• 快易CDN
快易CDN
19大网络安全威胁及其防御措施

  • 发布时间:2025-02-10 16:10:31

网络安全威胁是一种技术风险,会削弱企业网络的防御能力,危及专有数据、关键应用程序和整个 IT 基础设施。由于企业面临各种各样的威胁,因此他们应该仔细监控和缓解最关键的威胁和漏洞。网络安全问题主要有七类,都包含多种威胁,您的团队应该针对每种威胁实施特定的检测和缓解方法。

公共互联网威胁

如果您的企业网络连接到公共互联网,互联网上的每种威胁都可能使您的业务变得脆弱。广泛而复杂的业务网络尤其难以保护;这些网络可能包括边缘和移动网络以及分支机构网络和存储区域网络 (SAN)。典型的互联网威胁包括恶意软件、恶意网站、电子邮件网络钓鱼、DNS 中毒以及 DoS 和 DDoS 攻击。

恶意软件

恶意软件(malware) 是旨在干扰正常或安全计算操作的代码。点击电子邮件或网站扩展程序中的链接会立即将恶意软件下载到主机上。有时恶意软件可以根据其能力在网络中横向移动。

防御恶意软件

使用以下方法来防止恶意软件:

  • 培训员工:员工是组织的第一道防线,也是最大的攻击面。他们需要知道如何降低企业面临的主要风险。
  • 实施端点保护:所有设备都应安装防病毒和端点保护,以便在软件检测到威胁时自动做出响应。
  • 细分您的网络: 分段技术需要为每个网络设置策略,管理哪些流量可以在子网之间移动,并减少横向移动。

欺骗性网站

欺骗性网站是看似合法但实际旨在窃取互联网用户帐户凭据的网站。威胁行为者将用户引导到该网站,一旦用户输入凭据,攻击者就会收集这些凭据并使用它们登录真正的应用程序。

防御恶意网站

请按照以下提示保护您的凭证:

  • 为所有应用程序部署多因素身份验证:如果威胁行为者通过成功的欺骗窃取您的凭据,他们将更难通过 MFA。
  • 教导用户识别欺骗性网站:确保您的员工了解虚假网站的特征,无论是语法问题、奇怪的 URL 还是引导他们访问该网站的未经批准的电子邮件。
  • 一旦发现网站,就将其列入黑名单:如果多名员工从同一威胁行为者导航到单个网站,则一旦发现,请立即将该 URL 列入黑名单。

基于电子邮件的网络钓鱼攻击

电子邮件网络钓鱼是威胁者用来诱骗用户打开电子邮件并点击其中链接的一种技术。它可以包括恶意软件和欺骗性网站;互联网网络钓鱼威胁有很多重叠之处。电子邮件攻击通常通过企业电子邮件帐户针对员工。

防御基于电子邮件的网络钓鱼攻击

为了防止电子邮件网络钓鱼,请使用以下技术:

  • 实施严格的电子邮件保护软件:威胁行为者通常通过带有链接的电子邮件将用户引导到欺骗网站,例如重置密码的说明。
  • 举办密集的安全意识培训课程:您的员工应该确切地知道在收到陌生的电子邮件时要寻找什么。
  • 安装下一代防火墙 (NGFW):在公共互联网和组织的私有网络之间安装NGFW有助于过滤一些初始的恶意流量。

网络钓鱼攻击完整指南中了解有关网络钓鱼类型的更多信息,包括鱼叉式网络钓鱼、鲸钓式网络钓鱼和短信网络钓鱼。

DNS 攻击

DNS 缓存中毒或劫持会重定向合法站点的 DNS 地址,并在用户尝试导航到该网页时将用户带到恶意站点。

防御 DNS 攻击

请考虑以下策略来防止 DNS 攻击:

  • 使用 DNS 加密:加密 DNS 连接需要团队使用 DNSCrypt 协议、DNS over TLS 或 DNS over HTTPS。
  • 隔离 DNS 服务器:部署非军事区 (DMZ) 将所有 DNS 流量与公共互联网隔离。
  • 保持更新:当发布更新时,所有 DNS 服务器都应定期修补。

DoS 和 DDoS 攻击

拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击是一种威胁,它们可以通过使流量过载来禁用机器或整个计算机系统。众所周知,它们很难预防,因为它们通常来自外部流量,而不是来自网络内部的威胁,当威胁进入您的系统时,可以找到并停止。并非所有 DoS 或 DDoS 攻击都来自互联网流量,但其中许多确实如此。

防御 DoS 和 DDoS 攻击

实施以下方法来保护您的网络免受 DoS 和 DDoS 攻击:

  • 实施反向代理:反向代理有自己的 IP 地址,因此当 IP 地址淹没单个服务器时,它们将转到代理的 IP 地址,而内部服务器的 IP 地址就不会那么容易被淹没。
  • 安装 Web 应用程序防火墙:您可以配置防火墙来监控和阻止不同类型的流量。
  • 部署负载均衡器:通过将网络流量引导至可以管理它的源,负载平衡可降低流量完全压垮服务器的风险。

不安全和过时的网络协议

一些旧版本的网络协议存在一些错误,这些错误已在后续版本中得到修复,但许多企业和系统仍在使用旧协议。最好使用最新的协议版本,至少可以避免已知的威胁,尤其是如果您的行业需要某个协议版本才能符合监管标准。一些最流行的网络协议包括 SSL、TLS、SNMP、HTTP 和 HTTPS。

SSL 和 TLS

安全套接字层 (SSL) 和传输层安全性 (TLS) 都是网络安全协议。任何比 TLS 1.3 更旧的 SSL 和 TLS 版本都存在多个漏洞,包括允许POODLE 攻击和BEAST 攻击的漏洞。虽然 TLS 1.3 可能存在自己的漏洞,这些漏洞会随着时间的推移而被发现,但它确实修复了旧 TLS 和 SSL 版本中已知的漏洞。

防御 SSL 和 TLS 威胁

使用这些技巧可以防止 SSL 和 TLS 造成的威胁:

  • 更新连接:保持每个网络连接升级到最新版本的 TLS。
  • 禁用旧版本:完全禁用网络上的旧 SSL 和 TLS 版本可确保它们不会被意外使用。

简单网络管理协议

简单网络管理协议 (SNMP) 是一种常见的互联网协议,旨在管理网络及其设备的操作。SNMP 版本 1 和 2 存在已知漏洞,包括未加密传输 (v1) 和 IP 地址欺骗 (v2)。版本 3 是这三个版本中最好的选择,因为它有多种加密选项。它旨在解决 v1 和 v2 的问题。

防御 SNMP 威胁

将所有版本的 SNMP 升级到版本 3,以避免以前版本中存在的巨大安全漏洞。

HTTP

超文本传输协议是一种互联网通信协议,但本质上并不安全。超文本传输协议安全 (HTTPS) 是 HTTP 的加密版本。您的所有互联网连接都应加密,并且与其他网站的每次通信都应使用 HTTPS。

防御 HTTP 威胁

为了防止不安全的 HTTP 连接,请使用以下方法:

  • 阻止 HTTP 访问:如果任何连接使用 HTTP,请尽快阻止对其访问。
  • 将流量引导至 HTTPS:配置所有尝试的 HTTP 通信以重定向到 HTTPS。

网络配置错误

网络协议或规则的简单配置错误可能会暴露整个服务器、数据库或云资源。输入一行错误代码或未能安全设置路由器或交换机都可能导致配置错误。配置错误的网络安全命令也很难找到,因为其余硬件或软件似乎运行正常。配置错误还包括部署不当的交换机和路由器。

常见的配置错误包括在硬件和软件上使用默认或工厂配置、未能分段网络、在应用程序上设置访问控制或立即修补。

使用设备的默认配置

默认凭证是网络硬件和软件出厂时设置的用户名和密码。攻击者通常很容易猜到它们,甚至可能使用“管理员”或“密码”等简单词语。

防御默认配置威胁

为了防止默认配置导致的安全问题:

  • 更改所有凭证:立即将任何默认用户名或密码切换为更强大、更难以猜测的凭证。
  • 定期更新密码:初始密码更改后,每隔几个月更改一次密码。

分割不足

网络分段是一种将网络划分为不同部分的技术。如果网络未划分为子网,恶意流量将更容易在整个网络中传播,并有机会危害许多不同的系统或应用程序。

防御网络分段威胁

将网络划分为子网并在子网之间建立安全屏障。划分技术包括为每个网络设置策略、管理哪些流量可以在子网之间移动以及减少横向移动。

访问配置错误

当团队未能安全地实施访问和身份验证协议(如强密码和多因素身份验证)时,就会发生访问控制配置错误。这对整个网络来说是一个重大风险。本地和基于云的系统都需要访问控制,包括默认情况下不需要身份验证方法的公共云存储桶。网络用户需要获得授权和身份验证。

身份验证要求用户提供 PIN、密码或生物识别扫描,以帮助证明他们的身份。授权允许用户在验证身份并信任其身份后查看数据或应用程序。访问控制允许组织设置权限级别,例如只读和编辑权限。否则,您将面临特权升级攻击的风险,当威胁行为者进入网络并通过升级其用户权限进行横向移动时,就会发生这种情况。

防御访问配置错误威胁

使用这些技巧可以减少与访问相关的配置错误风险:

  • 要求每个应用程序都有凭证:这包括数据库、客户端管理系统以及所有内部部署和云软件。
  • 不要忘记您的云资源:互联网上可访问的云存储桶应该有访问障碍;否则,任何拥有存储桶 URL 的人都可以看到它们。
  • 部署零信任:员工应仅拥有完成工作所需的访问级别,这称为最小特权原则或零信任。这有助于减少内部欺诈和意外错误。

过时且未打补丁的网络资源

网络硬件和软件漏洞是随着时间的推移而逐渐显露出来的缺陷,这要求 IT 和网络技术人员在供应商或研究人员宣布威胁时随时了解这些威胁。

过时的路由器、交换机或服务器无法使用最新的安全更新。这些设备需要额外的保护控制。其他旧设备(如医院设备)通常不能完全放弃,因此企业可能需要设置额外的安全措施,以防止它们将网络的其余部分置于风险之中。

防御补丁管理威胁

使用这些关键策略来防止修补程序和更新失败导致的配置错误:

  • 不要等待修补已知问题:网络管理员必须立即修补固件漏洞。威胁行为者一旦获悉漏洞就会迅速采取行动,因此 IT 和网络团队应该领先一步。
  • 使部分工作自动化:自动警报将帮助您的企业团队即使并非一直值班也能保持网络资源处于最新状态。
  • 减少旧技术带来的危害:尽可能淘汰过时的设备。它们将继续与网络的其余部分不兼容,如果某些硬件不支持,则很难保护整个网络。

人类安全威胁

您的团队成员可能会犯错,无论是无意间输入一行代码,还是将路由器密码暴露给整个互联网。培训提供商提供广泛的网络安全课程,以降低员工将您的基础设施置于危险之中的可能性。

人为错误在大多数数据泄露事件中扮演着重要角色——根据斯坦福大学教授兼安全提供商 Tessian 的一项研究,其中 85% 的数据泄露事件是由员工失误造成的。您需要警惕因疏忽大意以及蓄意恶意行为而产生的威胁——这两种情况都有可能发生。

意外或粗心的错误

员工会犯下许多意外的安全失误,包括将密码张贴在纸上或 Slack 上、让陌生人进入办公室或将未识别的闪存驱动器插入公司计算机。有时他们知道公司的政策,但不想遵守,因为这些政策似乎需要更多时间,例如为每个应用程序想出新密码而不是重复使用它们。

防御错误造成的威胁

为了减少人为错误发生:

  • 每季度举办网络安全培训课程:使培训具有互动性,以便员工保持参与度,并确保新员工立即了解期望。
  • 安装密码管理器之类的软件:这些软件可以帮助员工安全地管理他们的凭证。
  • 实施数据丢失防护 (DLP) 技术:保护数据对于维护声誉和遵守法规都至关重要。
  • 限制您的物理工作空间:不要允许企业外部的人员进入托管网络硬件和软件的场所。

故意恶意的内部人员

经常被忽视的人为威胁之一是内部威胁,即那些有意损害企业的员工。虽然这种情况并不常见,但可能更加危险。这些内部人员通常拥有网络访问权限,这使得他们更容易窃取数据。

恶意内部人员会利用专有信息或客户数据,有时会将其出售给第三方。但其他内部人员可能只是想报复,因为同事对他们不公、他们被解雇,或者他们认为公司正在做出不道德的决定。恶意内部威胁很难缓解,因为肇事者可能会随着时间的推移隐藏他们对公司的感受和意图。而且由于他们通常拥有有效的凭证,因此他们的影响更难追踪。

防御恶意内部人员的威胁

以下做法将帮助您的企业管理恶意员工行为:

  • 让安全成为常规话题:在经理和员工一对一会议上讨论网络安全问题。向员工表明您对安全问题的重视。
  • 举办更多的培训课程:这尤其重要,因为其他员工需要接受培训来识别自己团队的行为。
  • 实施行为分析: 分析至少可以帮助您的团队识别一段时间内的异常行为。如果内部人员泄露数据或更改凭证,则可能是故意的。
  • 雇用前对人员进行审查:索取推荐信和进行背景调查虽然不是万能的,但可以帮助企业雇用值得信赖的个人。

了解有关在您的组织内发展网络安全文化以及如何降低员工失误造成的脆弱性的更多信息。

运营技术

运营技术 (OT) 通常是指观察和控制工业环境的硬件和软件。这些环境包括仓库、建筑工地和工厂。OT 允许企业通过网络连接的蜂窝技术管理暖通空调、消防安全和食品温度。

企业物联网和工业物联网 (IIoT) 设备也属于运营技术。当连接到业务网络时,OT 可以为威胁行为者打开大门。

运营技术的危险

旧式 OT 设备在设计时并未充分考虑网络安全问题,因此无论它们采用何种传统控制措施,可能都不再适用,或者无法修复。最初,工厂和建筑工地的设备和传感器没有互联网连接,也没有 4G 或 5G 功能。当前的 OT 设计使攻击者能够轻松地在网络中横向移动。对于运行时间比接入互联网时间更长的旧式 OT,实施大规模安全措施也极其困难。

运营技术通常会造成远远超出 IT 安全范围的后果,尤其是在食品管理、医疗保健和水处理等关键基础设施方面。OT 漏洞不仅会像标准网络漏洞一样造成金钱损失或危及技术资源,还可能导致人员伤亡。

防御 OT 威胁

为了保护企业的 OT 设备和网络,请使用以下关键提示:

  • 进行详细的审核:您需要了解连接到公司网络的每个设备,而彻底的审核是实现这一目标的最佳方法。
  • 持续监控所有 OT 流量:任何异常都应向 IT 和网络工程师发送自动警报。配置警报,以便工程师立即知道发生了什么。
  • 对所有无线网络使用安全连接:如果您的 OT 设备使用 Wi-Fi,请确保 Wi-Fi 至少使用 WPA2。

VPN 漏洞

尽管虚拟专用网络 (VPN)是旨在为组织网络通信创建专用隧道的安全工具,但它们仍然可能被攻破。您的企业应该监控您直接团队的 VPN 使用情况以及所有第三方 VPN 访问。

员工 VPN 使用情况

VPN 旨在保护您团队的计算会话和相关数据(如 IP 地址和密码)免遭窥探。然而,它们并不总能实现这一目标 — VPN 连接并非万无一失的安全方法,有时仍可能遭到黑客攻击,尤其是在 VPN 连接突然短暂中断的情况下。

防御VPN威胁

使用以下方法来缓解组织内的 VPN 漏洞:

  • 实施最小特权访问管理:最小特权访问仅向指定用户提供完成其工作所需的权限,而不会提供其他任何权限。
  • 随时更新补丁:单个 VPN 解决方案可能存在自身的漏洞,因此请确保您的企业持续监控它们并在需要时修补漏洞。

第三方 VPN 访问

当企业使用 VPN 授予合作伙伴或承包商访问其应用程序的权限时,很难限制这些第三方对特定权限的访问。VPN 也不会保留大量数据日志以供日后分析,因此如果第三方确实滥用其权限,则很难找到违规的具体来源。

防御第三方 VPN 威胁

对承包商和其他第三方也实施最低权限访问。这将限制他们对敏感业务数据和应用程序的访问。

远程访问

在过去十年中,尤其是在 COVID-19 疫情期间,远程连接办公网络和资源成为在家办公和其他地点完成工作的一种流行方式。不幸的是,不受信任的网络和个人设备使企业网络和系统处于危险之中。远程桌面协议和 Wi-Fi 网络是两个主要威胁。

远程桌面协议

远程桌面协议 (RDP) 允许用户使用一台计算机与另一台远程计算机交互并控制它。在疫情初期,RDP 是最常见的勒索软件攻击媒介之一。攻击者能够通过 RDP 的漏洞找到后门,或者通过猜测密码进行暴力攻击。一旦恶意软件通过电子邮件附件或其他软件下载到计算机上,远程访问木马还允许攻击者远程控制机器。

防御 RDP 威胁

为了尽可能保证安全,您的企业应尽快淘汰 RDP。它不再安全。如果您的团队仍决定使用 RDP,请使用以下保护方法:

  • 限制密码尝试次数:用户只能输入几次密码。这可以防止暴力攻击。
  • 设置难以猜测的密码:要求所有 RDP 凭证都遵循良好的密码习惯。
  • 限制对特定 IP 地址的访问:仅将连接到员工设备的特定地址列入白名单。
  • 为 RDP 配置严格的用户策略:这包括最低权限访问。只有那些需要远程连接来执行其工作的人才应该有访问权限。

Wi-Fi 网络

其他不安全的网络连接(如不受保护的 Wi-Fi)允许窃贼窃取凭证,然后从咖啡店和其他公共场所登录业务应用程序。远程企业有多种远程访问公司资源的方法,IT 和安全团队很难锁定所有这些方法。

防御 Wi-Fi 威胁

如果您在家外的网络上工作,请采取以下安全措施:

  • 确保网络是私密的:如果您可以在小型共享工作空间或其他家庭中工作,那是理想的,但如果您在公共场所,请确保 Wi-Fi 需要密码。
  • 使用 VPN:虚拟专用网络虽然不是万无一失的,但在 Wi-Fi 不安全时有助于保护您的远程连接。

网络威胁从何而来?

网络威胁的来源多种多样,但归纳起来,可以归结为设备、人员、网络流量、一般安全操作和维护故障等载体。

设备

硬件有时会出现配置错误和协议过时的情况。被恶意软件感染的设备(如路由器)对网络的其余部分构成威胁。此外,网络上未经授权的设备和不安全的 BYOD 设备可能没有与授权设备相同的安全控制,因此更容易受到攻击。

人们

人都会犯错,网络安全非常复杂,即使是专家也难以管理。高级工程师即使经验丰富,也很容易配置错误。此外,一些内部人员会故意操纵网络以谋取私利。

交通

恶意数据包试图进入网络,需要防火墙和其他系统(如 IDPS)来阻止它们。恶意流量来自多个位置,因此保护所有端口是一项挑战。流量 IP 地址也可以隐藏,威胁行为者可以使用不同的 IP 地址来避免网络黑名单并阻止威胁情报。

运营

有时硬件和软件会出问题。DoS 和 DDoS攻击会淹没服务器,导致服务器无法使用。此外,自然灾害和电涌也会破坏或暂时使网络瘫痪。虽然这从根本上来说不是网络安全问题,但它肯定会削弱安全控制,尤其是在主要的 NGFW 或其他检测和预防工具出现故障的情况下。

维护不足

网络硬件和软件需要使用最新的协议和补丁进行更新。网络固件上未修补的漏洞为攻击者打开了大门。此外,如果 IT 和网络管理员不定期执行漏洞扫描,他们将无法快速识别漏洞。

网络安全、端点安全、应用程序安全

应用程序安全和端点安全之间的界限很难划定,因为它们彼此之间影响巨大。在本文中,我们重点关注网络威胁,并排除源自应用程序或端点的威胁,例如跨站点脚本或勒索软件。我们对应用程序、端点和网络安全的定义如下:

  • 网络安全:具体到网络基础设施,包括路由器和交换机等设备之间的连接。
  • 端点安全:特定于设备和用户及其对整个组织的影响。
  • 应用程序安全:特定于软件程序及其对组织、网络和计算机系统的影响。

然而,终端设备和业务应用程序仍然会影响网络安全。受恶意软件感染的计算机或受感染的 CRM 系统仍然可能导致网络漏洞。这些类别确实有重叠,但为了避免混淆,我们在本指南中对它们进行了区分。

如何检测威胁?

尽管网络威胁来自许多来源,但企业需要一套可靠的检测工具和技术来查明恶意行为。防火墙、监控、分析、自动化、漏洞评估和欺骗策略都可以帮助企业识别威胁,并让其团队有时间制定解决方案。

管理防火墙

可以配置高级网络边界保护(如下一代防火墙),以便在检测到异常流量时发送警报。如果进入网络的数据包行为异常,则这是 IT 和安全团队的警告信号。来自 NGFW 的威胁情报对于及早识别恶意流量至关重要。某些防火墙还可以阻止知名的恶意网站。确保您的团队不断微调防火墙并根据需要更新规则。

监控网络

监控网络设备和流量有助于企业观察一段时间内的模式。NDR 等高级监控解决方案甚至能够扫描加密流量,而某些威胁可能已经从漏洞中溜走了。

不要忘记监控网络上的物联网设备——不仅要保护物联网设备,还要识别来自分布式智能设备网络的威胁。识别所有设备漏洞并实施专为物联网设计的网络流量监控。在物联网威胁进一步通过网络传播之前,找到其根源非常重要。

实施机器学习和行为分析

虽然防火墙和其他边界安全措施可以识别和阻止某些流量,但其他流量会破坏网络。使用分析来研究流量在网络中的移动情况有利于长期安全。使用机器学习的行为分析解决方案应该能够研究正在进行的流量模式并检测恶意行为。NGFW 和其他高级安全解决方案通常提供机器学习和行为分析功能。

自动发送警报

安全团队无法全天候研究网络,但自动警报会在检测到恶意活动后立即标记。机器学习和行为分析平台研究网络流量数据中的模式。然后,一旦检测到异常,自动化系统就会立即向 IT 人员发送电子邮件或 Slack 警报。

扫描漏洞

漏洞扫描程序会检查设备和资产,并将其与已知漏洞数据库进行比较,以识别配置错误和软件过时等问题。有些扫描程序会根据风险级别对漏洞进行分类。有些漏洞扫描解决方案还会通过制定强制执行特定标准的政策和规则,帮助企业遵守网络安全和数据保护法规。

执行渗透测试

渗透测试通过聘请专业黑客来查找网络中的漏洞,为企业提供有关其网络安全的清晰、可操作的信息。这些黑客会识别面向网络的资产(如应用程序、防火墙和服务器)中的特定薄弱环节。请考虑详细了解渗透测试和漏洞测试之间的区别。

创建蜜罐

专门设计用于诱捕攻击者的计算机系统或应用程序称为蜜罐。例如,蜜罐可能是一个具有诱人名称的数据库,暗示敏感信息存储在其中。它旨在帮助团队在威胁行为者获得关键资产之前研究威胁行为者的行为。蜜罐的其他示例包括保护假数据库的附加路由器或防火墙。一些供应商将其作为欺骗技术提供。

底线:跟踪和预防网络安全威胁

过去五年来,网络安全防御力度大幅提升。勒索软件的兴起和不法分子的复杂手段要求企业采取同样强有力的行动。IT 团队和工程师再也不能坐以待毙,指望防火墙或好的密码能让他们免受网络漏洞的困扰。

密切关注上述所有威胁,并培训您的团队检测威胁并预防它们。确保您不会放过小事——如果成功利用,小错误配置或未修补的漏洞仍可能使企业损失数百万美元。这需要时间,但要致力于在企业内实施一致且谨慎的网络安全实践,最终网络安全将成为对威胁的即时和自然反应。

 

猜你喜欢
什么是DDoS攻击?
CDN加速系统
教育中的CDN