奇安信提示:長假期間政企單位需重點防范七大網絡安全風險隨著政企用戶數字化轉型的深入,也帶來了更多的未知網絡安全風險。平時,企業網絡安全人員全天值守,遇到問題也能夠快速處理。國慶8天小長假將至,為了讓網絡安全人也有一個愉快的假期,奇安信根據近年來的網絡安全應急響應實踐,總結出了長假期間政企用戶常見的七大網絡安全風險。希望能幫助網絡安全人提前做好預防和排查,避免“踩坑”。
風險1:勒索病毒
圖:2017年5月爆發的WannaCry勒索病毒勒索信風險特點:系統一旦遭受勒索病毒攻擊,將會使大多數文件被加密,并添加一個特殊的后綴,導致受害者無法讀取原本正常的文件,從而造成無法估量的損失。攻擊者通過這樣的行為向受害用戶勒索高昂的贖金,這些贖金必須通過數字貨幣支付,一般無法溯源,因此危害巨大。
如何預防:網絡安全人員可以充分利用云端免疫技術,由云端下發免疫策略或補丁,幫助用戶做好防護或打補丁,對于無法打補丁的用戶終端,免疫工具下發的免疫策略本身也具有較強的定向防護能力,這種技術已應用于奇安信終端安全方案中。但是云端免疫技術只是一種折中方案,其安全性仍然比打了補丁的系統有一定差距。
勒索病毒無論采用什么技術,基本的特點就是對文檔進行篡改。通過監測系統中是否存在文檔篡改行為,并對可能被篡改的文檔加以必要的保護,就可以在相當程度上挽回勒索病毒攻擊的損失。文檔自動備份隔離技術可以在用戶終端的文檔出現被篡改情況時,第一時間將文檔自動備份在隔離區,用戶可以隨時恢復文件。另外,攻擊者之所以能夠滲透進入企業服務器,絕大多數情況都是因為管理員設置的密碼為弱密碼或賬號密碼被盜,因此加強登陸密碼的安全管理也是一種必要的反勒索技術。
風險2:挖礦木馬
風險特點:挖礦木馬會利用各種方式入侵系統,利用被入侵系統的計算能力挖掘加密數字貨幣來牟利。挖礦木馬為了能夠長期在服務器中駐留,會采用多種安全對抗技術,如修改計劃任務、防火墻配置、系統動態鏈接庫等,這些技術手段嚴重時可能造成服務器業務中斷。
如何預防:首先要避免使用弱口令,在服務器登錄賬戶和開放端口上的服務使用強密碼。二是要及時打補丁,相應廠商在大部分漏洞細節公布之前就已經推送相關補丁,及時為系統和相關服務打補丁就能有效避免漏洞利用攻擊。三是對服務器進行定期維護,挖礦木馬一般會持續駐留在主機/服務器中,如果未定期查看服務器狀態,挖礦木馬就很難被發現。
風險3:Webshell腳本
風險特點:網頁中一旦被植入了Webshell,攻擊者就能利用它獲取服務器系統權限、控制“肉雞”發起DDoS攻擊、篡改網站、網頁掛馬、作為用于隱藏自己的代理服務器、內部掃描、植入暗鏈/黑鏈等一系列攻擊行為。
如何預防:網絡安全人員可以配置防火墻并開啟相關策略,防止暴露不必要的服務為黑客所利用。對服務器進行安全加固,如關閉遠程桌面功能、定期更換密碼等。加強權限管理,對敏感目錄進行權限設置。安裝Webshell檢測工具。排查程序存在的漏洞并及時修補。備份數據庫的重要文件。注意服務器中是否有來歷不明的可執行腳本文件。對系統文件上傳功能,采用白名單上傳文件,上傳目錄權限遵循最小權限原則。
風險4:網頁篡改
風險特點:網頁篡改一般有明顯的網頁篡改和隱藏式兩種。明顯的網頁篡改如攻擊者為炫耀自己的技術技巧或表明自己的觀點,如YouTube被黑客入侵大量 MV 消失和簡介被篡改事件;隱藏式篡改一般是將被攻擊網站植入色情、詐騙等非法信息,再通過灰黑色產業牟取非法的經濟利益。
如何預防:網絡安全人員可以采取以下的技術手段,阻止網頁被篡改或將危害降到最低。為服務器升級到最新的安全補丁,打補丁主要是為了防止緩沖溢出和設計缺陷等攻擊。封閉未用但已經開放的網絡服務端口以及未使用的服務。使用復雜的管理員密碼。網站程序要有合理的設計并注意安全代碼的編寫。設置合適的網站權限,對網站目錄文件權限設置原則是只分配需要寫入的目錄寫的權限,其它全為只讀權限。采取安裝ARP防火墻并手動綁定網關mac地址等措施防止ARP欺騙的發生。
風險5:DDoS攻擊
風險特點:絕大部分的DDoS攻擊都是通過僵尸網絡產生的,當確定受害者的 IP 或域名后,僵尸網絡控制者發送攻擊指令后,隨后就可以斷開連接,指令在僵尸程序間自行傳播和執行,每臺僵尸主機都將做出響應,同時向目標發送請求,這可能致使目標服務器或網絡溢出,導致拒絕服務。
如何預防:對于DDoS攻擊防護來說,本質上只能緩而不能完全的防御,我們主要分析防御的思路。在攻擊前的防御階段,網絡安全人員需要多關注安全廠商、CNCERT等機構發布的最新安全通告,及時針對攻擊進行針對性防護策略。服務器禁止開放與業務無關端口,并在防火墻上對不必要的端口進行過濾。在攻擊時的緩解階段,需要根據相關設備或對流量分析來確認攻擊類型,在安全設備上進行防護策略的調整,對異常訪問進行限制。如果攻擊流量超過本地最大防御限度,可以有條件的接入運營商或CDN服務商對流量進行清洗。在攻擊后的追溯總結階段,要對攻擊期間的日志進行保存、分析,整理出攻擊IP,方便后續的追溯。
風險6:數據泄露
風險特點:數據泄露主要是外部數據泄露和內部數據泄露。外部數據泄露包括政企用戶自身的供應鏈、第三方供應商以及通過搜索引擎、網盤、公開的代碼倉庫、社交網絡等互聯網渠道所導致的數據泄露;內部數據泄露主要包括內部人員竊密、終端木馬竊取,基礎支撐平臺、內部應用系統等數據違規導出所導致的數據泄露。
如何預防:網絡安全人員要做好自身供應鏈和第三方供應商的數據訪問控制,尤其需要做好審計措施。還要做好互聯網應用服務的安全配置并定期巡檢避免違規共享被搜索引擎收錄。互聯網應用系統正式上線前應進行全面的滲透測試,盡可能避免未授權訪問、弱口令、SQL注入等攻擊手段導致數據泄露。
針對數據內部泄露問題,要針對業務系統運營人員和運維研發人員的訪問權限做好訪問控制,建立終端準入機制,統一部署殺毒和終端管控軟件,通過安全意識培訓培養良好的終端使用習慣,避免數據通過終端被竊取。
風險7:流量劫持
風險特點:流量劫持通過在應用系統中植入惡意代碼、在網絡中部署惡意設備、使用惡意軟件等手段,控制客戶端與服務端之間的流量通信、篡改流量數據或改變流量走向,造成非預期行為的網絡攻擊技術。在日常生活中經常遇到的流氓軟件、廣告彈窗、網址跳轉等都是流量劫持表現形式。
如何預防:常見的流量劫持有DNS劫持、HTTP劫持、鏈路層劫持等。針對DNS劫持,網絡安全人員可以通過鎖定Hosts文件不允許修改,配置本地DNS為自動獲取或設置為可信DNS服務器,路由器采用強口令密碼策略,使用加密協議進行DNS查詢等方式預防。HTTP劫持關鍵點在于識別HTTP協議和HTTP協議為明文協議,通過使用HTTPS進行數據交互即可預防HTTP劫持。針對鏈路層的TCP劫持,可以使用加密通信以及避免使用共享式網絡。針對ARP劫持可以避免使用共享式網絡、將IP和MAC靜態綁定、使用具有ARP防護功能的終端安全軟件和網絡設備等方式有效預防。
最后,奇安信稱,如果政企用戶遇到網絡安全問題也勿慌,可以撥打奇安信應急響應服務7*24小時熱線4009 727 120。奇安信應急響應服務致力于成為“網絡安全120”,業務已覆蓋了全國31個省份,能提供7*24小時的網絡安全應急響應服務,幫助客戶盡可能的減少安全事件所帶來的經濟損失以及惡劣的社會負面影響。