近日接连发生的2起恶意网络攻击事件,将网络攻击这一话题带入公众视野:
9月8日凌晨,维基百科(Wikipedia)遭受恶意网络攻击导致多个国家的网站宕机下线。
9月11日下午,因服务器遭受大面积攻击,什么值得买App和网页端出现大规模服务异常。
网络攻击是指用户利用网络存在的漏洞和安全缺陷进而对网络中的硬件、软件及数据进行的攻击。网络攻击有很多种,网络上常用的攻击有DDoS攻击、SYN攻击、ARP攻击以及木马、病毒等等,也因此,人们常说“再安全的服务器也避免不了网络的攻击。”
近几年,尤其是在具有敏感数据的企业中,有针对性的攻击是越来越多。有业内专家指出,有针对性的攻击可能涉及盗窃源代码,协商数据或一般业务中断。而面对网络攻击,企业的积极反应尤其关键,要做好准备,“变被动为主动”。
被攻击之前
① 整合和监控Internet出口点;
应监控企业环境中与Internet的所有连接,以确定哪些信息正在离开环境。监控的出口点越少,检测潜在恶意活动就越容易。
② 利用基于主机的检测;
随着劳动力变得更加自动化,集中式网络入侵检测系统并非总是来自员工。计算机应利用端点保护来检测所有类型的活动,包括端点可见性,以了解在服务器、台式机、笔记本电脑以及可能在家工作的远程员工之间执行的每个命令。
③ 实施分层管理模型;
建议使用至少3个级别的管理来隔离凭据并防止关键凭据的泄露。这些级别分别是域管理员,服务器管理员和工作站管理员。确保没有一个帐户可以访问所有系统这一点极为重要。
④ 最小化或删除本地管理权限;
用户不应使用具有本地管理员权限的账号,因为这会为目标攻击者创建多种方式来横向移动并破坏凭据。建议禁用本地管理员帐户,禁用工作站和服务器上的本地管理员权限。
⑤ 实施集中式和时间同步记录;
DHCP、DNS、服务器事件日志、防火墙日志、IDS和代理日志都应存储在受时间同步且易于搜索的受保护集中式系统中。
⑥ 建立事件响应服务保留器;
在您可能需要其服务之前评估事件响应公司,以便在发生针对性攻击时制定计划。
⑦ 识别;
隔离和记录对关键数据的访问,确定最敏感数据的位置,并实现对其访问的记录和监控。
⑧ 修补程序;
修补操作系统和第三方应用程序是加强网络抵御目标攻击的最佳方法之一,同时应尽快安装重要的安全补丁。
⑨ 审核报告要求;
确定在发生安全漏洞时企业有责任通知哪些组织和客户,并提前准备文档并进行法律审核。
应对攻击
企业想要最小化风险,就需要创建事件紧急备案计划,建设一套基础预警平台,在受到预警报时第一时间采取数据备份、防护等动作。可以在被攻击的情况下不影响正常运营:
◆ 不要断开连接;
大多数目标攻击会在被发现之前持续数月到数年。当受损系统匆忙断开连接时,攻击者极有可能会破坏其他系统以建立可能未被发现的其他形式的持久性。如果必须断开计算机,请确保在断开电源之前保留系统的取证图像。
◆ 保留所有日志;
验证是否正在保留所有基于主机的、基于群集的日志和基于网络的日志,以及维护关键服务器的备份。
◆ 建立带外通信通道;
假如企业的网络完全受到攻击,要有其它通信通道确保电子邮件可以成功发布出去,比如,发给攻击者和客户。
◆ 联系事件响应服务公司;
及时联系有资质、有经验的应急响应公司也有助于止损。
◆ 事件范围,进行网络取证;
执行主机取证以确定已访问或受损的系统数量以及可能已访问的数据。
◆ 修复攻击,隔离关键系统;
阻止对命令和控制基础设施的访问,删除并替换受感染的主机,在需要时执行凭据重置,评估其它措施同时提升安全性。
◆ 报告;
根据要求提供所需的报告,并确定是否有必要进行媒体报告。
信息化技术快速发展,安全威胁、安全危机无处不在,面对日益增加、不断涌现的网络攻击行为,企业要“知己知彼百战不殆”,斩断网络后面伸出来的黑手。
当然,最好的方案是提前做好安全咨询及风险评估,同时部署好安全的信息系统。
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层