從中小企業(yè)面臨的安全威脅看如何構(gòu)建安全防護(hù)體系
隨著網(wǎng)絡(luò)應(yīng)用的普及,中小企業(yè)對(duì)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越高。不僅基于網(wǎng)絡(luò)進(jìn)行日常的業(yè)務(wù)經(jīng)營(yíng)活動(dòng),還會(huì)通過網(wǎng)絡(luò)與合作伙伴進(jìn)行協(xié)作。由于大型企業(yè)的企業(yè)總部承載著重要的核心業(yè)務(wù),一直以來,管理者非常重視對(duì)企業(yè)總部信息資產(chǎn)的安全加固,選購(gòu)大量的安全防護(hù)設(shè)備,將企業(yè)總部保護(hù)得如同銅墻鐵壁一般。而大企業(yè)的分支機(jī)構(gòu)和中小企業(yè)又普遍處于怎樣的狀態(tài)呢?一個(gè)辦公室內(nèi)的上網(wǎng)用戶往往只通過寬帶貓、無(wú)線路由就接入了互聯(lián)網(wǎng),與外部進(jìn)行數(shù)據(jù)通信,安全防護(hù)措施少之又少,可以說,基本上沒有采取恰當(dāng)?shù)木W(wǎng)絡(luò)安全保護(hù)措施。
近期,國(guó)內(nèi)網(wǎng)絡(luò)安全事件頻發(fā),從支付寶的大面積訪問故障,到攜程網(wǎng)被黑,種種安全事件再次引發(fā)了人們對(duì)于網(wǎng)絡(luò)安全的憂慮。那么,網(wǎng)絡(luò)攻擊更喜歡針對(duì)大型企業(yè)嗎?其實(shí)不然。員工數(shù)量較少的中小企業(yè)更容易遭受網(wǎng)絡(luò)攻擊。相對(duì)于資源充裕與安全防護(hù)投入巨大的大型企業(yè)來說,中小企業(yè)的安全投入通常比較薄弱,這使得中小企業(yè)更易淪為網(wǎng)絡(luò)攻擊的受害者。
有調(diào)查資料表明,中小企業(yè)已經(jīng)超越政府部門和大型企業(yè)成為黑客攻擊的主要目標(biāo)。針對(duì)中小企業(yè)的攻擊行為已占所有針對(duì)性攻擊總量的30%以上。很明顯,中小企業(yè)對(duì)于網(wǎng)絡(luò)安全的輕視是其被頻繁攻擊的主要原因。有些中小企業(yè)認(rèn)為網(wǎng)絡(luò)攻擊并沒有什么影響,難以對(duì)其造成直接損失,所以寧愿將資源投入到銷售和營(yíng)銷活動(dòng)中。但在攻擊者眼中,中小企業(yè)的銀行賬戶、客戶數(shù)據(jù)和知識(shí)產(chǎn)權(quán)等信息都是非常具有價(jià)值和誘惑力的。
中小企業(yè)面臨的常見安全威脅
信息泄露
企業(yè)或組織內(nèi)部的服務(wù)器上通常存放著經(jīng)營(yíng)活動(dòng)相關(guān)的重要信息資料。這些信息資料可能會(huì)遭到來自內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的未經(jīng)授權(quán)的存取或修改行為,從而造成信息泄露,對(duì)持有信息資料的組織、企業(yè)或個(gè)人造成負(fù)面影響。
案例:
2014年5月13日晚,小米論壇用戶數(shù)據(jù)庫(kù)疑似泄露。據(jù)安全專家分析,此次事件涉及800萬(wàn)使用小米手機(jī)、MIUI系統(tǒng)等小米產(chǎn)品的用戶。泄露數(shù)據(jù)包含大量用戶資料,可被用來訪問小米云服務(wù)并獲取更多的私密信息,甚至可以取得通訊錄、短信、照片、定位、鎖定手機(jī)及刪除信息等權(quán)限。
2014年12月25日,12306網(wǎng)站的子網(wǎng)站暴露了高危漏洞,造成131653條用戶信息被泄露。此次泄露的信息全部含有用戶的明文密碼,并在互聯(lián)網(wǎng)上被瘋傳販?zhǔn)邸kS后,中國(guó)鐵路客戶服務(wù)中心迅速在其官方網(wǎng)站發(fā)布公告確認(rèn)了用戶信息泄露事件。
高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)攻擊
高級(jí)持續(xù)性威脅攻擊是一種針對(duì)特定組織的多方位攻擊行為。攻擊者往往以超過目標(biāo)防護(hù)能力并具有復(fù)雜和多樣性的手段,針對(duì)單一企業(yè)或組織進(jìn)行長(zhǎng)期、持續(xù)的定制化攻擊。APT攻擊的目標(biāo)通常是高價(jià)值的企業(yè)、政府機(jī)構(gòu),其目的是竊取商業(yè)機(jī)密,破壞競(jìng)爭(zhēng)。任何規(guī)模的企業(yè)組織,只要員工可以訪問網(wǎng)站,使用電子郵件,傳輸文件等,就有可能受到APT攻擊。APT攻擊的典型案例有火焰病毒、震網(wǎng)病毒,以及暴雷漏洞等。來自Verizon的報(bào)告顯示,2014年全球有接近8萬(wàn)家企業(yè)受到過APT攻擊,其中有2122家企業(yè)公開確認(rèn)信息被竊取,蒙受了巨大的財(cái)產(chǎn)和品牌損失。
案例:
2013 年 12 月底,一起針對(duì)國(guó)內(nèi)政府機(jī)構(gòu)的APT攻擊被成功捕獲。當(dāng)時(shí)攻擊者向國(guó)內(nèi)政府機(jī)構(gòu)的辦公人員發(fā)送釣魚郵件,企圖利用 WPS2012/2013 版本的零日漏洞侵入政府辦公人員的電腦。攻擊者將郵件主題寫為“2014 年中國(guó)經(jīng)濟(jì)形勢(shì)解析高層報(bào)告組委會(huì)”,如果政府工作人員用 WPS 打開附件文檔,電腦就會(huì)被病毒感染。
拒絕服務(wù)及分布式拒絕服務(wù)(DoS/DDoS)攻擊
拒絕服務(wù)(DoS)攻擊是一種簡(jiǎn)單有效并且具有很大危害性的攻擊方法,可以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源,使系統(tǒng)的正常服務(wù)陷入癱瘓狀態(tài),從而拒絕正常用戶的訪問請(qǐng)求。而分布式拒絕服務(wù)(DDoS)攻擊是基于DoS攻擊的一種特殊攻擊形式。攻擊者通常會(huì)組織多臺(tái)受控制的主機(jī)一起向目標(biāo)主機(jī)發(fā)起大規(guī)模的DoS攻擊,占用或耗光目標(biāo)主機(jī)的資源或服務(wù),降低系統(tǒng)的可用性,導(dǎo)致正常用戶無(wú)法使用系統(tǒng)所提供的服務(wù)。
案例:
2014年1月23日,阿里巴巴的來往服務(wù)器連續(xù)遭受了兩波DDoS攻擊,部分用戶短時(shí)間內(nèi)出現(xiàn)訪問速度變慢甚至無(wú)法連接的問題。
2014年11月28日,CSDN網(wǎng)站因遭受網(wǎng)絡(luò)攻擊導(dǎo)致用戶無(wú)法正常登錄或訪問。經(jīng)排查,此次攻擊屬于DDoS攻擊,攻擊流量曾一度達(dá)到50G以上。
惡意程序
惡意程序通常是指具有攻擊意圖的一段程序。惡意程序可以分成兩種類別:需要宿主程序的惡意程序和可獨(dú)立運(yùn)行的惡意程序。前者是不能獨(dú)立于某個(gè)實(shí)際的應(yīng)用程序或系統(tǒng)程序的程序片段;后者是可以被操作系統(tǒng)調(diào)度和運(yùn)行的獨(dú)立程序。惡意程序的典型代表包括計(jì)算機(jī)病毒、蠕蟲、木馬、間諜程序以及廣告程序等。其造成的影響包括破壞系統(tǒng)正常運(yùn)作、修改或破壞系統(tǒng)文件、復(fù)制或刪除文件、使系統(tǒng)宕機(jī)、竄改文檔資料、監(jiān)控主機(jī)活動(dòng)等。
案例:
2015年6月,根據(jù)賽迪網(wǎng)報(bào)道,近期在互聯(lián)網(wǎng)上出現(xiàn)了被稱為Grabit的針對(duì)企業(yè)的最新網(wǎng)絡(luò)間諜攻擊行動(dòng)。攻擊造成大量中小型企業(yè)約10,000份文件被盜,這些企業(yè)主要位于泰國(guó)、印度和美國(guó)。受攻擊的行業(yè)包括化工行業(yè)、納米技術(shù)行業(yè)、教育業(yè)、農(nóng)業(yè)、媒體以及建筑業(yè)等。其他受影響的國(guó)家還包括阿拉伯聯(lián)合酋長(zhǎng)國(guó)、德國(guó)、以色列、加拿大、法國(guó)、奧地利、斯里蘭卡、智利和比利時(shí)。攻擊者使用Hawkeye Products公司出品的一款商業(yè)間諜工具——HawkEye鍵盤記錄器和一個(gè)包含大量遠(yuǎn)程管理工具(RAT)的配置模塊控制受害者。Grabit的攻擊規(guī)模較大,僅需命令和控制服務(wù)器中的一個(gè)鍵盤記錄器,攻擊者就可以從4928臺(tái)不同的內(nèi)部和外部主機(jī)中竊取2887個(gè)密碼、1053封電子郵件和3023個(gè)用戶名信息,包括Outlook、Facebook、Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服務(wù)以及銀行賬戶和其他賬號(hào)。
社交工程攻擊
社交工程攻擊一般會(huì)通過交談、欺騙、假冒或口語(yǔ)用字等方式,使用戶疏于防范,掉入陷阱,暴露用戶系統(tǒng)的秘密。對(duì)于企業(yè)級(jí)用戶來說,攻擊者會(huì)直接從核心員工那里套取機(jī)密信息,如用戶名密碼、商業(yè)戰(zhàn)略和研發(fā)機(jī)密等。網(wǎng)絡(luò)釣魚和電信詐騙是最常見的社交工程攻擊形式。如今,網(wǎng)絡(luò)釣魚不再是簡(jiǎn)簡(jiǎn)單單地發(fā)送釣魚郵件,還可以通過惡意的網(wǎng)絡(luò)廣告、即時(shí)通訊軟件、社交網(wǎng)站等渠道進(jìn)行。電信詐騙也不再限于話費(fèi)欠費(fèi)等內(nèi)容的垃圾短信,那些盜取即時(shí)通信工具賬號(hào),假冒他人身份,針對(duì)企業(yè)法人和財(cái)務(wù)人員的詐騙犯罪也在呈高發(fā)態(tài)勢(shì)。
案例:
據(jù)河北省公安廳透露,2014年以來,一個(gè)詐騙犯罪團(tuán)伙將目標(biāo)轉(zhuǎn)向了各企事業(yè)單位法定代表人和財(cái)務(wù)人員。犯罪嫌疑人通過搜索財(cái)務(wù)人員QQ群,以“會(huì)計(jì)資格考試大綱文件”等為誘餌發(fā)送木馬病毒,盜取財(cái)務(wù)人員使用的QQ號(hào)碼,并分析出財(cái)務(wù)人員主管的QQ號(hào)碼,再冒充公司主管向財(cái)務(wù)人員發(fā)送轉(zhuǎn)賬匯款指令。2014年6月3日,河北一家公司會(huì)計(jì)接到假冒財(cái)務(wù)總監(jiān)的QQ信息,要求其往一個(gè)銀行賬戶匯款118萬(wàn)元。在沒有仔細(xì)分辨的情況下,該會(huì)計(jì)于當(dāng)日將款項(xiàng)匯入該賬戶。匯款完畢,會(huì)計(jì)電話回復(fù)領(lǐng)導(dǎo)才發(fā)現(xiàn),財(cái)務(wù)總監(jiān)根本沒有發(fā)出任何指令。
入侵Web網(wǎng)站
針對(duì)Web網(wǎng)站的入侵行為包括在Web頁(yè)面內(nèi)植入惡意程序、癱瘓網(wǎng)站使其無(wú)法正常運(yùn)作、篡改網(wǎng)站主頁(yè),或者將網(wǎng)站首頁(yè)重定向至特定頁(yè)面等。這些行為背后不乏惡意競(jìng)爭(zhēng)和故意破壞等因素。有調(diào)查資料表明,在被入侵的Web網(wǎng)站中,中小型企業(yè)官網(wǎng)占了40.7%,已近半數(shù)之多。除此之外,地方社區(qū)網(wǎng)站、科技媒體網(wǎng)站、高校官網(wǎng)、事業(yè)單位網(wǎng)站分別占了總量的24.4%、10.6%、7.3%、4.9%,其他類型網(wǎng)站共占12.1%。
案例:
一個(gè)號(hào)稱來自阿爾巴尼亞的黑客組織“Barbaros-DZ”從2012年7月份開始,不斷對(duì)中國(guó)政府網(wǎng)站進(jìn)行攻擊,到2013年1月份已經(jīng)有接近4000個(gè)中國(guó)政府網(wǎng)站被其入侵,并被篡改了主頁(yè)。遭遇Barbaros-DZ攻擊的網(wǎng)站首頁(yè)被直接篡改,部分網(wǎng)站還被獲取了后臺(tái)權(quán)限,攻擊者利用后臺(tái)功能在網(wǎng)站中添加了一些挑釁的記錄。
賬號(hào)盜用
賬號(hào)盜用指攻擊者通過如惡意程序、社交工程、網(wǎng)站系統(tǒng)漏洞等方式,取得目標(biāo)對(duì)象的帳號(hào)密碼。
案例:
2012年7月,溫州某眼鏡企業(yè)的郵箱賬號(hào)被盜,導(dǎo)致客戶信息與來往信件全部被黑客截獲。黑客趁機(jī)注冊(cè)“釣魚郵箱”,告知海外客戶收款方式變更,導(dǎo)致該眼鏡企業(yè)損失了13萬(wàn)美元的貨款。
為中小企業(yè)構(gòu)建全面的安全防護(hù)體系
面對(duì)上述種種安全威脅,中小企業(yè)如何采取安全防護(hù)對(duì)策呢?網(wǎng)絡(luò)安全防護(hù)不單單是在安全產(chǎn)品和技術(shù)方面需要考量的事情,而應(yīng)當(dāng)從安全產(chǎn)品、安全管理和人員培訓(xùn)等多方面綜合構(gòu)建全面的安全防護(hù)體系。
選擇適合的網(wǎng)絡(luò)安全產(chǎn)品
由于資源有限,中小企業(yè)在選購(gòu)安全產(chǎn)品時(shí)往往更加關(guān)注產(chǎn)品的性價(jià)比,既有多樣化的安全需求和產(chǎn)品性能要求,同時(shí)又對(duì)價(jià)格敏感。由此,首先應(yīng)當(dāng)從分析中小企業(yè)的網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)類型入手,確定安全防護(hù)需求,進(jìn)而選取恰當(dāng)?shù)陌踩a(chǎn)品。
與大型企業(yè)相比,中小企業(yè)的網(wǎng)絡(luò)拓?fù)渫ǔ1容^簡(jiǎn)單,主要是局域網(wǎng)與外網(wǎng)連接,部分用戶開始有智能移動(dòng)終端的無(wú)線接入需求,并且已經(jīng)或正準(zhǔn)備部署信息管理系統(tǒng),如 ERP 、CRM 、SCM等。雖然網(wǎng)絡(luò)拓?fù)浜蜆I(yè)務(wù)類型相對(duì)簡(jiǎn)單,但是中小企業(yè)對(duì)病毒防護(hù)、漏洞管理、資產(chǎn)管理、行為審計(jì)等網(wǎng)絡(luò)安全管理功能需求較為全面。
要滿足此類需求,企業(yè)通常需要部署一整套由硬件防火墻、入侵防御、網(wǎng)絡(luò)審計(jì)、防病毒等組件構(gòu)成的網(wǎng)絡(luò)安全解決方案。利用架設(shè)在網(wǎng)絡(luò)出口位置的安全產(chǎn)品,在安全威脅闖入內(nèi)部網(wǎng)絡(luò)之前就將其攔截住,這是更加有效的方法。傳統(tǒng)的機(jī)架式硬件防火墻產(chǎn)品融合了眾多安全功能,性能優(yōu)異。但此類產(chǎn)品不但價(jià)格昂貴,在管理維護(hù)上還會(huì)對(duì)帶寬較低、網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單的中小型企業(yè)辦公系統(tǒng)帶來較大負(fù)擔(dān)。
對(duì)于中小企業(yè)來說,選擇一款功能全面、易于部署和管理的統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品,不但可以在第一時(shí)間內(nèi)對(duì)各類流量進(jìn)行掃描過濾,同時(shí)也可以大大減輕網(wǎng)絡(luò)內(nèi)部服務(wù)器和主機(jī)的負(fù)荷。目前,針對(duì)中小企業(yè)量身定做的桌面型統(tǒng)一安全網(wǎng)關(guān)已經(jīng)成為一個(gè)最佳選擇。主流的網(wǎng)絡(luò)安全廠商也在紛紛推出這種類型的安全產(chǎn)品。比如,東軟網(wǎng)絡(luò)安全最新發(fā)布的一款擁有自主知識(shí)產(chǎn)權(quán)的桌面型統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品——NISG5K-SG600,可以廣泛適用于企業(yè)辦公室、醫(yī)院、藥房、零售網(wǎng)點(diǎn)、生產(chǎn)廠房、倉(cāng)庫(kù)、金融/教育/政府部門的分支機(jī)構(gòu)等網(wǎng)絡(luò)環(huán)境。該款產(chǎn)品具備有線、無(wú)線(WiFi和3G/4G接入)統(tǒng)一的安全防護(hù)能力,融合了防火墻、VPN、應(yīng)用控制、入侵防御系統(tǒng)、防病毒、防垃圾郵件等安全功能,可用于防止信息泄露,對(duì)已知及未知威脅的入侵攻擊進(jìn)行有效防御,實(shí)施基于應(yīng)用的訪問控制和上網(wǎng)行為管理,為中小企業(yè)業(yè)務(wù)的正常進(jìn)行和使用提供可信的安全保障。
建立完善的網(wǎng)絡(luò)安全管理制度,有效實(shí)施日常安全管理活動(dòng)
一般情況下,大型企業(yè)相對(duì)于中小企業(yè)具有更加完善的安全體系架構(gòu)和更健全的組織結(jié)構(gòu),在網(wǎng)絡(luò)安全管理方面做的比較完善。而中小企業(yè)人力資源緊張,職責(zé)重疊交叉,網(wǎng)絡(luò)安全管理制度不健全的現(xiàn)象普遍存在,日常安全管理的隨意性較大,極易出現(xiàn)責(zé)權(quán)不明、管理混亂等問題。
只有建立完善、可操作性強(qiáng)的安全管理制度,才能預(yù)防可能出現(xiàn)的安全問題,確保在出現(xiàn)問題時(shí)能及時(shí)進(jìn)行處理,封堵已經(jīng)出現(xiàn)的漏洞,從而確保今后類似問題不再重復(fù)出現(xiàn)。在制定安全管理制度時(shí),需要明確網(wǎng)絡(luò)安全管理人員在工作中所承擔(dān)的職責(zé),在設(shè)備管理上要責(zé)任到人,實(shí)行誰(shuí)主管、誰(shuí)負(fù)責(zé)的原則。在系統(tǒng)使用上,必須明確操作人員的權(quán)限,不可賦予網(wǎng)絡(luò)安全管理人員工作需要以外的額外權(quán)限,合理劃分各部門安全職責(zé),確定配置人員角色。正確執(zhí)行這些措施,可以在很大程度上降低安全管理出現(xiàn)紕漏的概率。
對(duì)于網(wǎng)絡(luò)安全產(chǎn)品的日常管理來說,考慮到中小企業(yè)用戶在網(wǎng)絡(luò)知識(shí),特別是網(wǎng)絡(luò)安全知識(shí)上的不足,產(chǎn)品的可維護(hù)性和易用性需要盡量做到簡(jiǎn)便高效。以東軟桌面型統(tǒng)一安全網(wǎng)關(guān)NISG5K-SG600舉例,它的配置向?qū)Чδ芴峁┝撕?jiǎn)單易用的配置邏輯,可以輔助用戶快速配置常用的網(wǎng)絡(luò)和安全功能,即便僅具有基本網(wǎng)絡(luò)知識(shí)的用戶也能夠快速上手。此外,在日常使用的過程中,可以通過直觀的Dashboard,對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控,動(dòng)態(tài)過濾出重要的系統(tǒng)信息。
組織和落實(shí)網(wǎng)絡(luò)安全培訓(xùn),深化全員網(wǎng)絡(luò)安全意識(shí)和安全防護(hù)技能
網(wǎng)絡(luò)安全意識(shí)淡薄是網(wǎng)絡(luò)安全事件多發(fā)的關(guān)鍵因素之一。缺乏安全防護(hù)意識(shí),輕信網(wǎng)上虛假信息、輕率打開不明郵件、隨意訪問不良網(wǎng)站、設(shè)置過于簡(jiǎn)單的登錄密碼等做法,常常會(huì)引發(fā)信息泄露、惡意程序攻擊、網(wǎng)絡(luò)詐騙等安全問題,嚴(yán)重侵害中小企業(yè)的信息資產(chǎn)安全。
網(wǎng)絡(luò)安全“三分靠技術(shù),七分靠管理”,安全管理是企業(yè)網(wǎng)絡(luò)安全的核心,而安全管理的重點(diǎn)歸根結(jié)底則是人的管理,應(yīng)當(dāng)把深化中小企業(yè)用戶的網(wǎng)絡(luò)安全意識(shí)放在重要地位。普及網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),提升用戶的網(wǎng)絡(luò)安全技能是維護(hù)網(wǎng)絡(luò)安全的第一道防線。為此,需要對(duì)中小企業(yè)用戶進(jìn)行定期的網(wǎng)絡(luò)安全技能培訓(xùn),改善整體操作水平和業(yè)務(wù)素質(zhì)。隨著用戶安全維護(hù)能力的提高,網(wǎng)絡(luò)的安全性也將隨之提高。
目前,中小企業(yè)已占國(guó)內(nèi)企業(yè)總數(shù)的99%以上,創(chuàng)造了中國(guó)國(guó)內(nèi)生產(chǎn)總值的60%以上份額。隨著越來越多的中小企業(yè)投身網(wǎng)絡(luò)化,面臨的安全威脅也在持續(xù)加大。因此,對(duì)于網(wǎng)絡(luò)安全問題和隱患,中小企業(yè)的管理者需要引起足夠重視。長(zhǎng)遠(yuǎn)來看,只有運(yùn)用綜合手段,從安全產(chǎn)品、安全管理和人員培訓(xùn)等多方面去構(gòu)建安全防護(hù)體系,才能真正保護(hù)好中小企業(yè)重要的信息資產(chǎn)和網(wǎng)絡(luò)安全。
