随着政企用户数字化转型的深入,也带来了更多的未知网络安全风险。平时,企业网络安全人员全天值守,遇到问题也能够快速处理。国庆8天小长假将至,为了让网络安全人也有一个愉快的假期,本文根据近年来的网络安全应急响应实践,总结出了长假期间政企用户常见的七大网络安全风险。希望能帮助网络安全人提前做好预防和排查,避免“踩坑”。
风险1:勒索病毒
图:2017年5月爆发的WannaCry勒索病毒勒索信
风险特点:系统一旦遭受勒索病毒攻击,将会使大多数文件被加密,并添加一个特殊的后缀,导致受害者无法读取原本正常的文件,从而造成无法估量的损失。攻击者通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
如何预防:在国内,甚至全球范围内的政企机构中,系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题,而是多种客观因素限制了政企机构对系统设备的补丁管理。网络安全人员可以充分利用云端免疫技术,由云端下发免疫策略或补丁,帮助用户做好防护或打补丁,对于无法打补丁的用户终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,这种技术已应用于奇安信终端安全方案中。但是云端免疫技术只是一种折中方案,其安全性仍然比打了补丁的系统有一定差距。
勒索病毒无论采用什么技术,基本的特点就是对文档进行篡改。通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上挽回勒索病毒攻击的损失。文档自动备份隔离技术可以在用户终端的文档出现被篡改情况时,第一时间将文档自动备份在隔离区,用户可以随时恢复文件。另外,攻击者之所以能够渗透进入企业服务器,绝大多数情况都是因为管理员设置的密码为弱密码或账号密码被盗,因此加强登陆密码的安全管理也是一种必要的反勒索技术。
风险2:挖矿木马
风险特点:挖矿木马会利用各种方式入侵系统,利用被入侵系统的计算能力挖掘加密数字货币来牟利。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改计划任务、防火墙配置、系统动态链接库等,这些技术手段严重时可能造成服务器业务中断。
如何预防:首先要避免使用弱口令,在服务器登录账户和开放端口上的服务使用强密码。二是要及时打补丁,相应厂商在大部分漏洞细节公布之前就已经推送相关补丁,及时为系统和相关服务打补丁就能有效避免漏洞利用攻击。三是对服务器进行定期维护,挖矿木马一般会持续驻留在主机/服务器中,如果未定期查看服务器状态,挖矿木马就很难被发现。
风险3:Webshell脚本
风险特点:网页中一旦被植入了Webshell,攻击者就能利用它获取服务器系统权限、控制“肉鸡”发起DDoS攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等一系列攻击行为。
如何预防:网络安全人员可以配置防火墙并开启相关策略,防止暴露不必要的服务为黑客所利用。对服务器进行安全加固,如关闭远程桌面功能、定期更换密码等。加强权限管理,对敏感目录进行权限设置。安装Webshell检测工具。排查程序存在的漏洞并及时修补。备份数据库的重要文件。注意服务器中是否有来历不明的可执行脚本文件。对系统文件上传功能,采用白名单上传文件,上传目录权限遵循最小权限原则。
风险4:网页篡改
风险特点:网页篡改一般有明显的网页篡改和隐藏式两种。明显的网页篡改如攻击者为炫耀自己的技术技巧或表明自己的观点,如YouTube被黑客入侵大量 MV 消失和简介被篡改事件;隐藏式篡改一般是将被攻击网站植入色情、诈骗等非法信息,再通过灰黑色产业牟取非法的经济利益。
如何预防:网络安全人员可以采取以下的技术手段,阻止网页被篡改或将危害降到最低。为服务器升级到最新的安全补丁,打补丁主要是为了防止缓冲溢出和设计缺陷等攻击。封闭未用但已经开放的网络服务端口以及未使用的服务。使用复杂的管理员密码。网站程序要有合理的设计并注意安全代码的编写。设置合适的网站权限,对网站目录文件权限设置原则是只分配需要写入的目录写的权限,其它全为只读权限。
风险5:DDoS攻击
风险特点:绝大部分的DDoS攻击都是通过僵尸网络产生的,当确定受害者的 IP 或域名后,僵尸网络控制者发送攻击指令后,随后就可以断开连接,指令在僵尸程序间自行传播和执行,每台僵尸主机都将做出响应,同时向目标发送请求,这可能致使目标服务器或网络溢出,导致拒绝服务。
如何预防:对于DDoS攻击防护来说,本质上只能缓而不能完全的防御,我们主要分析防御的思路。在攻击前的防御阶段,网络安全人员需要多关注安全厂商、CNCERT等机构发布的最新安全通告,及时针对攻击进行针对性防护策略。服务器禁止开放与业务无关端口,并在防火墙上对不必要的端口进行过滤。在攻击时的缓解阶段,需要根据相关设备或对流量分析来确认攻击类型,在安全设备上进行防护策略的调整,对异常访问进行限制。如果攻击流量超过本地最大防御限度,可以有条件的接入运营商或CDN服务商对流量进行清洗。在攻击后的追溯总结阶段,要对攻击期间的日志进行保存、分析,整理出攻击IP,方便后续的追溯。
风险6:数据泄露
风险特点:数据泄露主要是外部数据泄露和内部数据泄露。外部数据泄露包括政企用户自身的供应链、第三方供应商以及通过搜索引擎、网盘、公开的代码仓库、社交网络等互联网渠道所导致的数据泄露;内部数据泄露主要包括内部人员窃密、终端木马窃取,基础支撑平台、内部应用系统等数据违规导出所导致的数据泄露。
如何预防:网络安全人员要做好自身供应链和第三方供应商的数据访问控制,尤其需要做好审计措施。还要做好互联网应用服务的安全配置并定期巡检避免违规共享被搜索引擎收录。互联网应用系统正式上线前应进行全面的渗透测试,尽可能避免未授权访问、弱口令、SQL注入等攻击手段导致数据泄露。
针对数据内部泄露问题,要针对业务系统运营人员和运维研发人员的访问权限做好访问控制,建立终端准入机制,统一部署杀毒和终端管控软件,通过安全意识培训培养良好的终端使用习惯,避免数据通过终端被窃取。
风险7:流量劫持
风险特点:流量劫持通过在应用系统中植入恶意代码、在网络中部署恶意设备、使用恶意软件等手段,控制客户端与服务端之间的流量通信、篡改流量数据或改变流量走向,造成非预期行为的网络攻击技术。在日常生活中经常遇到的流氓软件、广告弹窗、网址跳转等都是流量劫持表现形式。
如何预防:常见的流量劫持有DNS劫持、HTTP劫持、链路层劫持等。针对DNS劫持,网络安全人员可以通过锁定Hosts文件不允许修改,配置本地DNS为自动获取或设置为可信DNS服务器,路由器采用强口令密码策略,使用加密协议进行DNS查询等方式预防。HTTP劫持关键点在于识别HTTP协议和HTTP协议为明文协议,通过使用HTTPS进行数据交互即可预防HTTP劫持。针对链路层的TCP劫持,可以使用加密通信以及避免使用共享式网络。针对ARP劫持可以避免使用共享式网络、将IP和MAC静态绑定、使用具有ARP防护功能的终端安全软件和网络设备等方式有效预防。
声明:本文来自奇安信安全服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。