中小企業(yè)防御網(wǎng)絡(luò)攻擊的6種方法

■郭宇

中小企業(yè)防御網(wǎng)絡(luò)攻擊的6種方法

■郭宇

網(wǎng)絡(luò)安全是當(dāng)前一個(gè)非常熱門(mén)的話題，網(wǎng)絡(luò)泄密、系統(tǒng)癱瘓、斯諾登事件......都在不斷挑戰(zhàn)所有人互聯(lián)網(wǎng)人的神經(jīng)。大家都在擔(dān)憂自己的隱私會(huì)不會(huì)被泄露出去，公司的敏感信息怎么來(lái)保護(hù)。當(dāng)然，這也是一個(gè)非常好的現(xiàn)象，說(shuō)明現(xiàn)在大家的安全意識(shí)已經(jīng)越來(lái)越高了！

但是，也有一些不好的現(xiàn)象，比如很多公司的管理層認(rèn)為，網(wǎng)絡(luò)安全是大公司才需要考慮的事情，小型的創(chuàng)業(yè)公司并沒(méi)有什么價(jià)值吸引黑客來(lái)攻擊。在筆者看來(lái)，這種想法是非常危險(xiǎn)的，任何一點(diǎn)點(diǎn)疏漏都可能給企業(yè)帶來(lái)「滅頂之災(zāi)」。但是，很多小公司受限于技術(shù)水平，又很難應(yīng)對(duì)網(wǎng)絡(luò)攻擊。本文就來(lái)介紹中小企業(yè)該如何準(zhǔn)備和應(yīng)對(duì)網(wǎng)絡(luò)攻擊，避免自己的信息泄露和財(cái)產(chǎn)損失：

為什么黑客要攻擊中小企業(yè)呢？

誠(chéng)然，對(duì)黑客來(lái)說(shuō)攻克大公司的網(wǎng)絡(luò)絕對(duì)是名利雙收的事情：拿到非常多有價(jià)值的東西，能夠上新聞?lì)^條。但是大公司的安全防范和追蹤能力都是非常高的，對(duì)黑客而已，成本和風(fēng)險(xiǎn)也都隨之提高。對(duì)于中小企業(yè)，安全防范比大公司要低多了，同時(shí)有價(jià)值的東西也絕對(duì)比個(gè)人要高非常多。所以中小企業(yè)絕對(duì)是黑客最理想的目標(biāo)和「點(diǎn)心」。

另外一點(diǎn)，就是中小企業(yè)安全防范意識(shí)比較差，黑客也非常清楚這一點(diǎn)，研究證明：97%的中小企業(yè)在將來(lái)的業(yè)務(wù)發(fā)展中不重視網(wǎng)絡(luò)安全，82%的中小企業(yè)認(rèn)為他們沒(méi)有什么有價(jià)值的東西值得黑客來(lái)攻擊，只有23%的中小企業(yè)人他們擔(dān)心自己的信息被偷竊。

數(shù)據(jù)還是有點(diǎn)“觸目驚心”的，對(duì)于特別小的企業(yè)，黑客可能沒(méi)有興趣專門(mén)做針對(duì)性的攻擊，但是也很難避免廣泛的掃描性的攻擊，這些攻擊都是通過(guò)軟件自動(dòng)化對(duì)所有網(wǎng)站進(jìn)行掃描，只要您的網(wǎng)站一上線，可能第一個(gè)用戶就是各種漏洞掃描工具的攻擊。

現(xiàn)在網(wǎng)絡(luò)上已經(jīng)沒(méi)有任何“私人花園”的存在了。這種攻擊成本是非常低的，一旦發(fā)現(xiàn)你的漏洞，就可以以極小的代價(jià)攻破您的網(wǎng)絡(luò)，一旦攻破，你的網(wǎng)站將被黑客接管，所有有價(jià)值的信息都被一掃而空，然后您的網(wǎng)站將可能成為一個(gè)“肉雞”，成為網(wǎng)絡(luò)攻擊的一環(huán)。對(duì)黑客來(lái)說(shuō)這也是非常有價(jià)值的事情。

當(dāng)然現(xiàn)在有很多關(guān)于網(wǎng)絡(luò)安全事件的報(bào)道，很多人都已經(jīng)有這方面的意思了，但是大家對(duì)如何如何防范網(wǎng)絡(luò)攻擊還是沒(méi)有頭緒。下面筆者將一一進(jìn)行介紹：

網(wǎng)絡(luò)攻擊的常見(jiàn)類型

通常來(lái)說(shuō)，網(wǎng)絡(luò)攻擊的目的是竊取和利用敏感信息比如信用卡號(hào)、個(gè)人身份證、客戶信息等等，黑客可以利用這些信息直接竊取客戶的財(cái)務(wù)或者濫用個(gè)人信息牟利。網(wǎng)絡(luò)攻擊的手段和動(dòng)機(jī)多種多樣：比如網(wǎng)絡(luò)黑客或者網(wǎng)絡(luò)罪犯可能是不加區(qū)分的攻擊，然后攻擊盡可能的的目標(biāo)以獲取盡可能多的敏感信息，也可能是去持續(xù)的攻擊某個(gè)特定的目標(biāo)，也有可能是前雇員為了報(bào)復(fù)前雇主，還有可能是內(nèi)部員工為了牟利竊取內(nèi)部機(jī)密。

不管動(dòng)機(jī)如何，網(wǎng)絡(luò)攻擊通常有以下幾種常用的攻擊方式和手段，但是對(duì)于這幾種非常常用的攻擊方式大家還是應(yīng)該了解一下到底是什么，如何進(jìn)行防御：

APT高級(jí)持續(xù)攻擊

這種最近幾年進(jìn)行的新型高級(jí)攻擊方式，它是針對(duì)特定的目標(biāo)進(jìn)行持續(xù)、分階段的進(jìn)行攻擊，沒(méi)有有特征碼，沒(méi)有明顯的危害行為。防火墻、殺毒軟件以及沙箱基本上是根據(jù)特征庫(kù)和行為方式進(jìn)行防御，對(duì)APT基本上是無(wú)能為力。APT攻擊在大部分時(shí)間就是一個(gè)普通的進(jìn)程，沒(méi)有任何威脅，它可以潛伏很長(zhǎng)時(shí)間，也可以從底層員工逐步滲透到高層員工的電腦里面，一旦找到有價(jià)值的信息在很短的時(shí)間發(fā)起攻擊。一個(gè)

APT通?？梢苑譃槲鍌€(gè)階段，它們是偵察（研究和了解目標(biāo)），入侵（通過(guò)常用方式將攻擊程序嵌入，比如個(gè)人簡(jiǎn)歷等），發(fā)現(xiàn)（不斷滲透發(fā)現(xiàn)有價(jià)值的目標(biāo)），捕獲（通過(guò)長(zhǎng)時(shí)間來(lái)采集數(shù)據(jù)）和滲出（通過(guò)正常途徑將敏感信息發(fā)出）。

漏洞攻擊

漏洞是因?yàn)槌绦虻腂ug導(dǎo)致的，分布范圍非常的廣泛。從系統(tǒng)角度來(lái)看，有路由器、防火墻、服務(wù)器的漏洞等。從軟件角度來(lái)看有操作系統(tǒng)漏洞、服務(wù)器容器漏洞、第三方軟件漏洞、各種協(xié)議的漏洞以及自己編寫(xiě)的應(yīng)用程序的漏洞。比如「心臟出血漏洞」就是加密通訊軟件OpenSSL的一個(gè)漏洞導(dǎo)致。通常黑客通過(guò)掃描工具對(duì)一定范圍的服務(wù)器進(jìn)行掃描找漏洞，這種成本很低，但是只能找到一些通用的漏洞，大公司一般都會(huì)及時(shí)修復(fù)。還有就是對(duì)高價(jià)值的服務(wù)器進(jìn)行專門(mén)的漏洞挖掘。黑客找到漏洞了，攻擊就是比較容易的事情了。漏洞防范需要投入大量的人力和物力，并且總是出現(xiàn)百密一疏的情況。

DDoS:分布式拒絕服務(wù)

其主要目標(biāo)是通過(guò)巨量網(wǎng)絡(luò)訪問(wèn)，使目標(biāo)服務(wù)器負(fù)載超出設(shè)計(jì)能力，服務(wù)器癱瘓，無(wú)法為用戶提供服務(wù)。如果用戶完全依靠被攻擊服務(wù)器，就可以達(dá)到完全拒絕服務(wù)的效果。

內(nèi)部攻擊

內(nèi)部攻擊是最難防范的，大部分成熟的軟件可能都沒(méi)有把這種當(dāng)成一種攻擊，一般有這幾種情況發(fā)生：有管理員權(quán)限的員工故意或者誤操作訪問(wèn)公司敏感信息，含恨離開(kāi)但是還擁有訪問(wèn)權(quán)限的員工惡意訪問(wèn)公司敏感信息（這種情況通常通過(guò)加強(qiáng)管理和簽訂保密協(xié)定來(lái)解決），還有就是黑客通過(guò)提升權(quán)限或者攻入網(wǎng)絡(luò)模仿內(nèi)部訪問(wèn)的方式取得敏感信息。

惡意軟件

這是對(duì)所有植入目標(biāo)系統(tǒng)并對(duì)系統(tǒng)進(jìn)行破壞和未授權(quán)訪問(wèn)的所有軟件的統(tǒng)稱，包括病毒、間諜軟件、蠕蟲(chóng)、木馬和鍵盤(pán)記錄器、勒索等等。

密碼攻擊

破解密碼是黑客獲取目標(biāo)帳戶和數(shù)據(jù)庫(kù)最簡(jiǎn)單的方式。類型有暴力破解，通過(guò)不過(guò)猜測(cè)并嘗試知道找到正確的密碼；字典攻擊，它使用一個(gè)程序嘗試字典中的單詞的不同組合；按鍵監(jiān)控，追蹤用戶所有的按鍵，包括登錄ID和密碼。

釣魚(yú)網(wǎng)站

這是通過(guò)部署方式進(jìn)行攻擊的最常見(jiàn)方式，黑客通過(guò)發(fā)郵件或者第三方網(wǎng)站嵌入虛假連接的方式將客戶引入一個(gè)和原來(lái)網(wǎng)站外形非常相識(shí)的假網(wǎng)站，盜取用戶的個(gè)人信息以及登錄認(rèn)證信息?，F(xiàn)在各方對(duì)釣魚(yú)網(wǎng)站的認(rèn)識(shí)和重視越來(lái)越高，比如通過(guò)搜索引擎出來(lái)的結(jié)果都是可信的，大的官方網(wǎng)站也不斷的屏蔽釣魚(yú)網(wǎng)站，中釣魚(yú)網(wǎng)站攻擊的人也相應(yīng)的降低了。但是黑客的攻擊方式也越來(lái)越高明，企業(yè)還是要對(duì)最這方面的攻擊保存足夠的重視。

中小企業(yè)在安全保護(hù)上一些誤區(qū)

當(dāng)然，大公司有更多的資源和人力投入到安全保護(hù)中來(lái)，很多安全問(wèn)題都能得到快速和及時(shí)的處理，而對(duì)于中小企業(yè)來(lái)說(shuō)就沒(méi)有這么多的預(yù)算和安全人才來(lái)專門(mén)進(jìn)行安全方面的保護(hù)。但是缺乏資源不是不就行安全保護(hù)的接口：安全至關(guān)重要，今天也許沒(méi)有遭到黑客的攻擊，但誰(shuí)能保證未來(lái)一定不會(huì)呢？其實(shí)可能遭到攻擊自己都不清楚。

現(xiàn)在越來(lái)越多的數(shù)據(jù)都在網(wǎng)絡(luò)上能訪問(wèn)到，這對(duì)黑客的吸引力越來(lái)越大，再加之現(xiàn)在計(jì)算機(jī)技術(shù)的運(yùn)行速度越來(lái)越快，攻擊手段越來(lái)越多，黑客大規(guī)模掃描和破解密碼的成本越來(lái)越低，也越來(lái)越簡(jiǎn)單。對(duì)所有企業(yè)而言，安全保護(hù)變得越來(lái)越重要。

但是中小企業(yè)對(duì)安全保護(hù)認(rèn)識(shí)度還不夠，存在以下幾方面的誤區(qū)：

沒(méi)有安全防護(hù)行動(dòng)計(jì)劃：Towergate infographic研究標(biāo)明31%的中小企業(yè)沒(méi)有應(yīng)對(duì)網(wǎng)絡(luò)攻擊的行動(dòng)計(jì)劃，22%的小企業(yè)根本不知道安全防護(hù)從哪里開(kāi)始。在中國(guó)中小企業(yè)設(shè)備「裸奔」的情況更加嚴(yán)重，大多數(shù)企業(yè)就是買(mǎi)一臺(tái)防火墻就認(rèn)為萬(wàn)事大吉了。其實(shí)安全防護(hù)需要一個(gè)比較完整的行動(dòng)計(jì)劃。一旦網(wǎng)絡(luò)攻擊發(fā)生，在應(yīng)對(duì)已經(jīng)晚了。

自我感覺(jué)很安全：很多中小企業(yè)認(rèn)為安全是政府的事情，出了安全事故有公安機(jī)關(guān)來(lái)追查，但是網(wǎng)絡(luò)攻擊時(shí)非常復(fù)雜和隱蔽的，政府的防火墻和保護(hù)措施在很大程度上是覆蓋不到企業(yè)的。出了問(wèn)題追查是非常復(fù)雜的事情。還有企業(yè)認(rèn)為自己沒(méi)有什么可以被黑客惦記的，實(shí)際上現(xiàn)在黑客技術(shù)的發(fā)展非?？?，普通用戶的攻擊成本是非常低的，實(shí)際上很多時(shí)候攻擊已經(jīng)發(fā)生，信息已經(jīng)泄密了。只是自己不知道而已。

對(duì)內(nèi)部“黑客”監(jiān)控忽視：在大部分中小企業(yè)，特別是一些初創(chuàng)企業(yè)，認(rèn)為大家都是自己人，沒(méi)有任何安全流程和規(guī)范。對(duì)內(nèi)部人疏于監(jiān)管。但事實(shí)上很多信息敏感信息都是內(nèi)部人員泄露的，“近水樓臺(tái)先得月”。內(nèi)部人員具備非常好的有意或者無(wú)意泄密條件，現(xiàn)實(shí)比你想象得更嚴(yán)重，據(jù)美國(guó)欺詐審查員協(xié)會(huì)統(tǒng)計(jì)，全球內(nèi)幕欺詐2014總共涉案3.7萬(wàn)億美元。

不愿意在安全防護(hù)上投資：企業(yè)主對(duì)安全防護(hù)的重視程度還不夠，很多人認(rèn)為安全是可有可無(wú)，但是強(qiáng)大的安全防護(hù)對(duì)現(xiàn)代企業(yè)來(lái)說(shuō)是至關(guān)重要的事情，尤其是對(duì)那些在線公司，重要數(shù)據(jù)都可以通過(guò)網(wǎng)絡(luò)訪問(wèn)得到。大多數(shù)企業(yè)在開(kāi)發(fā)過(guò)程沒(méi)有對(duì)漏洞進(jìn)行檢測(cè)，即使檢測(cè)了也是掃描一次就結(jié)束了，事實(shí)上安全防護(hù)是一個(gè)持續(xù)的過(guò)程，網(wǎng)絡(luò)攻擊時(shí)刻在發(fā)生，攻擊手段時(shí)刻在變化。在安全問(wèn)題上沒(méi)有“一勞永逸”的事情。

市面上可供選擇的解決方案：

其實(shí)，安全防護(hù)是一項(xiàng)非常專業(yè)的工程，大部分公司不具備網(wǎng)絡(luò)防護(hù)的能力，采購(gòu)現(xiàn)有的安全防護(hù)產(chǎn)品和解決方案是最快速和經(jīng)濟(jì)實(shí)惠的方案，一下介紹常用的安全解決方案：

一、殺毒軟件：主要用于個(gè)人電腦和終端，基于特征病毒庫(kù)，惡意軟件庫(kù)查殺已知的惡意軟件。優(yōu)點(diǎn)是價(jià)格便宜，甚至免費(fèi)。缺點(diǎn)是是只能防范最常見(jiàn)的攻擊，無(wú)法對(duì)APT，數(shù)據(jù)泄密進(jìn)行保護(hù)，有一定的性能消耗，有可能會(huì)收集個(gè)人信息。建議還是安裝業(yè)內(nèi)信譽(yù)好的殺毒軟件，這是基礎(chǔ)防護(hù)。

二、網(wǎng)絡(luò)防火墻：是目前最廣泛使用網(wǎng)絡(luò)防護(hù)工具，只需要在流量入口部署就可以防護(hù)整個(gè)公司的網(wǎng)絡(luò)，能防范一些常用的網(wǎng)絡(luò)安全攻擊。確定就是只是分析網(wǎng)絡(luò)流量，對(duì)精確的應(yīng)用層攻擊無(wú)能為力，有很多的“翻墻”技術(shù)可以繞過(guò)，在云平臺(tái)等沒(méi)有邊界的環(huán)境里無(wú)法使用。

三、Web應(yīng)用防火墻（WAF）：這是專門(mén)應(yīng)對(duì)應(yīng)用網(wǎng)絡(luò)攻擊的方案，相對(duì)網(wǎng)絡(luò)防火墻，WAF能解析常用的應(yīng)用層協(xié)議，初略的理解數(shù)據(jù)流，能應(yīng)對(duì)常見(jiàn)的Web應(yīng)用網(wǎng)絡(luò)攻擊。缺點(diǎn)就是不理解應(yīng)用程序的上下文，誤殺率比較高，配置過(guò)于復(fù)雜，需要既理解WAF同時(shí)理解特定的應(yīng)用程序的專業(yè)人士進(jìn)行管理，管理成本比較高。同樣也存在“翻墻”繞過(guò)的問(wèn)題，在無(wú)邊界的環(huán)境里也不適用。

四、運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）：這是2014年Gartner提出的一個(gè)全新的解決方案，現(xiàn)在絕大多數(shù)數(shù)據(jù)訪問(wèn)都是通過(guò)應(yīng)用程序進(jìn)行訪問(wèn)，因此80%的網(wǎng)絡(luò)攻擊也是發(fā)生在應(yīng)用層。上文提到WAF？部署在應(yīng)用程序前面并不理解應(yīng)用程序的上下文，只是通過(guò)特征庫(kù)，正則表達(dá)式等方式去猜測(cè)用戶的輸入是否有攻擊行為，這種方式導(dǎo)致誤殺率比較高，同時(shí)配置復(fù)雜，使用成本比較高，研究人員就根據(jù)安全軟件開(kāi)發(fā)實(shí)踐，研究出在應(yīng)用程序內(nèi)部，在應(yīng)用程序運(yùn)行時(shí)進(jìn)行保護(hù)是最有效的，保護(hù)程序洞悉上下文，可以在數(shù)據(jù)訪問(wèn)的關(guān)鍵點(diǎn)進(jìn)行保護(hù)，這樣在精確性、性能、不可繞過(guò)、可以防護(hù)零日攻擊以及低使用成本方面是WAF無(wú)法企及的。

RASP對(duì)攻擊的可視性、對(duì)攻擊精確到代碼級(jí)別已經(jīng)幾乎零誤差的防護(hù)是非常值得稱道的地方。當(dāng)然它有缺點(diǎn)：輸入嵌入式保護(hù)，需要將保護(hù)代碼和應(yīng)用程序綁定在一起，如果保護(hù)代碼質(zhì)量不高會(huì)直接影響應(yīng)用程序的性能。是針對(duì)語(yǔ)言的保護(hù)，每種語(yǔ)言需要單獨(dú)開(kāi)發(fā)。概念很新還沒(méi)有大規(guī)模的推廣使用。目前推出RASP的廠家并不是太多國(guó)外有Waratek、HP等，國(guó)內(nèi)目前只有OneRASP。

五、數(shù)據(jù)備份軟件：數(shù)據(jù)是企業(yè)的基石，當(dāng)數(shù)據(jù)系統(tǒng)損壞時(shí)，有備份數(shù)據(jù)能最大限度避免損失。加密軟件：通過(guò)加密軟件對(duì)敏感信息和傳輸通道進(jìn)行加密至關(guān)重要。

六、密碼保護(hù)系統(tǒng)：密碼是訪問(wèn)數(shù)據(jù)的唯一憑據(jù)，單一校驗(yàn)已經(jīng)不足以保護(hù)安全，兩步校驗(yàn)和專門(mén)的密碼安全軟件也是非常必要的。

安全需要全面保護(hù)，沒(méi)有任何一種解決方案能保護(hù)所有的數(shù)據(jù)，多層次多維度保護(hù)才是正確的解決方案，企業(yè)需要將各種方案整合起來(lái)形成一個(gè)安全保護(hù)的閉環(huán)，企業(yè)安全才能得到最大的保障。

安全最佳實(shí)踐和良好習(xí)慣

雖然購(gòu)買(mǎi)安全防護(hù)產(chǎn)品能解決你很大部分的問(wèn)題，但是良好的安全習(xí)慣的流程也是保護(hù)公司財(cái)產(chǎn)重要一步，包括以下幾個(gè)方面：

及時(shí)更新補(bǔ)丁，漏洞攻擊是非常危險(xiǎn)的攻擊，防止漏洞的最佳辦法就是將所有使用的軟件保持最新版本，這樣就能防范已知的漏洞，也就杜絕了絕大多數(shù)安全攻擊。

受過(guò)良好安全教育的團(tuán)隊(duì)是安全防范最重要的一點(diǎn)，讓員工了解黑客攻擊的主要工具和途徑，讓員工及時(shí)意識(shí)到什么情況系統(tǒng)遭受的網(wǎng)絡(luò)攻擊，這樣就能快速的防范和修復(fù)攻擊。同時(shí)讓員工充分了解如何正確安全的使用公司資源和網(wǎng)絡(luò)也是至關(guān)重要的。

制定和實(shí)施正確的安全政策是能有效防范安全攻擊，比如強(qiáng)制員工使用強(qiáng)密碼能有效降低暴露破解和字典攻擊的成功率，明確制定每個(gè)員工的安全職責(zé)，對(duì)于敏感信息的訪問(wèn)進(jìn)行嚴(yán)格控制，嚴(yán)格管理離職流程能有效降低內(nèi)部攻擊。

制定明確完整的安全防范計(jì)劃，防范于未然是最佳的解決辦法，制定事故發(fā)生的預(yù)案也是非常重要的。當(dāng)事故發(fā)生時(shí)根據(jù)預(yù)定方案進(jìn)行修護(hù)，能及時(shí)恢復(fù)系統(tǒng)，保障系統(tǒng)穩(wěn)定運(yùn)行。