视频图片小说亚洲,日本高清无码一二三区,色av一区二区三区

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一文詳解網(wǎng)絡安全事件的防護與響應

網(wǎng)絡安全事件的發(fā)生，往往意味著一家企業(yè)的生產(chǎn)經(jīng)營活動受到影響，甚至數(shù)據(jù)資產(chǎn)遭到泄露。日益復雜的威脅形勢使現(xiàn)代企業(yè)面臨更大的網(wǎng)絡安全風險。因此，企業(yè)必須提前準備好響應網(wǎng)絡安全事件的措施，并制定流程清晰、目標明確的事件響應計劃。為了讓企業(yè)能夠有效地識別各種常見的網(wǎng)絡安全事件，減小破壞損失，并降低響應的成本，本文將對網(wǎng)絡安全攻擊的發(fā)現(xiàn)、網(wǎng)絡攻擊的途徑、網(wǎng)絡攻擊的手法、網(wǎng)絡攻擊防護建議以及如何制定應急響應計劃等進行分析和介紹。

洛浦網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)建站！從網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、APP開發(fā)、響應式網(wǎng)站等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)建站自2013年創(chuàng)立以來到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設就選創(chuàng)新互聯(lián)建站。

如何發(fā)現(xiàn)網(wǎng)絡安全事件？

現(xiàn)代企業(yè)遭遇數(shù)據(jù)泄露、勒索攻擊的新聞屢見不鮮，但由于企業(yè)往往不能第一時間掌握網(wǎng)絡攻擊的跡象，因此還有更多的安全事件沒有被發(fā)現(xiàn)。

以下是企業(yè)快速發(fā)現(xiàn)安全事件的一些方法：

特權用戶賬戶的異常行為?？刂铺貦嘤脩糍~戶是網(wǎng)絡攻擊事件的重要步驟，一旦特權賬戶出現(xiàn)異常狀況，極有可能表明有人在惡意利用該賬戶試圖進入企業(yè)的網(wǎng)絡和系統(tǒng)；

未經(jīng)授權訪問服務器和數(shù)據(jù)。許多內(nèi)部人員會嘗試究竟可以訪問哪些系統(tǒng)和數(shù)據(jù)。危險信號包括未經(jīng)授權的用戶試圖訪問服務器和數(shù)據(jù)，請求訪問與工作無關的數(shù)據(jù)，在異常時間從異常位置訪問系統(tǒng)，以及在短時間內(nèi)從多個不同位置登錄系統(tǒng)；

出站網(wǎng)絡流量異常。企業(yè)要關注的不僅僅是進入網(wǎng)絡的流量，還應該監(jiān)測離開企業(yè)邊界的流量。這可能包括惡意人員人員正在外發(fā)大量的企業(yè)數(shù)據(jù)；

來源或去向異常的網(wǎng)絡流量。對于企業(yè)組織來說，其網(wǎng)絡應用流量都是有一定規(guī)律的，一旦出現(xiàn)來源或去向異常的流量，可能表明是惡意網(wǎng)絡活動引發(fā)。管理員應及時調查發(fā)送到未知網(wǎng)絡的流量，以確保是合法流量；

資源過度消費。服務器內(nèi)存或存儲空間的使用量增加也意味著有攻擊者可能在非法訪問網(wǎng)絡系統(tǒng)；

系統(tǒng)配置更改。未經(jīng)批準的配置更改表明可能存在惡意活動，包括重新配置服務、安裝啟動程序或更改防火墻，添加的額外計劃任務也是如此；

隱藏的文件。通過文件名、大小或位置的判斷，一些突然出現(xiàn)的隱藏文件很可能是可疑的惡意文件，很有可能會導致數(shù)據(jù)或日志信息泄露；

異常瀏覽行為。這些異常行為包括意外的重定向、瀏覽器配置變化或重復的彈出窗口等；

異常的注冊表修改。這種情況主要發(fā)生在惡意軟件感染操作系統(tǒng)后，這也是惡意軟件確保其留在受感染系統(tǒng)中的主要方式之一。

網(wǎng)絡攻擊的常用途徑

攻擊途徑是指攻擊者用來訪問計算機或網(wǎng)絡服務器、投放攻擊載荷或實現(xiàn)惡意訪問的路徑或手段，主要包括病毒、郵件附件、網(wǎng)頁、彈出窗口、即時消息、聊天室和欺騙等。這些方法會涉及軟件應用、硬件設備以及社會工程欺騙等。

在企業(yè)網(wǎng)絡安全事件應用響應中，首先應該要妥善處理使用常見攻擊途徑的事件，包括如下：

外部/可移動介質。網(wǎng)絡攻擊會從磁盤、閃驅或USB外圍設備等可移動介質來執(zhí)行；
暴力消磨。這種攻擊使用暴力方法來攻擊、削弱或破壞網(wǎng)絡、系統(tǒng)或服務；
Web攻擊。攻擊會從網(wǎng)站或基于Web的應用程序來執(zhí)行；
電子郵件攻擊。攻擊通過電子郵件或其附件來發(fā)起，攻擊者引誘收件人點擊惡意鏈接、進入受感染的網(wǎng)站，或者打開受感染的附件；
不當使用。這種類型的事件源于授權的用戶違反了企業(yè)的可接受使用政策；
無意識下載。用戶瀏覽觸發(fā)惡意軟件下載的網(wǎng)站，這可能在用戶不知情的情況下發(fā)生。無意識下載利用了Web瀏覽器中的漏洞，使用JavaScript及其他瀏覽功能注入惡意代碼；
基于廣告的惡意軟件。這種攻擊通過嵌入在網(wǎng)站廣告中的惡意軟件來執(zhí)行。僅僅查看惡意廣告就可能將惡意代碼注入到不安全的設備中。此外，惡意廣告還可以直接嵌入到受信任的應用程序中，并通過它們來投放；
鼠標懸停。這利用了PowerPoint等知名軟件中的漏洞。當用戶將鼠標懸停在鏈接上而不是點擊鏈接以查看去向時，shell腳本可以自動啟動；
恐嚇軟件。通過恐嚇用戶來說服用戶購買和下載危險的軟件，如果用戶下載了該軟件并允許程序執(zhí)行，系統(tǒng)就會被感染。

網(wǎng)絡攻擊的手法和目的

雖然企業(yè)永遠無法確定攻擊者會通過哪條路徑進入網(wǎng)絡，但可以總結了解一些有共性的常用攻擊方法，在每個攻擊階段中，攻擊者都會有一些特定的實現(xiàn)目標。安全行業(yè)將這種方法名為網(wǎng)絡殺傷鏈（Cyber Kill Chain）?，F(xiàn)代網(wǎng)絡攻擊通常分為以下幾個階段：

偵察（識別目標）。攻擊者從企業(yè)外面評估目標，以識別使他能夠是實現(xiàn)的目標。攻擊者的目標是找到那些幾乎沒有保護措施或存在漏洞的信息系統(tǒng)，進而實現(xiàn)非法的訪問；
武器化（準備行動）。在這個階段，攻擊者會創(chuàng)建專門設計的惡意軟件。攻擊者根據(jù)在前一階段收集而來的情報，定制工具，以滿足攻擊目標網(wǎng)絡的特定需求；
投放載荷（實施行動）。攻擊者會通過多種入侵方法向目標發(fā)送惡意軟件，比如釣魚郵件、中間人攻擊或水坑攻擊；
利用（闖入系統(tǒng)）。威脅分子利用漏洞訪問目標的網(wǎng)絡；一旦黑客侵入了網(wǎng)絡，他就會安裝持久性的后門植入程序，以便在較長時間內(nèi)自由訪問；
指揮和控制（遠程控制植入程序）。惡意軟件打開一條指揮通道，使攻擊者能夠通過網(wǎng)絡遠程操縱目標的系統(tǒng)和設備。然后，黑客可以從管理員手中獲取整個系統(tǒng)的控制權；
行動（達到任務的目的）。鑒于攻擊者已掌握了目標系統(tǒng)的指揮和控制權，接下來發(fā)生什么完全取決于攻擊者，他們可能破壞或竊取數(shù)據(jù)、毀壞系統(tǒng)或索要贖金等。

網(wǎng)絡安全事件的防護

多種類型的網(wǎng)絡安全攻擊都可能導致企業(yè)網(wǎng)絡安全事件的發(fā)生，企業(yè)必須要提前對此做好應對準備：

1.未經(jīng)授權的訪問?

為了防止威脅分子使用授權用戶的賬戶訪問系統(tǒng)或數(shù)據(jù)，企業(yè)應實施完善的身份驗證保護。企業(yè)應該要求用戶提供除密碼之外的第二種身份信息比對。此外，應該使用合適的軟硬件技術對公司的敏感數(shù)據(jù)進行加密，讓攻擊者難以訪問機密數(shù)據(jù)。

2.特權升級攻擊

攻擊者經(jīng)常使用一些特權升級漏洞，以獲取更高級別的權限。一旦特權升級攻擊得逞，威脅分子就能獲得普通用戶沒有的特權。為了降低特權升級的風險，企業(yè)應定期在IT環(huán)境中尋找并修復安全薄弱環(huán)節(jié)企業(yè)還應該遵循最小特權原則，即將用戶的訪問權限制在他們完成工作所需的最低權限，并實施安全監(jiān)控。

3.內(nèi)部威脅?

這是指企業(yè)的安全或數(shù)據(jù)面臨的惡意或意外威脅，通常歸因于員工、前員工或第三方，包括承包商、臨時工或客戶。為發(fā)現(xiàn)和防止內(nèi)部威脅，企業(yè)應實施員工異常行為監(jiān)控管理，通過識別粗心、不滿或惡意的內(nèi)部人員，降低數(shù)據(jù)泄露和知識產(chǎn)權被盜的風險。

4.釣魚攻擊

在釣魚攻擊中，攻擊者使用釣魚郵件分發(fā)執(zhí)行各種功能的惡意鏈接或附件，包括提取受害者的登錄憑據(jù)或賬戶信息。一種更有針對性的釣魚攻擊名為魚叉式網(wǎng)絡釣魚：攻擊者花時間研究受害者，以實施更成功的攻擊。有效防御釣魚攻擊始于教育用戶識別釣魚郵件。此外，網(wǎng)關郵件過濾器可以誘捕許多廣撒網(wǎng)的釣魚郵件，并減少到達用戶收件箱的釣魚郵件數(shù)量。

5.惡意軟件攻擊?

惡意軟件包括木馬、蠕蟲、勒索軟件、廣告軟件、間諜軟件和各種類型的病毒。惡意軟件的跡象包括不尋常的系統(tǒng)活動，比如磁盤空間突然丟失、速度異常慢、反復崩潰或死機以及彈出廣告。安裝防病毒工具可以檢測和刪除惡意軟件。這類工具可以提供實時保護，或者通過執(zhí)行常規(guī)系統(tǒng)掃描來檢測和刪除惡意軟件。

6.拒絕服務（DoS）攻擊

DoS攻擊為此采取的手段是向目標發(fā)送龐大流量或發(fā)送觸發(fā)崩潰的某些信息。企業(yè)通常可以通過重新配置防火墻、路由器和服務器來阻止惡意虛假流量。此外，整合到網(wǎng)絡中的應用交付設備有助于分析和篩查數(shù)據(jù)包，即在數(shù)據(jù)包進入系統(tǒng)時將數(shù)據(jù)分類成優(yōu)先數(shù)據(jù)、常規(guī)數(shù)據(jù)或危險數(shù)據(jù)，并對有威脅的數(shù)據(jù)進行阻斷。

7.中間人（MitM）攻擊

中間人攻擊指攻擊者秘密攔截并篡改通信雙方之間發(fā)送的消息，以獲得數(shù)據(jù)訪問權。MitM攻擊的例子包括會話劫持、郵件劫持和Wi-Fi竊聽。雖然很難檢測到MitM攻擊，但企業(yè)可以采用TLS（傳輸層安全）加密協(xié)議，這種協(xié)議可以在兩個通信的計算機應用程序之間提供身份驗證、隱私和數(shù)據(jù)完整性。企業(yè)還應該向員工闡明使用公共Wi-Fi帶來的危險，并留意瀏覽器發(fā)出的異常威脅警告。

8.密碼攻擊

這種攻擊旨在獲取用戶密碼或賬戶密碼，包括密碼破解程序、字典攻擊、密碼嗅探器或通過暴力破解等方法。為了防護密碼攻擊，企業(yè)應采用多因素身份驗證來驗證用戶。此外，用戶應使用強密碼，并定期更改密碼。同時，企業(yè)還應對存儲在安全存儲庫中的密碼進行加密。

9.Web應用程序攻擊

Web應用程序也是一條經(jīng)常被利用的攻擊途徑，包括利用應用程序中的代碼漏洞以及身份驗證欺騙機制。企業(yè)需要在應用系統(tǒng)開發(fā)階段的早期審查代碼以發(fā)現(xiàn)漏洞，靜態(tài)和動態(tài)代碼掃描器可以自動檢查這些漏洞。此外，實施機器人程序檢測功能，可以防止機器人程序非法訪問應用程序的數(shù)據(jù)。而Web應用防火墻可以幫助企業(yè)監(jiān)控網(wǎng)絡，并阻止?jié)撛诘墓簟?/p>

10高級持續(xù)性威脅（APT）

APT是一種長期的、有針對性的網(wǎng)絡攻擊，在這種攻擊中，入侵者獲得對網(wǎng)絡的訪問權，并在長時間內(nèi)不被發(fā)現(xiàn)。APT的目的通常是監(jiān)控網(wǎng)絡活動并竊取數(shù)據(jù)，而不是對網(wǎng)絡或企業(yè)搞破壞。監(jiān)控進出流量可以幫助企業(yè)防止黑客安裝后門、提取敏感數(shù)據(jù)。企業(yè)還應該在網(wǎng)絡邊緣安裝Web應用防火墻，這有助于過濾掉常常在APT滲透階段使用的應用層攻擊，比如SQL注入攻擊。

提升安全響應能力的建議

企業(yè)不能在安全事件發(fā)生時才被動響應，因此許多企業(yè)都已經(jīng)制定了安全事件響應的策略和計劃，但隨著網(wǎng)絡威脅形勢的不斷變化，需要定期對其進行調整和優(yōu)化改進。

1.建立定期的事件響應溝通機制

當網(wǎng)絡安全事件發(fā)生時，不知道從何處入手可能會加劇攻擊的損害后果。當需要制定或啟動計劃時，每個參與人員都必須準確地知道自己該做什么。為確保每個人都能保持同步，使用清晰的溝通機制，提高每個安全事件響應團隊成員對自身角色和責任的認識至關重要。當然，這還遠遠不夠，為了讓安全事件響應計劃能夠順利進行，每個人還必須知道其他人都在做什么，以及誰是每個工作小組的關鍵聯(lián)系人。

2.持續(xù)優(yōu)化安全事件響應計劃

安全事件響應計劃創(chuàng)建后，不代表可以一勞永逸了，應該定期進行評估和審核。這一點在當今技術和相應的信息系統(tǒng)快速發(fā)展和變化的環(huán)境中尤為重要。安全事件響應計劃必須定期修訂，尤其是在公司不斷成長的情況下。安全事件響應計劃需足夠健壯，同時還需足夠靈活，企業(yè)應經(jīng)常審查并更新事件響應計劃。

3.主動測試計劃的有效性

企業(yè)不能在安全事件發(fā)生時才發(fā)現(xiàn)目前的響應計劃缺陷，因此必須主動測試計劃的有效性。更重要的是，如果有足夠的練習，那些負責執(zhí)行該計劃的人會更容易做到這一點。事件響應計劃壓力測試應涉及到公司每一個人，這樣可以保持事件響應計劃能夠不斷更新，并適應企業(yè)數(shù)字化業(yè)務發(fā)展的需求，同時還有助于發(fā)現(xiàn)并修復業(yè)務部門存在的安全風險隱患。

4.定期開展企業(yè)安全狀況審查

可靠的安全事件響應計劃還需要健康的安全習慣。定期開展安全狀況審查將使事件響應工作更加有效，并有助于降低事故發(fā)生的風險。常見的審查工作應包括更改密碼、更新和輪換密鑰、審查訪問級別以及檢查舊員工賬戶或威脅者創(chuàng)建的賬戶。

5.重視安全事件響應培訓

缺乏培訓可能會導致事件響應計劃不能正確的執(zhí)行和落地。企業(yè)應該將安全事件響應培訓作為優(yōu)先事項并相應地賦予預算。培訓內(nèi)容應該包括討論各種被攻擊的威脅場景和響應行動的練習。通過安全培訓可以讓每個人知道他們的職責是什么，還可以讓團隊成員之間的知識更好共享。

參考鏈接：??https://www.techtarget.com/searchsecurity/feature/10-types-of-security-incidents-and-how-to-handle-them??

網(wǎng)站欄目：一文詳解網(wǎng)絡安全事件的防護與響應
文章網(wǎng)址：http://www.5511xx.com/article/dpoieed.html