從《孤注一擲》到攻防對(duì)抗進(jìn)行時(shí)，網(wǎng)絡(luò)安全是一場(chǎng)沒有終點(diǎn)的對(duì)抗賽

釣魚攻擊是指攻擊者偽裝成受信任的主體，通過發(fā)送看似來自可信、合法來源的電子郵件為“誘餌”，試圖欺騙受害者打開，即“上鉤”，從而發(fā)生網(wǎng)絡(luò)釣魚攻擊。

很多情況下，你可能沒有意識(shí)到自己已被入侵，這使得攻擊者可以在沒有任何人懷疑惡意活動(dòng)的情況下追蹤同一組織中的其他人。

從而，將攻擊范圍擴(kuò)大的整個(gè)企業(yè)。這種攻擊結(jié)合了社會(huì)工程和技術(shù)，通常用于竊取用戶數(shù)據(jù)，包括登錄憑證、信用卡號(hào)等。

針對(duì)這類型的攻擊，企業(yè)可以結(jié)合派拉軟件多因素身份認(rèn)證，也是企業(yè)抵御網(wǎng)絡(luò)釣魚攻擊的最有效方法。因?yàn)樗诘卿浢舾袘?yīng)用程序時(shí)，添加了多重驗(yàn)證。

即使擁有了員工賬號(hào)密碼，多因素身份認(rèn)證平臺(tái)也會(huì)阻止攻擊者使用員工被泄露的憑證。因?yàn)閮H憑這些還不足以進(jìn)入企業(yè)重要應(yīng)用系統(tǒng)，還需要結(jié)合短信驗(yàn)證、人臉識(shí)別等多種加強(qiáng)認(rèn)證方式進(jìn)行驗(yàn)證。

其次，企業(yè)還應(yīng)加強(qiáng)實(shí)施嚴(yán)格的密碼管理策略。例如，結(jié)合派拉軟件統(tǒng)一身份管理平臺(tái)，自動(dòng)設(shè)置賬戶密碼復(fù)雜度要求，并要求員工定期更改密碼，以及不允許在多個(gè)應(yīng)用程序中重復(fù)使用一個(gè)密碼等。

密碼通常會(huì)被用作一種個(gè)人訪問計(jì)算機(jī)系統(tǒng)或應(yīng)用程序的身份驗(yàn)證工具。因此，針對(duì)密碼的攻擊是攻擊方常采用的攻擊手段之一。

目前用于執(zhí)行密碼攻擊的技術(shù)很多，如使用字典、暴力破解，基于密碼規(guī)則，嘗試密碼猜解等。

其中，字典攻擊是一種使用常用單詞和短語（例如字典中列出的單詞和短語）來嘗試猜測(cè)目標(biāo)密碼的技術(shù)；暴力破解則是使用有關(guān)個(gè)人或其職位的基本信息來嘗試猜測(cè)他們的密碼。例如，姓名、生日等的不同組合。

針對(duì)這類型的密碼攻擊，最有效的方法是設(shè)置鎖定策略，使得攻擊者在一定次數(shù)的失敗嘗試后，平臺(tái)會(huì)自動(dòng)鎖定對(duì)設(shè)備、網(wǎng)站或應(yīng)用程序的訪問，從而禁止攻擊者再次訪問。

若已經(jīng)制定了鎖定政策，并發(fā)現(xiàn)帳戶由于登錄嘗試次數(shù)過多而被鎖定，系統(tǒng)即刻提醒改密操作，甚至強(qiáng)制執(zhí)行。

當(dāng)然，企業(yè)存在的弱密碼、默認(rèn)密碼往往是極易被攻克的。所以，企業(yè)統(tǒng)一身份管理系統(tǒng)具備定期監(jiān)測(cè)企業(yè)高危賬戶密碼功能，并及時(shí)提醒也是必不可少的。

撞庫(kù)攻擊通常是使用自動(dòng)化工具在不同的網(wǎng)站和服務(wù)上嘗試大量用戶名和密碼組合來找到對(duì)應(yīng)的匹配項(xiàng)。

通俗理解就是攻擊者通過收集已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他系統(tǒng)應(yīng)用后，得到一系列可以登錄的賬號(hào)密碼。

這樣的攻擊能成功往往是由于很多用戶在不同系統(tǒng)應(yīng)用中使用的是相同的賬號(hào)密碼，因此攻擊者可以通過獲取用戶在A網(wǎng)站的賬戶嘗試登錄B網(wǎng)址，也就是進(jìn)行撞庫(kù)攻擊。

撞庫(kù)攻擊取決于密碼的重復(fù)使用。因此，結(jié)合身份管理平臺(tái)，利用技術(shù)手段強(qiáng)制員工用戶執(zhí)行嚴(yán)格的賬戶密碼管理策略，是企業(yè)有效防范該類攻擊的有效方法之一。例如，針對(duì)密碼強(qiáng)度、定期修改密碼等；

此外，加強(qiáng)人機(jī)防控策略，將包括登錄、注冊(cè)、找回密碼、獲取短信驗(yàn)證碼等接口中“機(jī)器”的訪問請(qǐng)求和“真實(shí)的人”區(qū)別出來；加強(qiáng)重要系統(tǒng)的二次認(rèn)證等。

注入攻擊是指攻擊者使用惡意代碼注入或感染 Web 應(yīng)用程序以檢索個(gè)人信息或破壞企業(yè)系統(tǒng)的過程。

攻擊者誘使企業(yè)系統(tǒng)認(rèn)為該命令是由管理員發(fā)起的，并盲目地處理該命令。常見注入攻擊有SQL注入、代碼注入等。

針對(duì)注入攻擊，你會(huì)發(fā)現(xiàn)用戶輸入是它的主要來源。所以控制用戶對(duì)應(yīng)用程序的輸入，則可以很好地避免注入攻擊。

因此，企業(yè)可以采取最小權(quán)限模型，結(jié)合身份管理，通過控制管理員權(quán)限來限制外部攻擊者獲得該賬戶權(quán)限時(shí)的訪問，并結(jié)合使用參數(shù)傳值、基礎(chǔ)過濾和二次過濾、漏洞檢測(cè)工具、安全參數(shù)、數(shù)據(jù)庫(kù)加密等策略。

除上述列舉的4大攻擊之外，像會(huì)話劫持、惡意軟件攻擊等等，幾乎所有場(chǎng)景攻擊利用最終都需要用到身份。這也是為什么身份安全一直以來都是企業(yè)安全的基礎(chǔ)設(shè)施。

而隨著網(wǎng)絡(luò)邊界的日益模糊，身份被定義為新的安全邊界。網(wǎng)絡(luò)架構(gòu)有了新發(fā)展，攻防趨勢(shì)也隨之變化。過去基于威脅特征“一刀切”的黑名單機(jī)制將逐漸被以“身份”為中心的零信任安全架構(gòu)為代表的白環(huán)境分析手段替代。

企業(yè)組織除了采取攻防演練來提升對(duì)網(wǎng)絡(luò)攻擊的應(yīng)對(duì)防范能力之外，也需要跟隨技術(shù)發(fā)展步伐，與時(shí)俱進(jìn)創(chuàng)新變革企業(yè)安全管理架構(gòu)；

在滿足企業(yè)數(shù)字化安全發(fā)展需求，賦能業(yè)務(wù)價(jià)值創(chuàng)新的同時(shí)，為用戶服務(wù)提供足夠的安全保障，為這場(chǎng)沒有終點(diǎn)的網(wǎng)絡(luò)安全對(duì)抗賽隨時(shí)隨地做好準(zhǔn)備！