index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
本文深入剖析了企业在网络安全方面普遍存在的十大漏洞,包括未修补的安全漏洞、弱口令、账户管理混乱、网络未分段、备份不足、IT人员超负荷、糟糕的IT服务提供商、缺乏安全监控、技术债以及恐慌的应急响应。文章详细阐述了每个问题带来的风险,并提供了切实可行的解决方案,强调了加强补丁管理、实施多因素认证、账户分离、网络分段、物理隔离备份、配备专职安全人员、精选IT服务商、建立有效的安全监控和应急响应机制的重要性。落实这些基础安全措施,能有效提升企业抵御网络攻击的能力,降低数据泄露和业务中断的风险。
🔒 **未修补的安全漏洞**是攻击者入侵企业网络的主要入口,包括反复出现的已知漏洞和零日漏洞。为应对此问题,企业应建立完善的补丁管理流程和资产管理体系,密切监控系统异常,并将无法修补或过时的系统进行隔离运行,例如将老旧的医疗设备与主网络隔离,防止其成为攻击跳板。
🔑 **弱口令问题**依然普遍存在,攻击者常利用简单的密码轻易获取访问权限。解决之道在于制定严格的密码策略,并为所有互联网接入点,特别是VPN,强制实施多因素身份验证。对于大规模用户群体,如高校,加强密码管理和用户教育尤为关键。
🛡️ **账户管理混乱**为攻击者提供了“传递哈希”等攻击机会,使得他们无需知晓密码即可冒充合法用户。实施账户分离策略,将系统划分为不同层级并配备专属管理员账户,能有效防止攻击者在低层级系统上获取高权限,从而限制其横向移动和权限提升。
🌐 **网络未分段**使得攻击者能在大型扁平网络中自由穿行,加速攻击蔓延。通过精心设计的网络分段,严格隔离服务器与客户端网络,以及OT与IT网络(如生产系统与办公网络分离),能有效构建安全屏障。为管理账户设立独立的、受VPN和双因素认证保护的管理网络,也能在不影响日常工作的情况下大幅提升安全性。
🗄️ **备份不足**不仅指备份数量,更关键在于备份的可恢复性。攻击者常会删除或加密备份,因此备份必须与网络和互联网物理隔离,存储在单独、隔离的网段中。遵循“3-2-1原则”(三份副本,两份不同介质,一份异地)并定期测试恢复能力,是确保数据安全的关键。
👨💻 **IT人员超负荷**导致安全工作被边缘化。建议中型企业将约5%的员工配置于IT岗位,并必须配备专职的IT安全人员,以确保安全策略能够得到有效执行和维护。
🤝 **糟糕的IT服务提供商**可能导致安全防护形同虚设。选择服务商时,需关注其响应时间、7x24小时监控能力以及是否指定了全天候联络人。定期进行渗透测试和联合应急演练,是检验服务商能力和内部响应流程的有效方式。
🚨 **缺乏安全监控**使得大量安全告警被忽略或误解。企业应配备专职IT安全人员或利用安全托管服务,并建立流畅的报告响应链条,确保安全事件能够被及时发现和有效处理。
🏗️ **技术债**(如过时系统)是人员短缺和优先级设置失当的后果,为攻击者敞开了大门。安全负责人应定期评估并解决技术债务,而不是仅仅关注新系统或安全产品的部署。
🏃 **恐慌的应急响应**会加剧损失。企业应预先制定详细的、离线可用的应急计划,明确责任人和操作流程,并确定系统优先级。与优质响应服务商提前建立联系或签订协议,能在紧急情况下获得即时、专业的支持。
原创 安全419 2025-07-21 17:30 四川
企业屡屡遭遇相同的安全漏洞,这些漏洞是什么?又该如何解决呢?
攻击者往往能在公司网络中潜伏数周甚至数月而不被发现。IT 取证分析显示,若能实施基本且简单的安全措施,许多攻击本可在数据加密前就被阻断,而正是以下这10 个问题为攻击者实施此类攻击提供了便利。
一、未修补的安全漏洞
问题: 近年来,网络犯罪分子频繁利用应用程序或操作系统中反复出现的安全漏洞发动攻击。许多公司甚至未能及时修补关键漏洞。零日漏洞利用更为危险,由于制造商对这些漏洞通常是不知情的,因此最初连可用补丁都没有。 解决方案: 密切监控以及早发现异常情况是快速遏制更严重恶意活动的好方法。 此外,负责人应建立补丁流程并设置良好的资产管理,以提供系统环境和相应补丁状态的概览。不可修补或过时的系统应隔离运行,例如医院因技术原因大量使用许多过时操作系统的医疗设备,这些设备绝不允许与网络其它部分通信,更不能允许陌生用户从Internet 进行访问。
二、入口:弱口令
问题: 弱密码屡屡让网络罪犯轻易获取公司网络访问权限。 无论是6个字符的域管理员密码,还是仅有2个字符的本地管理员密码,对犯罪者来说都形同虚设。安全密码要求早已广为人知,但实践中这个问题仍常被忽视。 解决方案: 需要制定严格的密码策略以增加攻击者获取访问权限的难度。 对于所有可通过互联网访问的接入点,特别是 VPN 访问,都应额外采用多因素身份验证进行保护。随着用户数量的增加,一人或多人使用弱密码或重复使用密码的可能性也随之上升,高校等用户群体难以管控便是典型例证。
三、账户管理混乱
问题: 攻击者能 轻易在网络中提升访问权限 ,一种常见手法是 利用失窃的本地管理员账户 ,从内存中读取用户登录时缓存的密码哈希值,通常,攻击者无需知晓实际密码,即可直接使用这些哈希值冒充他人身份登录,即专家所称的“传递哈希”攻击。若具备域管理员权限的管理员为图方便登录普通PC,其高权限凭证便会在本地缓存,极易落入攻击者之手,构成重大安全漏洞。 解决方案: 为最大限度降低此类风险,需实施 账户分离策略 。其核心理念是将系统划分为不同层级,并为每个层级配备专属管理员账户。该方法可有效阻止攻击者入侵较低层级后获取更高级别系统的访问权限,从而无法轻易提权以触及基础设施的关键系统。
四、网络未分段
问题: 许多公司仍在使用大型扁平网络,而忽视了网络分段的安全优势需以“监管”过渡为前提。倘若放任网络犯罪分子在网段间自由穿行,那么安全负责人也不该对其迅速蔓延的攻击感到意外。 解决方案: 精心设计的网络分段能为攻击者设置难以逾越的屏障 。公司应严格隔离服务器与客户端网络,仅允许明确必要的连接。 OT与IT的分离同样关键 ,例如生产系统不应接入办公网络。像市政公用事业这样的关键信息基础设施,必须确保无法从外部访问。 此外,也可以快速实施一些短期见效的措施,例如建立管理网络。在此网络中,只授予管理账户访问权限,每个账户都通过带有第二因素的VPN进行保护,这样可以在不干扰普通用户日常工作的前提下提供了高水平的安全性。
五、备份不足
问题: 应对数据丢失风险,仅有备份是远远不够的,备份必须确保可恢复。更严峻的是,网络犯罪分子会专门搜寻并删除或加密备份。 解决方案: 备份必须始终保持与网络和互联网的物理隔离。 这意味着不与 Active Directory 连接,并存储在一个单独的、隔离的网段中,以便在勒索软件攻击后仍可使用。攻击者在无法找到或访问备份服务器时,经常会放弃攻击,这意味着他们失去了强制企业满足其要求所需的筹码。同时,他们搜索备份的时间越长,企业就越有时间发现攻击。 因此,完善的备份策略必须包含安全存储所有信息的离线副本,并遵循“ 3-2-1原则 ”:创建 三份独立副本 ,其中 两份存储于不同介质 ,如硬盘与LTO磁带,另 一份异地存放 。 此外,还需定期测试数据备份的功能性和恢复能力。需要警惕的是,若备份密码存储在已被攻击者加密的密码管理器中,事情将会变得非常棘手。
六、IT 人员超负荷工作
问题: 许多公司的IT部门被迫包揽所有任务,从用户支持、安装打印机驱动到网络管理,乃至维护服务器环境和保障IT安全变成是其他任务之外的附加工作。 解决方案: 经验表明,中型企业 应将约5%的员工配置于IT岗位 。同时,企业必须 配备专职的IT安全人员 ,否则IT安全将在日常运营中被忽视,从而引发严重后果。
七、糟糕的 IT 服务提供商
问题: 许多公司为弥补技术人才短缺,选择将IT全部或部分外包。然而,在选择服务提供商时,其技能和专业知识的好坏至关重要,往往细节决定成败。 解决方案: 优秀的IT服务提供商能以其专业知识弥补企业自身IT部门的不足。然而,在选择IT安全服务提供商时,有几点需要考虑。比如服务提供商的响应时间,在紧急情况下,时间是关键因素。假如您购买了提供全年7×24小时监控的托管扩展检测与响应(MXDR)服务,则公司内部也必须指定全天候联络人。否则,若服务商深夜10点报告安全事件却无人响应,那么一切皆成空谈。 此外,应定期对整体IT基础设施进行渗透测试等安全检查,并通过联合应急演练实践响应流程、检验安全能力及报告链条的有效性。
八、缺乏安全监控
问题: 大多数安全事件本可更早发现并阻止,但安全告警常被忽略,或淹没于无关信息的洪流中,或因专业知识的缺失而被误解。 解决方案: 为避免此类情况,企业需配备专职IT安全人员。若无法或不愿自建团队,则可考虑安全托管服务,与此同时,还必须建立流畅的报告响应链条,唯有确保高效的响应流程,托管安全方案方能充分发挥效力。
九、技术债——过时系统成为入侵通道
问题: 技术债务往往是人员短缺的直接后果,公共管理部门便是典型例证,其IT基础设施明显过时的情况屡见不鲜。同时,优先级设置失当同样会导致技术债务累积。 解决方案: 安全负责人不应仅仅将新系统或安全产品视为解决方案,还应定期解决技术债务。当时间和资源稀缺时,这通常是首先被忽视的事情,但这无异于向网络犯罪分子敞开大门。
十、恐慌的应急响应
问题: 在发现严重的网络攻击后,许多公司常常陷入恐慌。员工和管理层手忙脚乱,但所做的有效工作却很少,重要的决策和工作被延误,反而加大了损失,这种现象被戏称为“ 无头苍蝇模式 ”。 解决方案: 经验丰富的事件响应团队能提供冷静、结构化的处理方式 ,唯有如此,各方才能齐心协力解决问题、恢复系统运行。 应急计划至关重要 。应急计划应该提前以离线形式存在并且保持可用,而不是存放在无法访问的加密服务器上。应急计划还应明确规定紧急情况下的责任人和操作流程:谁做决策?谁通知员工、客户或利益相关者?谁与调查机构沟通?否则,公司将在责任归属的讨论中浪费宝贵时间。 另外,系统优先级排序同样关键,换句话说,需要确定哪些系统需要优先检查和恢复,哪些系统是基础设施重新运行所必需的?哪些系统对业务至关重要。 此外,储备一个优质响应服务商也至关重要。若临时寻找,不仅耗时,也未必能匹配最佳人选。理想情况是提前与专家建立联系甚至签订事件响应协议以确保获得即时处理。
结语
任何企业都不该心存侥幸,网络犯罪分子随时将突破防线。但若能落实前述十项措施,便可在早期阶段检测攻击企图并启动应对措施。最理想情况是,这些措施非常有效,以至于攻击团伙会早早放弃攻击,或者攻击被及时检测到。 参考链接: https://www.csoonline.com/article/4021827/the-10-most-common-it-security-mistakes.html END
✦ 推荐阅读 ✦ 粉丝福利群开放啦 加安全419好友进群 红包/书籍/礼品等不定期派送 阅读原文
跳转微信打开
