En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 從《孤注一擲》到攻防對(duì)抗進(jìn)行時(shí),網(wǎng)絡(luò)安全是一場(chǎng)沒有終點(diǎn)的對(duì)抗賽

從《孤注一擲》到攻防對(duì)抗進(jìn)行時(shí),網(wǎng)絡(luò)安全是一場(chǎng)沒有終點(diǎn)的對(duì)抗賽

文章

2023-08-16瀏覽次數(shù):233

一條網(wǎng)絡(luò)鏈接,一次點(diǎn)擊,一場(chǎng)小贏,一顆貪心,一次充值,一顆不甘心,一場(chǎng)人去財(cái)空的騙局……

 

近日,電影《孤注一擲》引發(fā)觀影熱潮。這是國(guó)內(nèi)首部曝光境外網(wǎng)絡(luò)詐騙全產(chǎn)業(yè)鏈內(nèi)幕的現(xiàn)實(shí)題材作品,也讓我們切實(shí)地體會(huì)到網(wǎng)絡(luò)安全問題關(guān)乎每一個(gè)人。

 

▲ 圖片來(lái)自網(wǎng)絡(luò)

 

過去,我們總以為網(wǎng)絡(luò)威脅離我們很遠(yuǎn),或是自認(rèn)為不會(huì)上當(dāng)受騙。然而,我們往往高估了自己,卻又低估了那些網(wǎng)絡(luò)不法分子。

 

就像電影《孤注一擲》中,高智商程序員被騙到境外詐騙集團(tuán),無(wú)法逃脫;深陷騙局泥潭的碩士畢業(yè)生,最終走上絕路……

 

這部以現(xiàn)實(shí)為題材的影片,敲響了我們每一個(gè)人心中的警鐘,也引發(fā)了我們對(duì)網(wǎng)絡(luò)安全的高度關(guān)注。

 

謹(jǐn)防網(wǎng)絡(luò)詐騙事件的發(fā)生,除了要提升普通大眾的網(wǎng)絡(luò)安全意識(shí)之外,為大眾提供服務(wù)的企事業(yè)組織更需要加強(qiáng)自身服務(wù)的網(wǎng)絡(luò)安全與可靠性。

 

況且,從每年曝出的網(wǎng)絡(luò)勒索事件來(lái)看,保護(hù)網(wǎng)絡(luò)安全同樣關(guān)乎著企業(yè)自身財(cái)產(chǎn)安全,甚至是企業(yè)的生死存亡。

 

近期,攻防對(duì)抗“正在進(jìn)行時(shí)”。這正是一次企業(yè)組織檢測(cè)自身網(wǎng)絡(luò)安全能力的大好時(shí)機(jī)。如何在這場(chǎng)攻防演練中,向企業(yè)自身以及用戶證明自己的網(wǎng)絡(luò)安全能力,是企業(yè)作為藍(lán)隊(duì)防守方的必達(dá)使命。

 

 

 

1、身份安全是網(wǎng)絡(luò)安全的第一道防線

 

身份安全作為網(wǎng)絡(luò)安全的第一道防線。無(wú)論是在網(wǎng)絡(luò)詐騙中,還是在企業(yè)攻防演練中,身份信息都是被攻擊的首要目標(biāo)。

 

據(jù)權(quán)威調(diào)查數(shù)據(jù)顯示:85%的數(shù)據(jù)泄露涉及人的因素,而其中61%的數(shù)據(jù)泄露牽涉到登錄憑證。無(wú)論是人還是登錄憑證,都和身份安全有著緊密聯(lián)系。

 

因此,企業(yè)如何有效防范和應(yīng)對(duì)各種圍繞“身份”展開的攻擊,從而提升企業(yè)身份安全水平,保障企業(yè)自身與用戶的信息與數(shù)據(jù)安全,是企業(yè)在這場(chǎng)攻防演練中需要重點(diǎn)關(guān)注的環(huán)節(jié)之一。

 

 

2、常見的身份攻擊手段與防范建議

 

派拉軟件列舉了企業(yè)目前面臨的部分最常見的身份攻擊手段,并給出對(duì)應(yīng)的防范建議:

 

 

01 釣魚攻擊

釣魚攻擊是指攻擊者偽裝成受信任的主體,通過發(fā)送看似來(lái)自可信、合法來(lái)源的電子郵件為“誘餌”,試圖欺騙受害者打開,即“上鉤”,從而發(fā)生網(wǎng)絡(luò)釣魚攻擊。

 

很多情況下,你可能沒有意識(shí)到自己已被入侵,這使得攻擊者可以在沒有任何人懷疑惡意活動(dòng)的情況下追蹤同一組織中的其他人。

 

從而,將攻擊范圍擴(kuò)大的整個(gè)企業(yè)。這種攻擊結(jié)合了社會(huì)工程和技術(shù),通常用于竊取用戶數(shù)據(jù),包括登錄憑證、信用卡號(hào)等。

 

針對(duì)這類型的攻擊,企業(yè)可以結(jié)合派拉軟件多因素身份認(rèn)證,也是企業(yè)抵御網(wǎng)絡(luò)釣魚攻擊的最有效方法。因?yàn)樗诘卿浢舾袘?yīng)用程序時(shí),添加了多重驗(yàn)證。

 

即使擁有了員工賬號(hào)密碼,多因素身份認(rèn)證平臺(tái)也會(huì)阻止攻擊者使用員工被泄露的憑證。因?yàn)閮H憑這些還不足以進(jìn)入企業(yè)重要應(yīng)用系統(tǒng),還需要結(jié)合短信驗(yàn)證、人臉識(shí)別等多種加強(qiáng)認(rèn)證方式進(jìn)行驗(yàn)證。

 

其次,企業(yè)還應(yīng)加強(qiáng)實(shí)施嚴(yán)格的密碼管理策略。例如,結(jié)合派拉軟件統(tǒng)一身份管理平臺(tái),自動(dòng)設(shè)置賬戶密碼復(fù)雜度要求,并要求員工定期更改密碼,以及不允許在多個(gè)應(yīng)用程序中重復(fù)使用一個(gè)密碼等。

 

 

02密碼攻擊

密碼通常會(huì)被用作一種個(gè)人訪問計(jì)算機(jī)系統(tǒng)或應(yīng)用程序的身份驗(yàn)證工具。因此,針對(duì)密碼的攻擊是攻擊方常采用的攻擊手段之一。

 

目前用于執(zhí)行密碼攻擊的技術(shù)很多,如使用字典、暴力破解,基于密碼規(guī)則,嘗試密碼猜解等。

 

其中,字典攻擊是一種使用常用單詞和短語(yǔ)(例如字典中列出的單詞和短語(yǔ))來(lái)嘗試猜測(cè)目標(biāo)密碼的技術(shù);暴力破解則是使用有關(guān)個(gè)人或其職位的基本信息來(lái)嘗試猜測(cè)他們的密碼。例如,姓名、生日等的不同組合。

 

針對(duì)這類型的密碼攻擊,最有效的方法是設(shè)置鎖定策略,使得攻擊者在一定次數(shù)的失敗嘗試后,平臺(tái)會(huì)自動(dòng)鎖定對(duì)設(shè)備、網(wǎng)站或應(yīng)用程序的訪問,從而禁止攻擊者再次訪問。

 

若已經(jīng)制定了鎖定政策,并發(fā)現(xiàn)帳戶由于登錄嘗試次數(shù)過多而被鎖定,系統(tǒng)即刻提醒改密操作,甚至強(qiáng)制執(zhí)行。

 

當(dāng)然,企業(yè)存在的弱密碼、默認(rèn)密碼往往是極易被攻克的。所以,企業(yè)統(tǒng)一身份管理系統(tǒng)具備定期監(jiān)測(cè)企業(yè)高危賬戶密碼功能,并及時(shí)提醒也是必不可少的。

 

 

03撞庫(kù)攻擊

撞庫(kù)攻擊通常是使用自動(dòng)化工具在不同的網(wǎng)站和服務(wù)上嘗試大量用戶名和密碼組合來(lái)找到對(duì)應(yīng)的匹配項(xiàng)。

 

通俗理解就是攻擊者通過收集已泄露的用戶和密碼信息,生成對(duì)應(yīng)的字典表,嘗試批量登陸其他系統(tǒng)應(yīng)用后,得到一系列可以登錄的賬號(hào)密碼。

 

這樣的攻擊能成功往往是由于很多用戶在不同系統(tǒng)應(yīng)用中使用的是相同的賬號(hào)密碼,因此攻擊者可以通過獲取用戶在A網(wǎng)站的賬戶嘗試登錄B網(wǎng)址,也就是進(jìn)行撞庫(kù)攻擊。

 

撞庫(kù)攻擊取決于密碼的重復(fù)使用。因此,結(jié)合身份管理平臺(tái),利用技術(shù)手段強(qiáng)制員工用戶執(zhí)行嚴(yán)格的賬戶密碼管理策略,是企業(yè)有效防范該類攻擊的有效方法之一。例如,針對(duì)密碼強(qiáng)度、定期修改密碼等;

 

此外,加強(qiáng)人機(jī)防控策略,將包括登錄、注冊(cè)、找回密碼、獲取短信驗(yàn)證碼等接口中“機(jī)器”的訪問請(qǐng)求和“真實(shí)的人”區(qū)別出來(lái);加強(qiáng)重要系統(tǒng)的二次認(rèn)證等。

 

 

04注入攻擊

注入攻擊是指攻擊者使用惡意代碼注入或感染 Web 應(yīng)用程序以檢索個(gè)人信息或破壞企業(yè)系統(tǒng)的過程。

 

攻擊者誘使企業(yè)系統(tǒng)認(rèn)為該命令是由管理員發(fā)起的,并盲目地處理該命令。常見注入攻擊有SQL注入、代碼注入等。

 

針對(duì)注入攻擊,你會(huì)發(fā)現(xiàn)用戶輸入是它的主要來(lái)源。所以控制用戶對(duì)應(yīng)用程序的輸入,則可以很好地避免注入攻擊。

 

因此,企業(yè)可以采取最小權(quán)限模型,結(jié)合身份管理,通過控制管理員權(quán)限來(lái)限制外部攻擊者獲得該賬戶權(quán)限時(shí)的訪問,并結(jié)合使用參數(shù)傳值、基礎(chǔ)過濾和二次過濾、漏洞檢測(cè)工具、安全參數(shù)、數(shù)據(jù)庫(kù)加密等策略。

 

除上述列舉的4大攻擊之外,像會(huì)話劫持、惡意軟件攻擊等等,幾乎所有場(chǎng)景攻擊利用最終都需要用到身份。這也是為什么身份安全一直以來(lái)都是企業(yè)安全的基礎(chǔ)設(shè)施。

 

而隨著網(wǎng)絡(luò)邊界的日益模糊,身份被定義為新的安全邊界。網(wǎng)絡(luò)架構(gòu)有了新發(fā)展,攻防趨勢(shì)也隨之變化。過去基于威脅特征“一刀切”的黑名單機(jī)制將逐漸被以“身份”為中心的零信任安全架構(gòu)為代表的白環(huán)境分析手段替代。

 

企業(yè)組織除了采取攻防演練來(lái)提升對(duì)網(wǎng)絡(luò)攻擊的應(yīng)對(duì)防范能力之外,也需要跟隨技術(shù)發(fā)展步伐,與時(shí)俱進(jìn)創(chuàng)新變革企業(yè)安全管理架構(gòu);

 

在滿足企業(yè)數(shù)字化安全發(fā)展需求,賦能業(yè)務(wù)價(jià)值創(chuàng)新的同時(shí),為用戶服務(wù)提供足夠的安全保障,為這場(chǎng)沒有終點(diǎn)的網(wǎng)絡(luò)安全對(duì)抗賽隨時(shí)隨地做好準(zhǔn)備!