企业面临的网络安全风险及应对策略.docx

企业面临的网络安全风险及应对策略

网络安全威胁是一种技术风险，会削弱企业网络的防御能力，危及专有数据、关键应用程序和整个IT基础设施。由于企业面临着广泛的威胁，因此通过监控和缓解最关键的威胁和漏洞。网络安全问题有七大类，包括多种威胁，以及团队应针对每种威胁实施的特定检测和缓解方法。

一、公共网络威胁

如果企业网络连接到公共互联网，则互联网上的每一种威胁也会使企业的业务很容易受到攻击。广泛、复杂的业务网络尤其难以保护；这些网络可以包括边缘和移动网络，以及分支机构网络和存储区域网络(SAN)。典型的互联网威胁包括恶意软件、恶意网站、电子邮件网络钓鱼、DNS中毒以及DoS和DDoS攻击。

恶意软件

恶意软件是指的在干扰正常或安全计算操作的代码。单击后，电子邮件中的链接或网站上的扩展程序会立即将恶意软件下载到主机上。有时，恶意软件可以在网络中横向移动，具体取决于其能力。

防御恶意软件方案：

1、培训员工安全意识：员工是企业的第一道防线，也是最大的攻击面。他们需要知道如何降低企业面临的主要风险。

2、实施端点保护：所有设备都应安装防病毒和端点保护，以便在软件检测到威胁时自动响应。

3、对网络进行分段：分段技术需要为每个网络设置策略，管理哪些流量可以在子网之间移动，并减少横向移动。

欺骗性网站

欺骗性网站是看似合法的网站，但旨在窃取互联网用户的账号凭据。威胁参与者将用户引导至站点，一旦用户输入他们的凭据，攻击者就会收集它们并使用它们登录到真正的应用程序。

防御恶意网站方案：

为所有应用程序部署多重身份验证：如果威胁参与者设法通过成功欺骗窃取你的敏感信息。

教用户识别欺骗性网站：确保员工了解虚假网站的特征，无论是语法问题、奇怪的URL还是未经批准的电子邮件将他们引导到虚假网站。

一旦了解了网站，就会将其列入黑名单：如果多个员工从同一威胁参与者导航到单个站点，请在识别URL后立即将其列入黑名单。

基于电子邮件的网络钓鱼攻击

电子邮件网络钓鱼是威胁行为者用来诱骗用户打开电子邮件并单击其中的链接的一种技术。它可以包括恶意软件和欺骗性网站；互联网网络钓鱼威胁有很多重叠之处。电子邮件攻击通常通过员工的企业电子邮件账户针对员工。

防御基于电子邮件的网络钓鱼攻击方案：

1、实施严格的电子邮件保护软件：通常，威胁行为者会通过带有链接的电子邮件将用户引导至欺骗性网站，例如重置密码的说明。

2、通过安全意识培训课程：员工应该确切地知道在收到不熟悉的电子邮件时要怎么处理。

3、安装下一代防火墙：在公共Internet和组织的专用网络之间安装它有助于过滤一些初始恶意流量。

DNS攻击

DNS缓存中毒或劫持会重定向合法站点的DNS地址，并在用户尝试导航到该网页时将用户带到该站点。

防御DNS攻击方案：

1、使用DNS加密：加密DNS连接要求团队使用DNSCrypt协议、基于TLS的DNS或基于HTTPS的DNS。

2、隔离DNS服务器：部署隔离区(DMZ)以隔离来自公共Internet的所有DNS流量。

3、随时了解更新：宣布更新时，应定期修补所有DNS服务器。

DoS和DDoS攻击

拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击是一种威胁，可以通过使计算机或整个计算机系统过载来使它们过载。它们很难预防，因为它们通常来自外部流量，而不是来自网络内的威胁，而网络中的威胁可以在系统中定位和阻止。并非每个DoS或DDoS攻击都来自互联网流量，但其中许多攻击确实来自互联网流量。

防御DoS和DDoS攻击方案：

1、实现反向代理：反向代理有自己的IP地址，因此当IP地址淹没单个服务器时，它们将转到代理的IP地址，并且内部服务器的IP地址不会轻易被淹没。

2、安装Web应用程序防火墙：您可以配置防火墙以监控和阻止不同类型的流量。

3、部署负载均衡器：通过将网络流量定向到可以管理它的源，负载平衡可以降低流量完全使服务器不堪重负的风险。

二、不安全或过时的网络协议

一些旧版本的网络协议存在错误，这些错误已在更高版本中修复，但许多企业和系统继续使用旧协议。最好使用必威体育精装版的协议版本，至少可以避免已知的威胁，特别是如果行业需要特定的协议版本来遵守监管标准。一些最流行的网络协议包括SSL、TLS、SNMP、HTTP和HTTPS。

SSL和TLS

安全套接字层(SSL)和传输层安全性(TLS)都是网络安全协议。任何比TLS1.3更旧的SSL和TLS版本都存在多个弱点，包括允许POODLE攻击和BEAST攻击的漏洞。虽然TLS1.3可能有其自身的弱