盘点八大最易忽略的网络安全威胁,你中招没?

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是盘点八大最易忽略的网络安全威胁,你中招没?,无论是最新的漏洞资讯还是你的企业真实面临的网络攻击,都无时无刻不在警醒着我们新型安全威胁的存在。想要追踪企业面临的每个风险因素当然是不可能实现的。
本文讲的是 盘点八大最易忽略的网络安全威胁,你中招没?

盘点八大最易忽略的网络安全威胁,你中招没?

无论是最新的漏洞资讯还是你的企业真实面临的网络攻击,都无时无刻不在警醒着我们新型安全威胁的存在。想要追踪企业面临的每个风险因素当然是不可能实现的。但是一个无法回避的现实是,网络犯罪或网络间谍活动行为者正在全方位采取各种方式来传播恶意软件,从传统的恶意广告软件到连接到物联网中的新设备,无一不存在安全威胁。

每个安全专家对于“哪种威胁应该放在首要关注位置”以及“企业对哪种威胁关注度不够”都有自己不同的观点。以下是一些安全专家总结得出的企业最容易忽略的8大安全威胁类型,一起看看你中招没?

1. 恶意广告软件

 盘点八大最易忽略的网络安全威胁,你中招没?

Malwarebytes首席恶意软件情报分析师Jerome Segura表示,目前恶意广告软件依然是一大威胁,只是它改变了攻击目标。攻击者以前主要用恶意软件攻击知名度高的媒体网站,但是发现引起的关注过大时,他们转而针对具有足够流量且不那么醒目的小型网站,例如国外网站以及文件共享站点等。这些网站通常会对恶意广告软件放松警惕,让攻击者有可乘之机。

攻击者主要依赖恶意广告软件来产生收益,但是也会用于收集个人信息或安装恶意软件,以便将来把这些受感染设备添加到僵尸网络中。

例如,近日,据媒体报道称,中国Rafotech公司使用“FireBall”恶意广告软件,成功感染了全球超过2.5亿台计算机设备,该恶意软件可以跟踪收集受害者的个人信息,还可以侦测受害者的网络流量,在受感染的设备上运行任何恶意代码、安装插件、甚至可以充当高效的恶意软件下载器以及将受感染设备部署到僵尸网络中等。

与管理网站的全职员工相比,承包商更有可能会忽略这种恶意广告软件威胁。SiteLock公司安全专家Logan Kipp表示,

如果不是全职的管理团队对恶意广告软件不会很熟悉,他们经常会忽视它,因为它们看上去跟合法软件很像,除非这些人去查看源代码,否则他们一般看不出端倪。

而每天需要维护应用程序的全职人员则更可能会注意到恶意广告软件的存在。企业可以通过修补系统和使用广告拦截器来降低恶意软件的传播风险。

2. 物联网(IoT)

盘点八大最易忽略的网络安全威胁,你中招没? 

SentinelOne的安全策略主管Jeremiah Grossman说,如果说到容易忽略的安全威胁,人们可能不会想到物联网设备(或者说是想到某些物联网设备)。

当提及物联网设备时,很多人只会想到智能配件或联网设备。但是其实,它不一定都是小的设备,也有可能是更大的东西,比如“工业控制系统(ICS)”等。像是Target公司2013年发生的攻击事件,攻击者就是从其HVAC(供热通风与空气调节)系统实施的渗透活动。

Optiv公司执行董事Dawn-Marie Hutchinson表示,也就是说,企业也不知道关键基础设施之外的新型物联网设备也有将其置于危险之中的可能性。

调查发现,如今64%的美国人在家办公,假设他们联网的冰箱遭到黑客入侵,那么可能会使其公司数据面临风险。但是大多数人并没有意识到这种风险的存在,所以没有对其家庭网络采取完善的保护措施。

Hutchinson继续说道,

如果你的冰箱能够攻破,它和你的笔记本电脑一起连接在网络上,那么如何保护你的电脑安全?企业知道保护自己的关键基础设施,但是他们不太了解,家用电器、婴儿监视器甚至智能门锁同样会对企业安全带来威胁。

物联网安全的部分原因是制造商不提供长期支持,使得技术暴露。从他们的角度来说,在不到十年的时间内停产一种产品更有意义,因为改变硬件的成本太高。

3. 薄弱的加密实践

 盘点八大最易忽略的网络安全威胁,你中招没?

企业不会忽视加密,但是他们会忽视正确的加密方式。大多数人已经掌握对传输数据进行加密,但是却忽略对静态数据进行加密保护,如此一来,也无法实现加密的全部意义。

Hutchinson说,

如果我们没有合适的安全平台——关键控件,身份访问管理——那么加密什么都不是。身份策略和软件数据管理实践不当会将信息置于危险之中。

同时,薄弱的密钥管理也会降低网络犯罪分子的进入门槛。许多企业选择将密钥存储在与数据相同的系统上,并向很多员工提供密钥信息。如果说每个人都可以访问密钥,那么加密与不加密又有什么不同呢?

4. 内存(in-memory)攻击

盘点八大最易忽略的网络安全威胁,你中招没? 

Grossman说,内存攻击占据他每天观察到的感染总数的20%-30%。攻击者通过让受害者从恶意的Word或Excel文档,或通过受感染网页上的浏览器启动恶意软件,来执行恶意软件。

他说,无文件威胁是防病毒软件不起作用的主要原因。因为防病毒系统主要通过签名二进制文件进行操作;而如果内存中没有二进制文件,那么就无所谓什么签名了。

Malwarebytes的Segura表示,无文件攻击是非常复杂的威胁,因为磁盘上根本无迹可寻。内存攻击是非常有趣的,因为其传播过程非常隐蔽,被捕获的机会很小。一旦设备重新启动,攻击也就消失了。

企业可以通过禁用任何端点或计算上不需要的宏(macro)来防御这种内存攻击。

5. 开源应用程序开发组件

盘点八大最易忽略的网络安全威胁,你中招没?

BluVector首席执行官Kris Lovejoy说,几年前,当我们构建一个应用程序时,我们会考虑这个问题。但是现在,构建应用程序的是没有安全经验的第三方机构,而且他们正在跳过我们过去所使用的检查点(checkpoints)和测试。

开发人员正在不安全的开发环境中,用着可能是恶意的工具来构建和测试应用程序。攻击者可以针对仍在生产中的应用程序实施攻击,那些看似无关紧要的应用程序可能正是通往更敏感信息的网关。

Lovejoy说,

人们正在使用由恶意行为者开发的技术。我们购买和整合软件组件的方式已经从根本上发生了变化。

如今的开发人员使用框架和小部件创建应用程序。他们更喜欢开源工具,但是他们或许不知道其中很多都是恶意行为者构建的。这些恶意行为者正期待你使用他创建的工具,然后寻找后门窃取个人和企业的数据信息。

虽然开发人员不一定需要进行安全培训,但是他们应该与安全团队合作,以确保自己行为的正确性。Lovejoy指出,自动化可以帮助开发人员在无需考虑这一点的情况下做出安全的决策。

6. “邪恶女仆”(Evil maid)攻击

 盘点八大最易忽略的网络安全威胁,你中招没?

越来越多的人习惯将未加密的企业设备带到家中、咖啡馆、酒店、机场以及其他联网的地方,这会增加企业遭遇攻击的风险。

2009年,知名安全专家Bruce Schneier在博客上讨论了一种名叫“邪恶女仆(evil maid)”的攻击方式。这种攻击方式很简单:第一步,攻击者需要接触你的电脑,通过从独立硬盘或分区启动计算机后,攻击者修改bootloader引导程序,关闭电脑;

第二步,你使用修改过的bootloader启动电脑,输入加密钥匙,当加密硬盘解锁后,这个引导程序就可能会安装恶意程序去获得密钥,通过互联网发送到指定地点或储存在非加密分区。

这种攻击方式之所以叫“邪恶女仆”,就是因为它类似于一种虚构情节:当你将加密笔记本留在饭店内离开去办事之后,女仆可以偷偷的进来修改bootloader,然后第二天再来抹掉痕迹。

商务旅行以及其他方式都是加重这类安全隐患,企业对此需要提高警惕,做好必备的防护措施。

7. 数据流通

盘点八大最易忽略的网络安全威胁,你中招没? 

越来越多的人开始依赖使用移动设备办公,但是企业并没有采取措施对存储在这些移动设备上的数据进行保护。越来越多的数据流通正在构成威胁。

Hutchinson说,

如今,用笔记本电脑办公的时代已经逐渐过去,人们正在使用智能手机、平板电脑等设备进行办公,办公过程中,我们必须用这些设备访问大量的数据,但是必须注意的是,想在这些设备中存储数据可与笔记本电脑不同,用户需要进行许多配置管理,以确保将数据存储在了正确的位置,而不是在他们的个人iCloud帐户中。

其实不仅是企业数据存在风险。许多终端用户在提交社交信息时也无法做到三思而行。他们为了获得赠品和折扣而不假思索地提交各种数据,包括电子邮件地址、家庭住址、用户名、联系方式以及Facebook信息等,所有这些数据在发生数据泄漏后都可以被轻松地利用、出售、滥用。

8.教育程度低下的员工

盘点八大最易忽略的网络安全威胁,你中招没? 

Optiv公司的Hutchinson说,

对个人隐私和数据安全缺乏基本认识,这不仅是被企业忽略的威胁之一,同时也是被整个社会忽略的威胁之一。

安全通常被认为是技术问题,而不是企业中每个成员的问题。学生们在年轻时也只是沉浸在技术研究中,在他们步入社会成为企业成员前很少会关注网络安全策略方面的知识。

Hutchinson说,

如果董事会成员不了解网络安全知识,我们会感到非常惊讶。企业中每个人都希望依赖首席信息安全官(CISO)来保障企业安全,但是CISO独自一个人根本无法阻断所有的入侵行为。企业早期进行更多安全和隐私培训的原因之一,就是帮助人们了解数据泄漏可以达到何种规模,以及其对个人生活的影响。

将培训扩展到企业组织中的每个人是至关重要的。黑客喜欢针对那些能够访问敏感数据的弱势群体,而不是更为了解风险的高管人员。我们要记住的是,现在哪家公司没有在线业务?我们所做的一切都是在线的,所以一定要重视上文总结的8项容易被忽视的安全威胁,正视之兼重视之,莫给威胁者留有可乘之机。

除了上述类型,你认为还存在哪些容易忽视的安全威胁类型?欢迎给我们留言分享你的观点。




原文发布时间为:2017年6月6日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
目录
相关文章
|
1月前
|
安全 算法 网络安全
网络安全的盾牌与利剑:漏洞防御与加密技术的双刃舞
【10月更文挑战第37天】在数字世界的海洋里,网络安全是航船的锚,保护我们的数据不受风暴侵袭。本文将深入浅出地探讨网络安全的两大支柱——漏洞防御和加密技术。我们将从网络安全的基本概念出发,逐步深入到漏洞的类型、检测方法以及防御策略。同时,我们也将探索加密技术的原理和应用,如何通过这一技术保护信息的完整性和私密性。最后,我们将讨论提升个人及组织安全意识的重要性,以及如何构建一个安全的网络环境。这不仅是技术人员的战斗,每个人都是自己信息安全的第一道防线。让我们一起扬帆起航,探索网络安全的世界,学习如何成为自己数据的守护者。
|
18天前
|
存储 安全 算法
揭秘网络安全的盾牌与矛:漏洞防护与加密技术的较量
在数字化时代的棋局中,网络安全是每个参与者必须面对的挑战。本文将深入探讨网络安全中的两个关键角色——漏洞与加密技术。通过分析最新的安全漏洞案例,我们揭示网络攻击者如何利用这些漏洞进行破坏。同时,我们将展示加密技术如何成为保护数据不被窃取的强大盾牌。文章还将讨论提升个人和企业的安全意识的重要性,并通过实际的代码示例,展示如何在实践中应用这些知识来加强我们的网络防线。
|
21天前
|
SQL 安全 网络安全
网络安全的盾牌与利剑:漏洞防御与加密技术的深度剖析
在数字化时代的浪潮中,网络信息安全成为维护个人隐私和组织资产的关键防线。本文将深入探讨网络安全的核心议题,包括常见的安全漏洞、先进的加密技术以及提升整体网络安全意识的重要性。通过分析最新的攻击手段和防御策略,旨在为读者提供一个关于如何构建更安全网络环境的实战指南。
|
4月前
|
安全 网络安全 数据安全/隐私保护
网络安全的盾牌与矛:漏洞防护与加密技术的较量
【8月更文挑战第27天】在数字世界的棋盘上,网络安全是王与后的较量——漏洞与攻击手段不断进化,而防御策略必须更为精妙。本文将深入探讨网络安全的两大支柱:漏洞防护和加密技术。我们将从基础概念出发,逐步揭示它们的重要性、工作原理以及如何实施有效策略来保护信息安全。通过生动的比喻和直观的解释,即使非专业人士也能获得必要的知识武装,共同构建更安全的网络环境。
|
4月前
|
SQL 安全 算法
网络安全的盾牌与矛:漏洞防御与加密技术的较量
【8月更文挑战第26天】在数字世界的棋盘上,网络安全是永恒的战场。本文将带领读者穿梭于网络的丛林,揭示隐藏在暗处的陷阱——安全漏洞,并探讨如何通过加密技术铸造坚不可摧的盾牌。从基础概念到实战策略,我们将一探究竟,如何在信息的海洋中航行而不触礁沉船。
|
4月前
|
安全 网络协议 网络安全
网络世界的生死较量:揭秘漏洞、加密与意识,构筑固若金汤的安全防线!
【8月更文挑战第21天】网络安全如现代盾牌与矛,保护数据免遭侵害。本文探讨关键三要素——漏洞、加密与意识,并提供示例代码。漏洞是系统的薄弱点,需定期审计;加密确保数据安全,即使被截取也难以破解;意识提升则为第一道防线,通过培训等手段加强。这三者结合,构建坚不可摧的网络防护体系。
54 4
|
5月前
|
安全 网络安全 量子技术
网络安全的盾牌与矛:漏洞、加密技术与安全意识的较量
在数字时代的浪潮中,网络安全成为维护信息安全的前沿阵地。本文将深入探讨网络安全中的漏洞挖掘、加密技术的演进以及提升安全意识的重要性,旨在为读者提供一场关于如何加固网络防护和提高个人及组织信息保护能力的洞察之旅。从最新的网络攻击手段到防御策略的升级,我们将一同穿梭于这场看不见硝烟的战争之中,揭示那些隐藏在代码背后的秘密,并展望一个更加安全的网络未来。
32 1
|
5月前
|
安全 网络安全 数据安全/隐私保护
网络安全的盾牌与利剑:漏洞防护与加密技术的较量
【7月更文挑战第21天】在数字世界的棋盘上,网络安全是一场持续的攻防战。本文将探讨网络安全中的关键要素——漏洞管理和加密技术,并分析它们如何成为保护信息安全的盾牌与利剑。通过深入剖析最新的网络攻击案例和防御策略,揭示安全意识的重要性以及如何通过教育和培训来提升个人和组织的安全防御能力。文章旨在为读者提供一套实用的网络安全知识框架,以便更好地理解、应对和预防网络威胁。
47 1
|
5月前
|
监控 安全 网络安全
网络安全的盾牌与矛:探索漏洞防御与加密技术的较量
在数字世界的不断扩张中,网络安全成为了守护信息资产的重要战线。本文将深入探讨网络安全的两个关键方面:安全漏洞及其防御机制和加密技术的应用与发展。通过分析近期的安全事件、统计数据和案例研究,我们旨在揭示网络攻防之间的复杂关系,并提供实用的安全意识提升策略。文章不仅着眼于技术层面的解决方案,还强调了人为因素在安全防护中的重要性,旨在为读者提供全面的网络安全知识框架。
|
6月前
|
安全 算法 网络安全
网络安全的盾牌与矛:漏洞挖掘、加密技术与安全意识的培养
在数字时代的浪潮中,网络安全与信息安全的重要性日益凸显。本文将深入探讨网络安全的三大支柱:网络漏洞的挖掘与防御策略、现代加密技术的应用及其局限性,以及提升个人和组织的安全意识。通过分析最新的研究成果和实际案例,我们旨在为读者提供一套全面的网络安全知识框架,以应对不断变化的网络威胁环境。