過去���,我們總以為網(wǎng)絡(luò)威脅離我們很遠�,或是自認為不會上當受騙。然而�,我們往往高估了自己���,卻又低估了那些網(wǎng)絡(luò)不法分子。
就像電影《孤注一擲》中����,高智商程序員被騙到境外詐騙集團�,無法逃脫;深陷騙局泥潭的碩士畢業(yè)生�,最終走上絕路……
這部以現(xiàn)實為題材的影片��,敲響了我們每一個人心中的警鐘����,也引發(fā)了我們對網(wǎng)絡(luò)安全的高度關(guān)注�。
而謹防網(wǎng)絡(luò)詐騙事件的發(fā)生,除了要提升普通大眾的網(wǎng)絡(luò)安全意識之外���,為大眾提供服務(wù)的企事業(yè)組織更需要加強自身服務(wù)的網(wǎng)絡(luò)安全與可靠性。
況且�,從每年曝出的網(wǎng)絡(luò)勒索事件來看��,保護網(wǎng)絡(luò)安全同樣關(guān)乎著企業(yè)自身財產(chǎn)安全��,甚至是企業(yè)的生死存亡。
近期���,攻防對抗“正在進行時”���。這正是一次企業(yè)組織檢測自身網(wǎng)絡(luò)安全能力的大好時機����。如何在這場攻防演練中����,向企業(yè)自身以及用戶證明自己的網(wǎng)絡(luò)安全能力����,是企業(yè)作為藍隊防守方的必達使命。
1�����、身份安全是網(wǎng)絡(luò)安全的第一道防線
身份安全作為網(wǎng)絡(luò)安全的第一道防線。無論是在網(wǎng)絡(luò)詐騙中���,還是在企業(yè)攻防演練中,身份信息都是被攻擊的首要目標����。
據(jù)權(quán)威調(diào)查數(shù)據(jù)顯示:85%的數(shù)據(jù)泄露涉及人的因素��,而其中61%的數(shù)據(jù)泄露牽涉到登錄憑證�����。無論是人還是登錄憑證�����,都和身份安全有著緊密聯(lián)系�。
因此����,企業(yè)如何有效防范和應(yīng)對各種圍繞“身份”展開的攻擊��,從而提升企業(yè)身份安全水平��,保障企業(yè)自身與用戶的信息與數(shù)據(jù)安全��,是企業(yè)在這場攻防演練中需要重點關(guān)注的環(huán)節(jié)之一�����。
2����、常見的身份攻擊手段與防范建議
派拉軟件列舉了企業(yè)目前面臨的部分最常見的身份攻擊手段,并給出對應(yīng)的防范建議:
01 釣魚攻擊
釣魚攻擊是指攻擊者偽裝成受信任的主體�,通過發(fā)送看似來自可信��、合法來源的電子郵件為“誘餌”�,試圖欺騙受害者打開�����,即“上鉤”���,從而發(fā)生網(wǎng)絡(luò)釣魚攻擊��。
很多情況下���,你可能沒有意識到自己已被入侵,這使得攻擊者可以在沒有任何人懷疑惡意活動的情況下追蹤同一組織中的其他人��。
從而�,將攻擊范圍擴大的整個企業(yè)。這種攻擊結(jié)合了社會工程和技術(shù)����,通常用于竊取用戶數(shù)據(jù)�����,包括登錄憑證�����、信用卡號等����。
針對這類型的攻擊�,企業(yè)可以結(jié)合派拉軟件多因素身份認證�,也是企業(yè)抵御網(wǎng)絡(luò)釣魚攻擊的最有效方法����。因為它在登錄敏感應(yīng)用程序時,添加了多重驗證�����。
即使擁有了員工賬號密碼��,多因素身份認證平臺也會阻止攻擊者使用員工被泄露的憑證��。因為僅憑這些還不足以進入企業(yè)重要應(yīng)用系統(tǒng)�,還需要結(jié)合短信驗證��、人臉識別等多種加強認證方式進行驗證����。
其次�����,企業(yè)還應(yīng)加強實施嚴格的密碼管理策略��。例如�,結(jié)合派拉軟件統(tǒng)一身份管理平臺����,自動設(shè)置賬戶密碼復雜度要求,并要求員工定期更改密碼���,以及不允許在多個應(yīng)用程序中重復使用一個密碼等。
02密碼攻擊
密碼通常會被用作一種個人訪問計算機系統(tǒng)或應(yīng)用程序的身份驗證工具���。因此,針對密碼的攻擊是攻擊方常采用的攻擊手段之一��。
目前用于執(zhí)行密碼攻擊的技術(shù)很多�����,如使用字典、暴力破解���,基于密碼規(guī)則���,嘗試密碼猜解等��。
其中���,字典攻擊是一種使用常用單詞和短語(例如字典中列出的單詞和短語)來嘗試猜測目標密碼的技術(shù)��;暴力破解則是使用有關(guān)個人或其職位的基本信息來嘗試猜測他們的密碼�����。例如�����,姓名�、生日等的不同組合��。
針對這類型的密碼攻擊���,最有效的方法是設(shè)置鎖定策略,使得攻擊者在一定次數(shù)的失敗嘗試后��,平臺會自動鎖定對設(shè)備�、網(wǎng)站或應(yīng)用程序的訪問��,從而禁止攻擊者再次訪問。
若已經(jīng)制定了鎖定政策���,并發(fā)現(xiàn)帳戶由于登錄嘗試次數(shù)過多而被鎖定,系統(tǒng)即刻提醒改密操作�,甚至強制執(zhí)行��。
當然�,企業(yè)存在的弱密碼��、默認密碼往往是極易被攻克的���。所以,企業(yè)統(tǒng)一身份管理系統(tǒng)具備定期監(jiān)測企業(yè)高危賬戶密碼功能���,并及時提醒也是必不可少的����。
03撞庫攻擊
撞庫攻擊通常是使用自動化工具在不同的網(wǎng)站和服務(wù)上嘗試大量用戶名和密碼組合來找到對應(yīng)的匹配項。
通俗理解就是攻擊者通過收集已泄露的用戶和密碼信息���,生成對應(yīng)的字典表�,嘗試批量登陸其他系統(tǒng)應(yīng)用后���,得到一系列可以登錄的賬號密碼���。
這樣的攻擊能成功往往是由于很多用戶在不同系統(tǒng)應(yīng)用中使用的是相同的賬號密碼���,因此攻擊者可以通過獲取用戶在A網(wǎng)站的賬戶嘗試登錄B網(wǎng)址,也就是進行撞庫攻擊���。
撞庫攻擊取決于密碼的重復使用。因此�,結(jié)合身份管理平臺,利用技術(shù)手段強制員工用戶執(zhí)行嚴格的賬戶密碼管理策略,是企業(yè)有效防范該類攻擊的有效方法之一�。例如,針對密碼強度�、定期修改密碼等����;
此外,加強人機防控策略����,將包括登錄���、注冊����、找回密碼�����、獲取短信驗證碼等接口中“機器”的訪問請求和“真實的人”區(qū)別出來�����;加強重要系統(tǒng)的二次認證等��。
04注入攻擊
注入攻擊是指攻擊者使用惡意代碼注入或感染 Web 應(yīng)用程序以檢索個人信息或破壞企業(yè)系統(tǒng)的過程���。
攻擊者誘使企業(yè)系統(tǒng)認為該命令是由管理員發(fā)起的���,并盲目地處理該命令。常見注入攻擊有SQL注入�、代碼注入等。
針對注入攻擊���,你會發(fā)現(xiàn)用戶輸入是它的主要來源。所以控制用戶對應(yīng)用程序的輸入�����,則可以很好地避免注入攻擊�����。
因此,企業(yè)可以采取最小權(quán)限模型���,結(jié)合身份管理,通過控制管理員權(quán)限來限制外部攻擊者獲得該賬戶權(quán)限時的訪問��,并結(jié)合使用參數(shù)傳值����、基礎(chǔ)過濾和二次過濾����、漏洞檢測工具�、安全參數(shù)��、數(shù)據(jù)庫加密等策略����。
除上述列舉的4大攻擊之外����,像會話劫持、惡意軟件攻擊等等�,幾乎所有場景攻擊利用最終都需要用到身份�。這也是為什么身份安全一直以來都是企業(yè)安全的基礎(chǔ)設(shè)施。
而隨著網(wǎng)絡(luò)邊界的日益模糊��,身份被定義為新的安全邊界�。網(wǎng)絡(luò)架構(gòu)有了新發(fā)展,攻防趨勢也隨之變化����。過去基于威脅特征“一刀切”的黑名單機制將逐漸被以“身份”為中心的零信任安全架構(gòu)為代表的白環(huán)境分析手段替代。
企業(yè)組織除了采取攻防演練來提升對網(wǎng)絡(luò)攻擊的應(yīng)對防范能力之外����,也需要跟隨技術(shù)發(fā)展步伐�,與時俱進創(chuàng)新變革企業(yè)安全管理架構(gòu)��;
在滿足企業(yè)數(shù)字化安全發(fā)展需求���,賦能業(yè)務(wù)價值創(chuàng)新的同時�����,為用戶服務(wù)提供足夠的安全保障���,為這場沒有終點的網(wǎng)絡(luò)安全對抗賽隨時隨地做好準備��!
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認證
滬公網(wǎng)安備 31011502012922號