重要課題。參賽選手們紛紛表示，要積極把握新技術新趨勢，努力提升網絡安全技能水平，切實維護網絡安全、建設清朗網絡空間，為全省網絡安全發展塑造新動能新優勢。