精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

了解黑客新趨勢(shì) 防患未然

責(zé)任編輯:sjia |來(lái)源:企業(yè)網(wǎng)D1Net  2012-11-30 09:23:13 本文摘自:CIO時(shí)代網(wǎng)

任何事情總是事后說(shuō)起來(lái)容易,但今天似乎已經(jīng)很清楚,最近,高調(diào)的網(wǎng)絡(luò)攻擊背后的罪犯,不一定是電腦天才,只是獲得良好機(jī)會(huì)的人們。他們能夠利用人性的弱點(diǎn),然后濫用他們找到的一個(gè)敞開的門。這里,讓我來(lái)解釋一下。

這些黑客使用諸如具有高度針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚(Spear Phishing)電子郵件,引誘不知情的用戶打開一個(gè)惡意的附件,然后把惡意軟件部署到用戶的計(jì)算機(jī)中。攻擊者可以從一個(gè)機(jī)構(gòu)內(nèi)的單臺(tái)計(jì)算機(jī)開始,然后利用弱的、共享的特權(quán)帳戶的受害者,控制整個(gè)網(wǎng)絡(luò)系統(tǒng),搜遍其基礎(chǔ)設(shè)施和提取敏感的信息。這種方法很簡(jiǎn)單,但非常有效。

潛在的、脆弱的特權(quán)帳戶在IT基礎(chǔ)設(shè)施上—主機(jī)電腦操作系統(tǒng),網(wǎng)絡(luò)設(shè)備和備份系統(tǒng),以及在業(yè)務(wù)軟件中,是隨處可見的。特權(quán)帳戶可分為三個(gè)主要群體:

1、超級(jí)用戶登錄個(gè)人賬戶,用于配置、運(yùn)行和安裝應(yīng)用程序,更改系統(tǒng)設(shè)置;處理日常行政工作;以及執(zhí)行應(yīng)急消防呼叫維護(hù)。

2、服務(wù)帳戶,需要特權(quán)的登錄ID和密碼來(lái)運(yùn)行。

3、應(yīng)用到應(yīng)用的密碼,被網(wǎng)站、在線業(yè)務(wù)應(yīng)用、定制軟件連接到數(shù)據(jù)庫(kù)時(shí)使用的。

控制訪問(wèn)特權(quán)帳戶的密碼,是最終黑客和機(jī)構(gòu)的私人數(shù)據(jù)之間的主要障礙。然而,很多時(shí)候,這些密碼沒(méi)有得到充分的保護(hù)、監(jiān)督和審查。

安全性:為什么特權(quán)帳戶處于危險(xiǎn)之中

因?yàn)樘貦?quán)帳戶,甚至沒(méi)有通過(guò)身份訪問(wèn)管理(Identity Access Management簡(jiǎn)稱IAM)系統(tǒng)確認(rèn),大多數(shù)機(jī)構(gòu)都沒(méi)有用自動(dòng)化的方式來(lái)管理這些強(qiáng)勢(shì)的帳戶。今天由政府和行業(yè)團(tuán)體制定的IT安全法規(guī)要求機(jī)構(gòu)經(jīng)常更新特權(quán)帳戶的證書,并審核其使用授權(quán)。但是用腳本或手工更新這些帳戶,常常被證明是太耗時(shí)和容易出錯(cuò)的。對(duì)于更復(fù)雜的過(guò)程,手動(dòng)更改可能會(huì)導(dǎo)致服務(wù)中斷,如果人員不清楚不同的特權(quán)帳戶之間的相互依存關(guān)系的時(shí)候。因此,許多機(jī)構(gòu)根本忽視了這個(gè)問(wèn)題。

不幸的是,由弱的特權(quán)帳戶引入的安全風(fēng)險(xiǎn),在您的數(shù)據(jù)中心并沒(méi)有停止。您的機(jī)構(gòu)可能使用的越來(lái)越多的共享服務(wù),包括云服務(wù)、證書頒發(fā)機(jī)構(gòu)和金融服務(wù)網(wǎng)關(guān),特權(quán)帳戶的安全管理薄弱或不存在管理的問(wèn)題已經(jīng)暴露無(wú)遺。對(duì)于一個(gè)黑客來(lái)說(shuō),由共享的服務(wù)提供商員工使用的一個(gè)弱加密特權(quán)登錄,是具有令人難以置信的吸引力的目標(biāo),尤其是因?yàn)樵谶@些環(huán)境中的一個(gè)單一的妥協(xié)登錄,就可以打開企業(yè)客戶的私人數(shù)據(jù)。

保護(hù)鑰匙的安全

雖然保護(hù)您的特權(quán)帳戶的安全,可能看起來(lái)像一個(gè)棘手的問(wèn)題,你可以從控制開始,只需采取三個(gè)簡(jiǎn)單的步驟。

第1步,找到鑰匙。您需要執(zhí)行一個(gè)對(duì)您的整個(gè)網(wǎng)絡(luò)從頂端到底層的審查,以確定所有特權(quán)帳戶究竟在何處駐留。這應(yīng)該包括編目,看看登錄密碼是否足夠獨(dú)特和復(fù)雜,它們是否經(jīng)常改變,以保證安全。

在這一點(diǎn)上,一些讀者可能會(huì)感到絕望,因?yàn)樵谝粋€(gè)典型的數(shù)據(jù)中心有成千上萬(wàn)的潛在的特權(quán)登錄編目,這是一項(xiàng)不容易的任務(wù)。不要害怕,有些公司可以向?qū)徍撕细竦臋C(jī)構(gòu)提供特權(quán)帳戶的審計(jì),通常是不收取費(fèi)用的。

第2步,鎖門。你應(yīng)該部署自動(dòng)地關(guān)閉任何已發(fā)現(xiàn)的安全漏洞的功能。有成本效益的解決方案,不僅可以保證非常大的網(wǎng)絡(luò)上的這些帳戶的安全,而且這樣做只需幾個(gè)小時(shí)或幾天,而不是幾個(gè)月的時(shí)間。

第3步,固定窗口。如果您的網(wǎng)絡(luò)關(guān)鍵的外部組成部分是脆弱的,您也不能保證安全。要求您的關(guān)鍵業(yè)務(wù)合作伙伴,包括云服務(wù)提供商、證書頒發(fā)機(jī)構(gòu)和其他機(jī)構(gòu),證明他們是在遵守有意義的、如共識(shí)審計(jì)準(zhǔn)則(Consensus Audit Guidelines)這樣的規(guī)定。我認(rèn)為,如果他們提供像SAS70等類似的自我認(rèn)證,那說(shuō)明他們沒(méi)有采取認(rèn)真的態(tài)度,最終將會(huì)暴露您的私人信息。

黑客已經(jīng)表明,它們能穿透任何企業(yè)的網(wǎng)絡(luò)。在過(guò)去的幾個(gè)月中,入侵者似乎更占上風(fēng),因?yàn)樾孤哆@個(gè)詞已經(jīng)攻擊類似遭受損害的DigiNotar的四個(gè)證書頒發(fā)機(jī)構(gòu)。

許多機(jī)構(gòu)似乎認(rèn)識(shí)到情況的嚴(yán)重性,產(chǎn)生了一些恐慌和混亂的回應(yīng),因?yàn)樗麄冓s緊鎖好門,而慌亂中,卻把鑰匙留在鎖上。你的數(shù)據(jù)中心依賴于特權(quán)身份的功能,這是不會(huì)改變的。但是,如果不能保護(hù)這些帳戶,那么將會(huì)暴露您的私人數(shù)據(jù)。我們已經(jīng)解釋過(guò)風(fēng)險(xiǎn)了,但最終的決定取決于您自己。

關(guān)鍵字:安全

本文摘自:CIO時(shí)代網(wǎng)

x 了解黑客新趨勢(shì) 防患未然 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

了解黑客新趨勢(shì) 防患未然

責(zé)任編輯:sjia |來(lái)源:企業(yè)網(wǎng)D1Net  2012-11-30 09:23:13 本文摘自:CIO時(shí)代網(wǎng)

任何事情總是事后說(shuō)起來(lái)容易,但今天似乎已經(jīng)很清楚,最近,高調(diào)的網(wǎng)絡(luò)攻擊背后的罪犯,不一定是電腦天才,只是獲得良好機(jī)會(huì)的人們。他們能夠利用人性的弱點(diǎn),然后濫用他們找到的一個(gè)敞開的門。這里,讓我來(lái)解釋一下。

這些黑客使用諸如具有高度針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚(Spear Phishing)電子郵件,引誘不知情的用戶打開一個(gè)惡意的附件,然后把惡意軟件部署到用戶的計(jì)算機(jī)中。攻擊者可以從一個(gè)機(jī)構(gòu)內(nèi)的單臺(tái)計(jì)算機(jī)開始,然后利用弱的、共享的特權(quán)帳戶的受害者,控制整個(gè)網(wǎng)絡(luò)系統(tǒng),搜遍其基礎(chǔ)設(shè)施和提取敏感的信息。這種方法很簡(jiǎn)單,但非常有效。

潛在的、脆弱的特權(quán)帳戶在IT基礎(chǔ)設(shè)施上—主機(jī)電腦操作系統(tǒng),網(wǎng)絡(luò)設(shè)備和備份系統(tǒng),以及在業(yè)務(wù)軟件中,是隨處可見的。特權(quán)帳戶可分為三個(gè)主要群體:

1、超級(jí)用戶登錄個(gè)人賬戶,用于配置、運(yùn)行和安裝應(yīng)用程序,更改系統(tǒng)設(shè)置;處理日常行政工作;以及執(zhí)行應(yīng)急消防呼叫維護(hù)。

2、服務(wù)帳戶,需要特權(quán)的登錄ID和密碼來(lái)運(yùn)行。

3、應(yīng)用到應(yīng)用的密碼,被網(wǎng)站、在線業(yè)務(wù)應(yīng)用、定制軟件連接到數(shù)據(jù)庫(kù)時(shí)使用的。

控制訪問(wèn)特權(quán)帳戶的密碼,是最終黑客和機(jī)構(gòu)的私人數(shù)據(jù)之間的主要障礙。然而,很多時(shí)候,這些密碼沒(méi)有得到充分的保護(hù)、監(jiān)督和審查。

安全性:為什么特權(quán)帳戶處于危險(xiǎn)之中

因?yàn)樘貦?quán)帳戶,甚至沒(méi)有通過(guò)身份訪問(wèn)管理(Identity Access Management簡(jiǎn)稱IAM)系統(tǒng)確認(rèn),大多數(shù)機(jī)構(gòu)都沒(méi)有用自動(dòng)化的方式來(lái)管理這些強(qiáng)勢(shì)的帳戶。今天由政府和行業(yè)團(tuán)體制定的IT安全法規(guī)要求機(jī)構(gòu)經(jīng)常更新特權(quán)帳戶的證書,并審核其使用授權(quán)。但是用腳本或手工更新這些帳戶,常常被證明是太耗時(shí)和容易出錯(cuò)的。對(duì)于更復(fù)雜的過(guò)程,手動(dòng)更改可能會(huì)導(dǎo)致服務(wù)中斷,如果人員不清楚不同的特權(quán)帳戶之間的相互依存關(guān)系的時(shí)候。因此,許多機(jī)構(gòu)根本忽視了這個(gè)問(wèn)題。

不幸的是,由弱的特權(quán)帳戶引入的安全風(fēng)險(xiǎn),在您的數(shù)據(jù)中心并沒(méi)有停止。您的機(jī)構(gòu)可能使用的越來(lái)越多的共享服務(wù),包括云服務(wù)、證書頒發(fā)機(jī)構(gòu)和金融服務(wù)網(wǎng)關(guān),特權(quán)帳戶的安全管理薄弱或不存在管理的問(wèn)題已經(jīng)暴露無(wú)遺。對(duì)于一個(gè)黑客來(lái)說(shuō),由共享的服務(wù)提供商員工使用的一個(gè)弱加密特權(quán)登錄,是具有令人難以置信的吸引力的目標(biāo),尤其是因?yàn)樵谶@些環(huán)境中的一個(gè)單一的妥協(xié)登錄,就可以打開企業(yè)客戶的私人數(shù)據(jù)。

保護(hù)鑰匙的安全

雖然保護(hù)您的特權(quán)帳戶的安全,可能看起來(lái)像一個(gè)棘手的問(wèn)題,你可以從控制開始,只需采取三個(gè)簡(jiǎn)單的步驟。

第1步,找到鑰匙。您需要執(zhí)行一個(gè)對(duì)您的整個(gè)網(wǎng)絡(luò)從頂端到底層的審查,以確定所有特權(quán)帳戶究竟在何處駐留。這應(yīng)該包括編目,看看登錄密碼是否足夠獨(dú)特和復(fù)雜,它們是否經(jīng)常改變,以保證安全。

在這一點(diǎn)上,一些讀者可能會(huì)感到絕望,因?yàn)樵谝粋€(gè)典型的數(shù)據(jù)中心有成千上萬(wàn)的潛在的特權(quán)登錄編目,這是一項(xiàng)不容易的任務(wù)。不要害怕,有些公司可以向?qū)徍撕细竦臋C(jī)構(gòu)提供特權(quán)帳戶的審計(jì),通常是不收取費(fèi)用的。

第2步,鎖門。你應(yīng)該部署自動(dòng)地關(guān)閉任何已發(fā)現(xiàn)的安全漏洞的功能。有成本效益的解決方案,不僅可以保證非常大的網(wǎng)絡(luò)上的這些帳戶的安全,而且這樣做只需幾個(gè)小時(shí)或幾天,而不是幾個(gè)月的時(shí)間。

第3步,固定窗口。如果您的網(wǎng)絡(luò)關(guān)鍵的外部組成部分是脆弱的,您也不能保證安全。要求您的關(guān)鍵業(yè)務(wù)合作伙伴,包括云服務(wù)提供商、證書頒發(fā)機(jī)構(gòu)和其他機(jī)構(gòu),證明他們是在遵守有意義的、如共識(shí)審計(jì)準(zhǔn)則(Consensus Audit Guidelines)這樣的規(guī)定。我認(rèn)為,如果他們提供像SAS70等類似的自我認(rèn)證,那說(shuō)明他們沒(méi)有采取認(rèn)真的態(tài)度,最終將會(huì)暴露您的私人信息。

黑客已經(jīng)表明,它們能穿透任何企業(yè)的網(wǎng)絡(luò)。在過(guò)去的幾個(gè)月中,入侵者似乎更占上風(fēng),因?yàn)樾孤哆@個(gè)詞已經(jīng)攻擊類似遭受損害的DigiNotar的四個(gè)證書頒發(fā)機(jī)構(gòu)。

許多機(jī)構(gòu)似乎認(rèn)識(shí)到情況的嚴(yán)重性,產(chǎn)生了一些恐慌和混亂的回應(yīng),因?yàn)樗麄冓s緊鎖好門,而慌亂中,卻把鑰匙留在鎖上。你的數(shù)據(jù)中心依賴于特權(quán)身份的功能,這是不會(huì)改變的。但是,如果不能保護(hù)這些帳戶,那么將會(huì)暴露您的私人數(shù)據(jù)。我們已經(jīng)解釋過(guò)風(fēng)險(xiǎn)了,但最終的決定取決于您自己。

關(guān)鍵字:安全

本文摘自:CIO時(shí)代網(wǎng)

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號(hào)-6 京公網(wǎng)安備 11010502049343號(hào)

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 玉屏| 久治县| 荃湾区| 防城港市| 崇信县| 章丘市| 山阳县| 牡丹江市| 名山县| 广平县| 高碑店市| 大冶市| 承德市| 五原县| 宁武县| 习水县| 临澧县| 凯里市| 云和县| 海晏县| 漳平市| 永泰县| 当雄县| 永泰县| 南溪县| 秀山| 松江区| 大新县| 彝良县| 会宁县| 诏安县| 阳谷县| 仲巴县| 贵定县| 韩城市| 大竹县| 尼勒克县| 鄄城县| 荥阳市| 两当县| 兖州市|