企业面临的网络安全风险及应对策略

企业面临的网络安全风险及应对策略网络安全威胁是一种技术风险，会削弱企业网络的防御能力，危及专有数据、关键应用程序和整个IT基础设施由于企业面临着广泛的威胁，因此通过监控和缓解最关键的威胁和漏洞网络安全问题有七大类，包括多种威胁，以及团队应针对每种威胁实施的特定检测和缓解方法

一、公共网络威胁如果企业网络连接到公共互联网，则互联网上的每一种威胁也会使企业的业务很容易受到攻击广泛、复杂的业务网络尤其难以保护;这些网络可以包括边缘和移动网络，以及分支机构网络和存储区域网络SAN典型的互联网威胁包括恶意软件、恶意网站、电子邮件网络钓鱼、DNS中毒以及DoS和加oS攻击恶意软件恶意软件是指的在干扰正常或安全计算操作的代码单击后，电子邮件中的链接或网站上的扩展程序会立即将恶意软件下载到主机上有时，恶意软件可以在网络中横向移动，具体取决于其能力防御恶意软件方案

1、培训员工安全意识员工是企业的第一道防线，也是最大的攻击面他们需要知道如何降低企业面临的主要风险

2、实施端点保护所有设备都应安装防病毒和端点保护，以便在软件检测到威胁时自动响应

五、运营技术运营技术0T通常是指观察和控制工业环境的硬件和软件这些环境包括仓库、建筑工地和工厂0T允许企业通过联网蜂窝技术管理HVAC、消防安全和食品温度企业物联网和工业物联网IIoT设备也属于运营技术当连接到业务网络时，0T可以为威胁参与者敞开大门操作技术的危险较旧的0T设备在设计时并未考虑到重要的网络安全，因此它们拥有的任何遗留控制措施都可能不再足够或可修复运营技术的影响往往远远超出了IT安全的范围，尤其是在食品管理、医疗保健和水处理等关键基础设施中0T漏洞可能不仅仅是花费金钱或危及技术资源，就像标准网络漏洞一样，还可能导致伤害或死亡防御0T威胁方案

1、执行详细审核需要了解连接到公司网络的每一台设备，而彻底的审核是实现这一目标的最佳方法

2、始终如一地监控所有0T流量任何异常情况都应向IT和网络工程师发送自动警报配置警报，以便工程师立即知道发生了什么

3、对所有无线网络使用安全连接如果0T设备在Wi-Fi上，请确保Wi-Fi至少使用WPA2o

六、VPN漏洞尽管虚拟专用网络（VPN）是旨在为企业的网络通信创建专用隧道的安全工具，但它们仍可能被破坏企业应该监控您的直接团队的VPN使用情况和所有第三方VPN访问员工VPN使用情况VPN旨在保护团队的计算会话和相关数据（如IP地址和密码）不被窥探然而，他们并不总是能实现这个目标一一VPN连接不是一种万无一失的安全方法，有时仍然可能被黑客入侵，尤其是在VPN连接突然短暂中断的情况下防御VPN威胁方案

1、实施最低权限访问管理最低权限访问权限为指定用户提供完成工作所需的权限，而不是其他任何权限

2、随时了解补丁单个VPN解决方案可能有自己的漏洞，因此请确保您的企业持续监控它们并在需要时修补弱点

3、第三方VPN接入当企业允许合作伙伴或承包商使用VPN访问其应用程序时，很难限制这些第三方对特定权限的访问VPN也不会保留大量数据日志以供以后分析，因此如果第三方确实滥用其权限，则很难找到违规的具体来源

4、防御第三方VPN威胁同时为承包商和其他第三方实施最低权限访问这将限制他们对敏感业务数据和应用程序的访问

七、远程访问远程连接到办公室网络和资源成为在家庭办公室和其他地点完成工作的一种流行方式不幸的是，不受信任的网络和个人设备会使业务网络和系统处于危险之中两个主要威胁是远程桌面协议和Wi-Fi网络远程桌面协议远程桌面协议（RDP）允许用户使用一台计算机与另一台远程计算机连接并对其进行控制在大流行的早期阶段，RDP是最常见的勒索软件攻击媒介之一攻击者能够通过RDP的漏洞找到后门，或者只是通过猜测密码进行暴力攻击远程访问木马还允许攻击者在恶意软件通过电子邮件附件或其他软件下载到计算机上后远程控制计算机防御RDP威胁方案:

1、限制密码尝试用户应该只能输入几次密码这样可以防止暴力攻击

2、设置难以猜测的密码要求所有RDP凭据保持良好的密码卫生

3、限制对特定IP地址的访问仅将附加到员工设备的特定地址列入白名单

4、为RDP配置严格的用户策略这包括最低权限访问只有那些需要远程连接才能执行工作的人才应该有访问权限Wi-Fi网络其他不安全的网络连接（如未受保护的Wi-Fi）允许窃贼窃取凭据，然后从咖啡店和其他公共场所登录业务应用程序远程企业有多种远程访问公司资源的方法,IT和安全团队很难锁定所有这些资源防御Wi-Fi威胁方案

1、确保网络是专用的如果可以在小型联合办公空间或其他家庭中工作，那是理想的选择，但如果在公共场所，请确保Wi-Fi需要密码

2、使用VPN虚拟专用网络虽然不是万无一失的，但在Wi-Fi不安全时有助于保护您的远程连接

3、对网络进行分段分段技术需要为每个网络设置策略，管理哪些流量可以在子网之间移动，并减少横向移动欺骗性网站欺骗性网站是看似合法的网站，但旨在窃取互联网用户的账号凭据威胁参与者将用户引导至站点，一旦用户输入他们的凭据，攻击者就会收集它们并使用它们登录到真正的应用程序防御恶意网站方案为所有应用程序部署多重身份验证如果威胁参与者设法通过成功欺骗窃取你的敏感信息教用户识别欺骗性网站确保员工了解虚假网站的特征，无论是语法问题、奇怪的URL还是未经批准的电子邮件将他们引导到虚假网站一旦了解了网站，就会将其列入黑名单如果多个员工从同一威胁参与者导航到单个站点，请在识别URL后立即将其列入黑名单基于电子邮件的网络钓鱼攻击电子邮件网络钓鱼是威胁行为者用来诱骗用户打开电子邮件并单击其中的链接的一种技术它可以包括恶意软件和欺骗性网站;互联网网络钓鱼威胁有很多重叠之处电子邮件攻击通常通过员工的企业电子邮件账户针对员工防御基于电子邮件的网络钓鱼攻击方案

1、实施严格的电子邮件保护软件通常，威胁行为者会通过带有链接的电子邮件将用户引导至欺骗性网站，例如重置密码的说明

2、通过安全意识培训课程员工应该确切地知道在收到不熟悉的电子邮件时要怎么处理

3、安装下一代防火墙在公共Internet和组织的专用网络之间安装它有助于过滤一些初始恶意流量DNS攻击DNS缓存中毒或劫持会重定向合法站点的DNS地址，并在用户尝试导航到该网页时将用户带到该站点防御DNS攻击方案

1、使用DNS加密加密DNS连接要求团队使用DNSCrypt协议、基于TLS的DNS或基于HTTPS的DNS

2、隔离DNS服务器部署隔离区DMZ以隔离来自公共Internet的所有DNS流量

3、随时了解更新宣布更新时，应定期修补所有DNS服务器DoS和DDoS攻击拒绝服务DoS和分布式拒绝服务DDoS攻击是一种威胁,可以通过使计算机或整个计算机系统过载来使它们过载它们很难预防，因为它们通常来自外部流量，而不是来自网络内的威胁，而网络中的威胁可以在系统中定位和阻止并非每个DoS或加oS攻击都来自互联网流量，但其中许多攻击确实来自互联网流量防御DoS和DDoS攻击方案:

1、实现反向代理反向代理有自己的IP地址，因此当IP地址淹没单个服务器时，它们将转到代理的IP地址，并且内部服务器的IP地址不会轻易被淹没

2、安装Web应用程序防火墙您可以配置防火墙以监控和阻止不同类型的流量

3、部署负载均衡器通过将网络流量定向到可以管理它的源，负载平衡可以降低流量完全使服务器不堪重负的风险

二、不安全或过时的网络协议一些旧版本的网络协议存在错误，这些错误已在更高版本中修复,但许多企业和系统继续使用旧协议最好使用最新的协议版本，至少可以避免已知的威胁，特别是如果行业需要特定的协议版本来遵守监管标准一些最流行的网络协议包括SSL、TLS、SNMP.HTTP和HTTPSoSSL和TLS安全套接字层SSL和传输层安全性TLS都是网络安全协议任何比TLS

1.3更旧的SSL和TLS版本都存在多个弱点，包括允许POODLE攻击和BEAST攻击的漏洞虽然TLS

1.3可能有其自身的弱点，这些弱点会随着时间的推移而被发现，但它确实修复了旧版TLS和SSL中的已知漏洞防御SSL和TLS威胁方案

1、更新连接将每个网络连接升级到最新版本的TLS

2、禁用旧版本在网络上完全禁用较旧的SSL和TLS版本可确保它们不会被意外使用SNMP协议简单网络管理协议是一种通用的Internet协议，旨在管理网络及其上的设备的操作SNMP版本1和2存在已知漏洞，包括未加密传输vl和IP地址欺骗v2版本3是三者中最好的选择，因为它有多个加密选项它旨0在解决vl和v2的问题防御SNMP威胁将所有版本的SNMP升级到版本3,以避免以前版本中存在明显的安全漏洞HTTP协议超文本传输协议是一种本质上不安全的互联网通信协议安全超文本传输协议HTTPS是HTTP的加密版本您的所有互联网连接都应加密，并且与其他网站的每次通信都应使用HTTPS防御HTTP威胁方案

1、阻止HTTP访问如果任何连接使用HTTP,请尽快阻止对它们的访问

2、将流量定向到HTTPS将所有尝试的HTTP通信配置为重定向到HTTPSo

三、网络配置错误网络协议或规则的简单错误配置可能会暴露整个服务器、数据库或云资源输入错误的代码或未能安全地设置路由器或交换机可能会导致配置错误配置错误的网络安全命令也很难找到，因为其余的硬件或软件似乎工作正常错误配置还包括未正确部署的交换机和路由器常见的错误配置包括在硬件和软件上使用默认或出厂配置，以及无法对网络进行分段、在应用程序上设置访问控制或立即修补使用设备的默认配置默认凭据是网络硬件和软件上出厂设置的用户名和密码它们通常很容易被攻击者猜到，甚至可能使用“管理员”或“密码”等基本I司O防御默认配置威胁方案

1、更改所有凭据立即将任何默认用户名或密码切换为更强大、难以猜测的凭据

2、定期更新密码初始密码更改后，每隔几个月切换一次细分不足网络分段是一种将网络拆分为不同部分的技术如果网络没有划分为子网，恶意流量将更容易在整个网络中传播，并有可能破坏许多不同的系统或应用程序防御网络分段威胁将网络分割为子网，并在子网之间创建安全屏障分段技术包括为每个网络设置策略、管理哪些流量可以在子网之间移动以及减少横向移动访问错误配置当团队无法安全地实施访问和身份验证协议（如强密码和多重身份验证）时，就会发生配置错误的访问控制这对您的整个网络来说是一个重大风险本地和基于云的系统都需要访问控制，包括默认情况下不需要身份验证方法的公有云存储桶网络用户需要经过授权和身份验证身份验证要求用户提供PIN、密码或生物识别扫描，以帮助证明他们就是他们所说的人授权允许用户在验证自身并且其身份受信任后查看数据或应用程序访问控制允许组织设置权限级别，例如只读权限和编辑权限否则，您将面临权限升级攻击的风险，当威胁参与者进入网络并通过升级其用户权限进行横向移动时，就会发生这种攻击防御访问配置错误威胁方案

1、每个应用程序都需要凭据这包括数据库、客户端管理系统以及所有本地和云软件

2、不要忘记云资源可在互联网上访问的云存储桶应具有访问障碍;否则，拥有存储桶URL的任何人都可以看到它们

3、部署零信任员工应该只拥有完成工作所需的访问级别，称为最小特权或零信任原则这有助于减少内部欺诈和意外错误过时和未修补的网络资源网络硬件和软件漏洞是随着时间的推移而暴露出来的缺陷，这要求IT和网络技术人员在供应商或研究人员宣布威胁时随时了解这些威胁过时的路由器、交换机或服务器无法使用最新的安全更新然后，这些设备需要额外的保护控制其他旧设备，如医院设备，通常不能完全放弃，因此企业可能不得不设置额外的安全性，以防止他们把网络的其余部分置于危险之中防御补丁管理威胁方案

1、不要等待修补已知问题对于网络管理员来说，立即修补固件漏洞至关重要威胁行为者一旦得知漏洞，就会迅速采取行动，因此IT和网络团队应该领先一步

2、自动执行一些工作自动警报将帮助您的企业团队使网络资源保持最新状态，即使他们不是经常上班

3、减少旧技术造成的危害尽可能淘汰过时的设备它们将继续与网络的其余部分不兼容，如果某些硬件不支持它，那么保护整个网络将具有挑战性

四、企业员工安全威胁团队成员会犯错误，无论是意外的代码行还是暴露给整个互联网的路由器密码通过培训网络安全课程，只是为了降低员工将基础设施置于危险之中的可能性意外或粗心的错误员工会犯很多意外的安全失误，包括在纸上或Slack上发布密码、让陌生人进入办公室或将身份不明的闪存驱动器插入公司计算机有时他们知道公司的政策，但不想遵循这些政策，因为它们似乎需要更多时间，例如为每个应用程序提供新密码而不是重复使用它们防御错误造成的威胁方案:

1、网络安全培训课程使培训具有互动性，以便员工保持敬业度，并确保新员工立即了解期望

2、安装密码管理器等软件这些可以帮助员工安全地管理他们的凭据

3、实施数据丢失防护（DLP）技术保护数据对于维护声誉和法规遵从性都至关重要

4、限制物理工作空间不要让企业外部人员进入托管网络硬件和软件的场所故意恶意的内部人员一个经常被忽视的人为威胁领域是内部威胁，它来自打算损害企业的员工虽然这些情况并不频繁发生，但它们可能更加危险这些内部人员通常具有对网络的凭据访问权限，这使他们更容易窃取数据防御来自恶意内部人员的威胁方案:

1、让安全成为常规话题在经理和员工一对一会议中就网络安全进行对话向员工表明对安全是认真的

2、举办更多培训课程它们尤其重要，因为其他员工接受过培训，可以识别自己团队的行为

3、实施行为分析分析至少可以帮助团队识别一段时间内的异常行为如果内部人员泄露数据或更改凭据，则可能是故意的

4、招聘前对人员进行审查要求提供推荐信和进行背景调查虽然不是万能的，但可以帮助企业雇用值得信赖的人。