15320004362

警惕那些常见却又容易被忽视的网络安全威胁

日期:2022-12-02 17:52:58 访问:1372 作者:必火安全学院
警惕那些常见却又容易被忽视的网络安全威胁
必火网络安全学院,实打实的为就业而生,为年薪30W而战!
五个月零基础到精通,从网络协议路由到系统安全、从代码编程PHP、python到代码审计SRC漏洞挖掘、从脚本安全到CTF全面解析。
网络信息安全攻防培训,必火质量第一,实至名归。全天上课,包高薪就业。
第19期网络安全就业班:2023年07月19日 开班地点:天津
第20期网络安全就业班:2023年08月28日 开班地点:北京
CISP/CISSP/CISP-PTE/CISA/CISW...网络安全证书认证
警惕那些常见却又容易被忽视的网络安全威胁


勒索软件、恶意软件、网络钓鱼攻击......这些都是现代企业在数字化转型发展中面临的诸多网络安全威胁与挑战,由此造成的危害也时有报道。然而当企业投入了巨大资源启动网络安全防护计划时,一些常见的高危风险容易被安全团队所忽视。其原因可能是安全人员陷入了“安全警报疲劳”状态,或是认知不足而放松了警惕心,然而,这些没有得到足够重视的常见威胁正在企业数字化环境中到处肆虐,并随时可能引发灾难性的影响。





· 公开信息的恶意利用







公开信息被恶意利用是企业面临威胁之一,但几乎很少人会关注和谈论这种威胁。事实上,大多数的网络攻击发生之前,网络犯罪分子都会提前收集目标企业的电子邮件地址、电话号码和社会安全号码等基本信息。企业安全团队应该更加关注和重视这方面的保护,教育企业员工如何管理他们在网上的企业与个人信息。





· 数据勒索攻击







近年来勒索软件攻击者的策略颇有成效,企业组织将会看到更多的勒索软件攻击,因此安全主管们需要提前做好准备。但很多企业对勒索攻击仍然缺乏足够的重视。同时,一些企业的安全管理者存在认知误区:我们已经对业务数据进行了备份,这样就可以不需要支付赎金以恢复数据。然而,现在勒索攻击者的方法已有所改进,双重勒索甚至多重勒索模式将会成为主要攻击手段。





· 用户账户接管攻击







用户账户接管攻击是一种威胁巨大网络安全风险,但是目前很少有企业已经具备有效的防护手段。网络攻击者不再直接攻击高价值目标,而是通过网络钓鱼攻击目标的供应商和第三方供应链,然后利用被攻陷的用户账户向目标发送合法邮件。美国联邦调查局(FBA)将这种攻击方式称为“价值260亿美元的欺诈骗局”。一旦合法账户被攻击者接管,就可以被利用下达欺诈性的订单,拦截商务凭证,转移有价值的数字资产,甚至给受害企业的品牌带来损害。





· 不断扩大的API攻击面







应用编程接口(API)是应用程序间通信的核心,它提供了对第三方验证和数据源的访问。随着API应用增长,随之而来的攻击面也在不断扩大,确保API应用安全对保护企业数字化发展安全变得越来越重要。现代企业需要将确保API应用安全视为一条核心业务运营原则。





· 影子SaaS应用





很多企业还没有意识到技术工具的无序采购也是一大风险。庞大的软件即服务(SaaS)市场,让普通员工也可以便捷地购买到应用软件程序,甚至是免费的,当这些应用中被导入企业业务数据时,员工、客户和合作伙伴的隐私信息就可能面临险境。虽然许多企业明确规定了应用程序必须得到批准后才能使用,但影子SaaS应用是大多数企业还难以充分防范的安全风险之一。





· 多维度的数据应用漏洞







随着数字化转型的发展,现代企业组织大多需要将业务数据存储在多个数据中心和应用中。企业数据资产会更加容易受到网络犯罪活动、人为错误、自然灾害等多方面因素的安全威胁。然而,很多企业都没有部署积极主动的安全措施,为数据资产提供体系化的保护,无法做到无论数据存放在哪里都可以被安全利用。





· 薄弱的网络安全意识







如果我们复盘许多重大数据泄露事件,其根本原因往往是因为企业员工有意或无意的网络安全违规操作,比如在办公电脑上重复使用账户密码,或者用不安全的个人设备访问公司应用程序。组织应给予更多的重视,帮助每个员工管理好企业办公网络内外的个人安全,以更好地消除这些安全隐患。





· 松懈的安全管理制度







目前企业最大的安全挑战是在企业内部,无论是松懈的管理制度,还是没有为员工提供经过优化的工作流程,都会让各种安全威胁从内部开始产生。企业应该尽可能实现安全管理流程的自动化,积极实施零信任安全框架,并持续开展网络安全文化建设,确保每个员工都能够严格遵守安全规程。





· 中间人攻击







中间人攻击是指攻击者介入到两个受害者的网络通信中,并可以窃听或篡改对话内容。攻击者会拦截并篡改受害者之间的消息,然后将它们重新发送给另一个受害者,使消息看起来如同来自原始发送者。这种类型的攻击可用于窃取敏感信息,比如登录凭据、财务信息或商业机密。中间人攻击还可以被用来向网站或软件注入恶意代码,然后感染受害者的计算设备和应用。为了防护中间人攻击,企业应该积极部署新一代加密技术和VPN协议来保护业务过程中的通信安全。





· 不安全的物联网设备







物联网设备面临的网络威胁正在引起技术主管和网络安全公司的关注。然而,如果我们想为物联网的大规模应用做好准备,还应该为大规模生产的不达标、不安全的设备做好准备。因此,我们需要格外关注应用编程接口漏洞以及设备和移动应用程序之间共享数据的协议。





· 过于宽松的云应用环境







在云端,传统的物理防护边界被打破,只有通过严格的身份访问控制才能构建起新的安全边界。但是事实上,目前有很多云上存储的数据被广泛暴露在互联网上,很多没有得到授权的用户也都可以访问这些数据。尽管排查和消除云端有风险的访问权限是一个复杂的、动态的长期过程,但企业必须立刻重视起来,并且开始采取相关的治理措施。





· APP欺诈







由于APP欺诈通常是在用户授权的情况下发生,因此很难实时识别和预防,但这种威胁却会给受害人造成直接的财产损失。尽管很多企业在面对受害消费者追责索赔时,会将部分责任推给对方,但是考虑到企业品牌和用户信任度的损害,企业也将因为APP欺诈而付出巨大的代价。因此,企业的安全团队需要迅速行动起来,制定一项防止可能导致业务资金流失的APP欺诈防护计划,并从早期的尽职调查就开始做起。




来源:信息新安全、安全牛







































2022年贵州“网信杯”网络安全技能竞赛决赛圆满收官



12月1日,2022年贵州技能大赛——“网信杯”网络安全技能竞赛决赛在贵阳国家大数据安全靶场圆满落幕,并举行了颁奖仪式。





据悉,此次竞赛由贵州省委网信办、省工业和信息化厅、省公安厅、省人力资源社会保障厅、省大数据局、省总工会、省通信管理局、国家计算机网络与信息安全管理中心贵州分中心等部门联合主办。此次活动是贵州省连续组织的第四届网络安全技能竞赛,共有来自全省各地区、各部门、各单位的384名个人赛选手、141支参赛队伍,共计563名选手参赛,再创历届参赛人数新高。自竞赛活动全面启动以来,各参赛选手在省直和各地区共10个不同赛道进行激烈角逐。最终110名个人赛参赛选手及35支团队赛参赛队伍脱颖而出晋级总决赛。



11月29日,线下总决赛拉开帷幕。个人赛采取“理论测试(30%)+CTF夺旗赛(70%)”形式,时长6小时;团队赛采取“攻防对抗”形式,时长6小时,首次加入了CFS场景赛,利用虚拟仿真技术将现实场景融入竞赛中,展现“生产生活与网络安全密不可分”的理念,全面考察团队和选手的理论知识和实战能力。





经过为期两天的激烈比拼,来自贵州电网有限责任公司的周泽元获得个人赛一等奖;来自云上贵州大数据(集团)有限公司的白远杰、田超获个人赛二等奖;来自贵州电网有限责任公司的班秋成,中国移动通信集团贵州有限公司的韩筱、郭运东获个人赛三等奖。来自云上贵州大数据(集团)有限公司的云上贵州一队获团队赛一等奖;来自中国移动通信集团贵州有限公司的贵州移动天鹰一队、来自贵州电网有限责任公司的贵州电网甲秀青禾队获团队赛二等奖;来自贵阳银行股份有限公司的SSID队、TEST队,来自中国移动通信集团贵州有限公司的贵州移动天鹰二队获团队赛三等奖。





同时,对于团队赛获得前6名的团队领队个人,组委会颁发了优秀领队奖。省公安厅、国家税务总局贵州省税务局、贵阳市委网信办、遵义市委网信办、铜仁市委网信办等5家单位为此次竞赛的优秀组织单位,省卫生健康委、省气象局、六盘水市委网信办、安顺市委网信办、黔南州委网信办、黔西南州委网信办、国家税务总局贵阳市税务局等7家单位为此次竞赛的积极组织单位。



积极构建网络空间安全、创新人才培养体系,推动网络安全人才培养、技术创新和产业发展,是在“大安全”时代切实维护全省国家安全和发展利益的重要课题。参赛选手们纷纷表示,要积极把握新技术新趋势,努力提升网络安全技能水平,切实维护网络安全、建设清朗网络空间,为全省网络安全发展塑造新动能新优势。