1.電子郵件中的病毒
安全檢查不僅可以監控用戶的流量,還可以幫助企業檢查所有電子郵件。企業可以做的不僅僅是過濾垃圾郵件,還能夠檢查郵件正文中的附件和鏈接。這種控制很容易實現。只需將郵件服務器配置為將所有電子郵件副本轉發到正在運行MTA(郵件傳輸代理)的Check Point。如果使用的是Exchange企業電子郵件服務,則可以使用密件抄送(Bcc)。這種方法的主要好處是企業在用戶的反垃圾郵件解決方案過濾后檢查電子郵件。然而,令人感覺奇怪的是,總是不斷通過惡意郵件。電子郵件流量安全的當前機制在大多數情況下根本無法應對這種任務。
為什么電子郵件病毒會有危險?
根據最新報告,電子郵件繼續在惡意軟件分發生態系統中占主導地位。惡意代碼可以作為附件文件查收,也可以通過指向隨機在線資源(如Google Drive)的鏈接進行輪詢。在病毒傳播方面,SMTP流量優于其他協議。此外,病毒不一定是.exe文件,它們也可以偽裝成用戶通常信任的.doc或.pdf文檔。
2.網絡釣魚
幾乎所有評估都會發現員工點擊網絡釣魚鏈接遭遇攻擊的實例。PayPai、Office 356、Fasebook、Appie等網站有著無數的網絡釣魚鏈接,試圖吸引用戶。網絡釣魚攻擊的載體正在急劇上升,其原因很簡單:如果可以簡單地欺騙一個輕信的用戶,為什么要制造復雜的病毒呢?人類永遠是企業網絡安全中最薄弱的環節。
是什么讓網絡釣魚如此危險?
網絡釣魚在某種程度上是用戶的個人問題。一旦有人打開網絡釣魚鏈接遭受損失,就會提高警惕。但攻擊者可能會以這種方式竊取企業數據,其中包括電子郵件地址、密碼和重要文件。許多人重復使用公司提供的用戶名和密碼來注冊公共站點,例如社交網絡和torrent文件的洪流跟蹤器。如果用戶可以在其所有賬戶使用同一個密碼,為什么要記住一堆密碼呢?這可能是他們的想法。
3.從企業網絡上傳到云端
云存儲(Dropbox、Google Drive等)是另一個IT安全問題。現在每個人都使用這些服務。但是要知道企業網絡中的某個人使用它們是一回事,而在這些渠道上浪費數GB的流量則是另一回事。大約80%被評估的公司都遇到了這個問題。
是什么讓這樣的上傳數據有害?
有人可能正在泄露公司數據。除非采用數據泄露防護(DLP)解決方案,否則無法看到究竟泄露了什么。但是,不僅是將數據上傳到云資源會帶來風險,下載數據同樣有害。黑客多年來一直在通過公共文件存儲庫傳播病毒。
4.遠程訪問工具
這是另一個令人不安的事實。在絕大多數公司中,有些人使用遠程訪問服務,例如TeamViewer。但沒有人能保證是遠程訪問其工作計算機的人員。它可能是企業原來的員工或網絡犯罪分子。
遠程訪問工具的風險是什么?
除了未經批準的訪問之外,還面臨一個風險:文件傳輸。尤其令人不安的是,在這些會話過程中,大量的流量(GB級數據)來回傳輸移動。大多數遠程訪問實用程序都具有加密措施,因此無法了解正在下載或上傳的內容。不過,總的來說,它是私有數據泄漏的主要渠道。
5.員工使用VPN工具和代理
只使用Internet Explorer訪問已添加書簽的網站的傳統做法已經落后。如今的做法已經變得更加高級,再也不能用代理和匿名者來迷惑他人。安全評估顯示,許多企業員工幾乎都使用Tor或VPN。他們使用這些工具在組織中阻止玩游戲或觀看非法視頻。除非組織采用保護IT周邊的下一代防火墻(NGFW),否則幾乎不可能阻止。
使用VPN的風險是什么?
員工濫用內部指南這一事實并不是使用VPN最危險的事情。最大的擔憂是加密流量將滲透到網絡邊界。即使企業擁有適用于防病毒和IPS功能的高效邊緣設備,也無法跟蹤這樣的活動。用戶可以通過加密通道傳輸任何內容,其中包括惡意軟件。此外,他們可能不知道他們正在下載惡意內容,而這同樣適用于HTTPS流量。如果沒有在網絡邊界使用安全套接層(SSL)檢查,則會出現與Internet帶寬相當的安全漏洞。
許多IT安全管理人員都驚訝地發現,很多人通過匿名化工具在網絡中傳輸大量的信息,而通過這些渠道傳輸內容很可能是一個謎。
6. Torrents
在幾乎所有調查的公司中,一些人使用BitTorrent或其他P2P服務下載文件。而且,以這種方式下載的數據量是巨大的。在一個案例中,員工每周下載2TB的數據。人們可能會認為每個人都可以在家中使用高速互聯網,那么為什么要在公司下載數據?
是什么讓Torrents變得危險?
采用Torrents下載的主要問題是堵塞互聯網的帶寬。這種擁塞通常會影響業務關鍵型解決方案,例如IP電話和公司的云計算服務(CRM、電子郵件等)。此外,在計劃購買外圍防火墻時,許多管理人員根據渠道負載統計數據做出選擇。例如,企業發現上個月的平均負載大約為400Mbps,因此決定購買功能更強大(因此更加昂貴)的防火墻。但是,如果阻止所有未經授權的P2P流量,可以在下一代防火墻(NGFW)部署方面節省大量資金。
最重要的是,幾乎所有通過種子下載的文件都是較大文件的片段,這使得監控此類流量成為防病毒和IPS系統的問題。
7.僵尸網絡
在90%的案例中,受感染的計算機是僵尸網絡的組成部分。從技術上講,其文件沒有被刪除、加密或泄露。然而,在被污染的系統中,有一個很小的實用程序等待命令和控制服務器的指令。值得一提的是,這可能存在誤報,其中安全解決方案將常規流量識別為僵尸網絡的標志。無論如何,每一次這樣的事件都要經過嚴格的調查。
是什么讓僵尸服務器變得危險?
受感染的服務器可以在企業的網絡內運行多年而不會暴露。它們可能永遠不會造成傷害,但是很難預見到它們可能造成的影響。例如,這些服務器可能會下載加密勒索軟件,并用它攻擊整個網絡。
8.觀看非法視頻
無論聽起來多么奇怪,一些人在工作時間中觀看非法視頻。此外,這種流量是十分巨大的。在其中一次檢查中,測試人員發現一名員工在兩周內觀看了26GB的視頻。
為什么非法內容在工作中具有危險性?
這個問題起初看起來可能很有趣。如果將其從道德和倫理中脫離出來,那么問題在于用戶在這種娛樂上花費太多時間。一般來說,諸如YouTube、社交媒體和信使之類的服務與工作效率并不匹配,盡管這個問題會帶來一些爭議。因此,企業需要評估可以幫助用戶找出誰在浪費他們的工作時間,以及他們究竟在做什么。
其他問題
•針對企業數字基礎設施的DDoS攻擊
•基于漏洞的攻擊
網絡犯罪分子不僅可以攻擊用戶的電腦,還能夠攻擊企業的服務器。當然,還有許多其他的事件,其中用戶下載惡意軟件(包括零日感染),由于它們的體系結構更加復雜,并且需要更仔細的分析(畢竟還應該考慮誤報的可能性),當前防御系統無法檢測到這些。
總結
以上就是企業安全面臨的主要八大問題。最重要的是要記住,信息安全是一個持續的過程,而不是結果。
京公網安備 11010502049343號