网络安全是当前一个非常热门的话题,网络泄密、系统瘫痪、斯诺登事件......都在不断挑战所有人互联网人的神经。大家都在担忧自己的隐私会不会被泄露出去,公司的敏感信息怎么来保护。当然,这也是一个非常好的现象,说明现在大家的安全意识已经越来越高了!
但是,也有一些不好的现象,比如很多公司的管理层认为,网络安全是大公司才需要考虑的事情,小型的创业公司并没有什么价值吸引黑客来攻击。在笔者看来,这种想法是非常危险的,任何一点点疏漏都可能给企业带来「灭顶之灾」 。但是,很多小公司受限于技术水平,又很难应对网络攻击。本文就来介绍中小企业该如何准备和应对网络攻击,避免自己的信息泄露和财产损失:
为什么黑客要攻击中小企业呢?
诚然,对黑客来说攻克大公司的网络绝对是名利双收的事情:拿到非常多有价值的东西,能够上新闻头条。但是大公司的安全防范和追踪能力都是非常高的,对黑客而已,成本和风险也都随之提高。对于中小企业,安全防范比大公司要低多了,同时有价值的东西也绝对比个人要高非常多。 所以中小企业绝对是黑客最理想的目标和「点心」。
另外一点,就是中小企业安全防范意识比较差,黑客也非常清楚这一点,研究证明:97%的中小企业在将来的业务发展中不重视网络安全,82%的中小企业认为他们没有什么有价值的东西值得黑客来攻击,只有23%的中小企业人他们担心自己的信息被偷窃。
数据还是有点「触目惊心」的,对于特别小的企业,黑客可能没有兴趣专门做针对性的攻击,但是也很难避免广泛的扫描性的攻击,这些攻击都是通过软件自动化对所有网站进行扫描,只要您的网站一上线,可能第一个用户就是各种漏洞扫描工具的攻击。
现在网络上已经没有任何「私人花园」的存在了。这种攻击成本是非常低的,一旦发现你的漏洞,就可以以极小的代价攻破您的网络,一旦攻破,你的网站将被黑客接管,所有有价值的信息都被一扫而空,然后您的网站将可能成为一个「肉鸡」,成为网络攻击的一环。对黑客来说这也是非常有价值的事情。
当然现在有很多关于网络安全事件的报道,很多人都已经有这方面的意思了,但是大家对如何如何防范网络攻击还是没有头绪。下面笔者将一一进行介绍:
网络攻击的常见类型
通常来说,网络攻击的目的是窃取和利用敏感信息比如信用卡号、个人身份证、客户信息等等,黑客可以利用这些信息直接窃取客户的财务或者滥用个人信息牟利。网络攻击的手段和动机多种多样:比如网络黑客或者网络罪犯可能是不加区分的攻击,然后攻击尽可能的的目标以获取尽可能多的敏感信息,也可能是去持续的攻击某个特定的目标,也有可能是前雇员为了报复前雇主,还有可能是内部员工为了牟利窃取内部机密。
不管动机如何,网络攻击通常有以下几种常用的攻击方式和手段(由于篇幅和能力的限制,这绝对不是潜在攻击的详尽列表),但是对于这几种非常常用的攻击方式大家还是应该了解一下到底是什么,如何进行防御:
APT 高级持续攻击
这种最近几年进行的新型高级攻击方式,它是针对特定的目标进行持续、分阶段的进行攻击,没有有特征码,没有明显的危害行为。防火墙、杀毒软件以及沙箱基本上是根据特征库和行为方式进行防御,对 APT基本上是无能为力。APT 攻击在大部分时间就是一个普通的进程,没有任何威胁,它可以潜伏很长时间,也可以从底层员工逐步渗透到高层员工的电脑里面,一旦找到有价值的信息在很短的时间发起攻击。一个 APT 通常可以分为五个阶段,它们是侦察(研究和了解目标),入侵(通过常用方式将攻击程序嵌入,比如个人简历等),发现(不断渗透发现有价值的目标),捕获(通过长时间来采集数据)和渗出(通过正常途径将敏感信息发出)。
漏洞攻击
漏洞是因为程序的 Bug 导致的,分布范围非常的广泛。从系统角度来看,有路由器、防火墙、服务器的漏洞等。从软件角度来看有操作系统漏洞、服务器容器漏洞、第三方软件漏洞、各种协议的漏洞以及自己编写的应用程序的漏洞。比如「心脏出血漏洞」就是加密通讯软件 OpenSSL 的一个漏洞导致。通常黑客通过扫描工具对一定范围的服务器进行扫描找漏洞,这种成本很低,但是只能找到一些通用的漏洞,大公司一般都会及时修复。还有就是对高价值的服务器进行专门的漏洞挖掘。黑客找到漏洞了,攻击就是比较容易的事情了。漏洞防范需要投入大量的人力和物力,并且总是出现百密一疏的情况。
DDoS: 分布式拒绝服务
其主要目标是通过巨量网络访问,使目标服务器负载超出设计能力,服务器瘫痪,无法为用户提供服务。如果用户完全依靠被攻击服务器,就可以达到完全拒绝服务的效果。
内部攻击
内部攻击是最难防范的,大部分成熟的软件可能都没有把这种当成一种攻击,一般有这几种情况发生:有管理员权限的员工故意或者误操作访问公司敏感信息,含恨离开但是还拥有访问权限的员工恶意访问公司敏感信息(这种情况通常通过加强管理和签订保密协定来解决),还有就是黑客通过提升权限或者攻入网络模仿内部访问的方式取得敏感信息。
恶意软件
这是对所有植入目标系统并对系统进行破坏和未授权访问的所有软件的统称,包括病毒、间谍软件、蠕虫、木马和键盘记录器、勒索等等。更多的恶意软件请搜索百度。
密码攻击
破解密码是黑客获取目标帐户和数据库最简单的方式。有三种主要类型:暴力破解,通过不过猜测并尝试知道找到正确的密码;字典攻击,它使用一个程序尝试字典中的单词的不同组合;按键监控,追踪用户所有的按键,包括登录 ID 和密码。
钓鱼网站
这是通过部署方式进行攻击的最常见方式,黑客通过发邮件或者第三方网站嵌入虚假连接的方式将客户引入一个和原来网站外形非常相识的假网站,盗取用户的个人信息以及登录认证信息。现在各方对钓鱼网站的认识和重视越来越高,比如通过搜索引擎出来的结果都是可信的,大的官方网站也不断的屏蔽钓鱼网站,中钓鱼网站攻击的人也相应的降低了。但是黑客的攻击方式也越来越高明,企业还是要对最这方面的攻击保存足够的重视。
中小企业在安全保护上一些误区
当然,大公司有更多的资源和人力投入到安全保护中来,很多安全问题都能得到快速和及时的处理,而对于中小企业来说就没有这么多的预算和安全人才来专门进行安全方面的保护。但是缺乏资源不是不就行安全保护的接口:安全至关重要,今天也许没有遭到黑客的攻击,但谁能保证未来一定不会呢?其实可能遭到攻击自己都不清楚。
现在越来越多的数据都在网络上能访问到,这对黑客的吸引力越来越大,再加之现在计算机技术的运行速度越来越快,攻击手段越来越多,黑客大规模扫描和破解密码的成本越来越低,也越来越简单。对所有企业而言,安全保护变得越来越重要。
但是中小企业对安全保护认识度还不够,存在以下几方面的误区:
没有安全防护行动计划:Towergate infographic 研究标明31%的中小企业没有应对网络攻击的行动计划,22%的小企业根本不知道安全防护从哪里开始。在中国中小企业设备「裸奔」的情况更加严重,大多数企业就是买一台防火墙就认为万事大吉了。其实安全防护需要一个比较完整的行动计划。一旦网络攻击发生,在应对已经晚了。
自我感觉很安全:很多中小企业认为安全是政府的事情,出了安全事故有公安机关来追查,但是网络攻击时非常复杂和隐蔽的,政府的防火墙和保护措施在很大程度上是覆盖不到企业的。出了问题追查是非常复杂的事情。还有企业认为自己没有什么可以被黑客惦记的,实际上现在黑客技术的发展非常快,普通用户的攻击成本是非常低的,实际上很多时候攻击已经发生,信息已经泄密了。只是自己不知道而已。
对内部「黑客」监控忽视:在大部分中小企业,特别是一些初创企业,认为大家都是自己人,没有任何安全流程和规范。对内部人疏于监管。但事实上很多信息敏感信息都是内部人员泄露的,「近水楼台先得月」。内部人员具备非常好的有意或者无意泄密条件,现实比你想象得更严重,据美国欺诈审查员协会统计,全球内幕欺诈2014总共涉案3.7万亿美元。
