天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

中小企业常常忽视的十大网络安全威胁(上)

2012-11-1851cto佚名

  为了能让有限的资源应付无穷的安全保护需求,中小企业往往不得不忽略掉各类潜在的威胁。最理想的保护措施在于防患于未然,制定策略将问题消灭在萌芽状态。但是在这之前,我们必须了解中小企业的网络安全威胁到底是什么?以下列举的是最近的调查显示的中小企业常常忽视的十大网络安全威胁。

  1.银行账户劫持

  网络犯罪分子每年都会利用银行服务类木马袭击上百家小型企业,他们能够借木马之力控制被害者的计算机,让银行服务器端误以为是真正的客户在操作。臭名昭著的Zeus正是木马家族中最“杰出”的代表;它能够在数分钟时间里从企业的银行账户中提取出成百上千美元,活脱脱现实世界中的吸血鬼。

  早在2009年,网络窃贼们就曾经对缅因州一家名为Patco的建设公司痛下杀手,通过感染该企业的计算机在不到一周的时间里从银行账户中豪夺58万9千美元赃款。尽管Patco公司及时向银行方面递交了事故报告,但最终仍然只追回了不到半数的损失。

  Patco公司虽然逃过了灭顶之灾,但大多数中小企业仍然面临着网络犯罪分子们的致命威胁。一般来说,只要是由客户计算机遭到入侵所导致的财务损失,大多数银行都不会给予赔偿或者追讨。“如果您是小型企业的负责人,请务必小心——那些恶意人士会把银行账户彻底掏空,而我们一点办法都没有。”赛门铁克公司安全响应部门主管Kevin Haley建议道。

  截至目前,法庭仍然倾向于银行方:就在去年,Patco公司的财务管理方Ocean银行就在判决中赢得主动,获得了不必为资金意外转移负责的有利裁定。

  在这样严峻的事态下,最好的防御方案就是确保企业使用单独一台专用计算机处理网上财务事宜——这台设备没有邮件系统、不装网络浏览器,连操作系统也严禁随意登录,Haley告诉我们。“有能力访问这些财务账户的人越多,就会有更多设备进行在线查询及操作,同时也将带来更高的安全风险,”他解释道。

  2.网站劫持

  许多小型企业的官方网站并不会用于出售产品,而完全是为了吸引客户。但也有不少公司跟Endless Wardrobe一样,需要在网站上直接进行产品及服务销售。无论是哪一种情况,拒绝服务攻击这种致命的侵袭都极为可怕——攻击者利用这种方式占据大量带宽,使得网站无暇处理正常客户的合法交易。

  过去,以拒绝服务攻击为手段的敲诈勒索者们大多将注意力放在那些名声不好的公司身上,例如在线博彩公司或者色情网站。但现在犯罪分子的胃口越来越大,他们已经开始对所有安全技术薄弱、无力抵御网络攻击的小企业们展开侵袭。

  包括CloudFlare、Incapsula以及Prolexic在内的许多服务商都能帮助企业用户对抗拒绝服务攻击。他们的方法是创建一套“安全”网络——即经过严格控制的业务社区,任何恶意流量在访问企业客户之前都会被过滤机制拦截下来,这一方面阻绝了不良请求、另一方面也保障了正常交易的进行。

  3.由员工造成的数据泄露

  虽然说员工是小型企业的最大财富,但他们同时也是最可能引发灾难的潜在风险。他们很可能在不经意之间点击了高危链接、打开了不知附件或是犯下最基本的安全失误,总之这些“不明真相”的群众常常扮演着攻击者们“内应”的角色。

  只要能够获得一组密码,犯罪分子就能够顺藤摸瓜、窃取企业整套系统中的全部密码,接下来“针对企业展开的攻击步骤将势如破竹、铺天盖地,”管理技术供应商Thrive网络公司总裁Jim Lippie如是说。

  除此之外,对公司心怀不满的员工还可能搞出蓄意破坏等大麻烦来,这甚至比恶意人士的攻击更难应对。

  首先要对公司员工进行安全实践教育,从选择高强度密码开始贯彻良好的保护机制。在许多中小企业中,员工都喜欢用同一套密码或者有限的几组密码来访问公司资源及在线服务,更有甚者还将业务密码与个人密码混为一谈。此外,过分简单的密码内容也是常见的安全失误之一。

  其次,应该对员工进行背景调查,掌握哪些员工曾经造成过安全问题或者工作失误。严格控制员工对企业敏感资源的访问权限,例如客户清单以及财务信息等。利用安全及员工活动监控系统收集来自网络的信息,并划拨50美元每人的开支对所有可疑活动及日志内容进行分析——这对于小型企业而言也许价格不菲,但中型企业绝对值得尝试这套方案

  4.通过服务供应商开展的隐藏攻击

  大多数小型企业会借助第三方服务供应商来管理某些技术或业务难题。托管网站啦、创建内部邮件系统啦、使用云存储服务啦或者管理销售点系统啦,这些看似平常的工作都不是小企业自己能够处理的,必须由第三方帮助解决。但到这儿问题就来了——只要合作关系确立,双方就成了一条绳上的蚂蚱,供应商的安全漏洞也会对我们自己产生影响。

  CloudFlare公司所遭受的攻击就是典型的例子,恶意人士从一开始就将目标设定为夺取CloudFlare的客户访问权上。比起直接对企业本身展开攻击,很多犯罪分子更喜欢对网络安全供应商下手——这样可谓一箭多雕,只要攻击得手,全部客户都会成为任人宰割的板上鱼肉。

  根据安全服务供应商Trustwave公司(这家企业主要为零售及医疗机构提供服务)的调查分析,去年,76%的数据外泄事故与第三方系统管理有关。无独有偶,Verizon公司发布的年度数据泄露调查报告同样指出,在遭受数据泄露困扰的企业用户中,有46%采用了第三方合作伙伴的管理方案,且这一比例在过去三年中持续走高。

  现在我们需要跟自己的服务供应商好好聊聊,寻求规避风险的最佳途径。电子邮件服务供应商必须正视安全问题的重要性,因为邮件系统往往是抵御攻击时最薄弱的环节。

  “对于小型企业而言,员工的邮件账户就像一把万能钥匙,能够打开所有相关业务账户的大门,”Prince指出。“只要黑客成功取得邮件账户的控制权,那么其它所有账户的安保机制都将形同虚设。”许多攻击者都会利用由云服务供应商提供的邮件账户恢复机制来夺取企业托管服务的控制权。举例来说,遭遇侵袭的CloudFlare公司就选择将的私人邮箱地址作为企业在谷歌应用的官方账户,这样一来密码重置确认邮件就落入了恶意人士手中,后果自然不言而喻。

  “花一整天时间为官方网站被攻击而向客户道歉当然很不好受,但如果黑客一下子划走数十万美元,那么企业将立刻面临倒闭。”——Internet Identity公司CEO Lars Harvey

  许多新兴企业及小公司都采取了与CloudFlare同样的处理方式,这就给将来的事故埋下祸根。

  各类财务事务也是值得关注的安全重点。第一,别利用自动票据交换交易进行企业间的转账活动,或者说应该尽可能禁用这项功能。其次,问问公司选择的银行能否提供额外的安全措施,例如双重身份验证、资金转移电话确认等机制,这些都能有效阻断恶意人士的阴谋诡计。

  “要想安全地跟银行打交道,大家必须先确保自己拥有强大的控制权,否则赶紧换家合作银行,”Internet Identity公司CEO Lars Harvey告诉我们,这是一家专门处理客户互联网事务安全的企业。

  讨论安全性话题应该成为选择第三方服务商的标准流程,Prince表示。由于经受到严重的恶意攻击,CloudFlare公司如今要求每一家供应商都必须提供严格的安全保障。

  “‘贵公司能为我们的账户提供哪些额外安全保护?’如今在考虑与供应商开展合作之前,我们都会首先提出这个问题,”他告诉我们。

  每一家供应商都应该有能力提供双重身份验证机制,例如便携型实时密码生成装置或者通过短信发送确认信息等。除此之外,我们还应该选择安全机制健全的移动手机品牌及管理企业,这样才能保证手机遗失后不会发生账户失窃等一系列后续问题。

本文来源:51cto 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行