企业如何防御网络威胁？

如今，所有企业都面临网络攻击的风险，而且这种风险正在不断增加。数字化转型导致更多敏感和有价值的数据被转移到能够利用的在线系统上，从而提高了成功违规的盈利能力。

此外，发动网络攻击变得越来越容易。漏洞利用工具包和恶意软件即服务产品越来越便宜，而开源人工智能工具使伪装成值得信赖的高管和利用漏洞变得更加容易。

TechRepublic 综合了专家关于企业如何防御最常见网络威胁的建议，这些威胁包括：

社会工程攻击。
零日漏洞利用。
勒索软件攻击和数据盗窃。
物联网攻击。
供应链攻击。
人工智能深度造假。

社会工程攻击

这些是什么？

社会工程是一些最常见类型的网络攻击的总称，所有这些攻击都涉及某种形式的人为操纵以获取有关组织或网络的信息。社会工程攻击包括但不限于：

网络钓鱼： 攻击者冒充合法实体来欺骗个人泄露机密信息，例如登录凭据。大多数情况下，这以电子邮件的形式进行，但也可以通过电话（语音钓鱼）或短信（短信发送）来完成。
诱饵： 攻击者将包含恶意软件的物理设备（例如 U 盘或 CD）留在公共场所，希望有人拿起并使用它，从而损害他们的系统。
捕鲸： 更加个性化的网络钓鱼版本，通常针对单个高级个人。
商业电子邮件妥协： 一种有针对性的网络攻击，攻击者通过受损的电子邮件帐户冒充值得信赖的高管，欺骗员工转移资金或泄露敏感信息。

请参阅：社会工程攻击中使用的 6 种说服策略

最常见的攻击入口点有哪些？

虽然社会工程攻击可以通过电子邮件、电话和 U 盘发起，但它们都有一个共同的攻击入口点：人类。

企业如何保护自己？

零日漏洞利用

这些是什么？

TechRepublic 撰稿人 Kihara Kimachia 将零日漏洞定义为：

“零日漏洞是软件供应商、安全研究人员和公众不知道的代码漏洞和漏洞。 “零日”一词源于软件供应商修补有缺陷代码的剩余时间。由于零日（或零小时）响应，开发人员很容易受到攻击，并且没有时间修补代码和堵塞漏洞。一个漏洞就可以让黑客有足够的权限来探索和映射内部网络、窃取有价值的数据并找到其他攻击媒介。”

请参阅：零日漏洞备忘单：定义、示例及其工作原理

由于大型语言模型的可访问性不断提高，零日攻击可能会增加。此类模型可用于加快漏洞搜索速度，并帮助进行令人信服的社会工程攻击。

最常见的攻击入口点有哪些？

零日漏洞的潜在攻击入口点与已知和已修补的漏洞相同 – 攻击者可以利用软件或硬件系统中的弱点的任何方式。这些常见的攻击入口点包括：

电子邮件附件 在打开时利用软件中的漏洞。作为社会工程攻击的一部分，这些附件可能会到达受害者的收件箱。
受损网站 触发恶意软件自动下载到访问者的设备上。
存在漏洞的软件或硬件 威胁行为者直接通过注入恶意代码。

企业如何保护自己？

Kimachia 提供了以下针对零日攻击防护的建议：

保持软件最新 发布补丁以修复已知漏洞。但是，从未经验证的来源进行更新时务必要小心谨慎。
安装 入侵检测系统 可以检测网络中的异常模式或行为，这有助于识别零日漏洞。
实施 端点安全解决方案 提供针对已知和未知威胁的实时监控和保护。
随时了解情况 订阅威胁情报服务 提供有关漏洞和漏洞利用的实时信息。
开发一个 事件响应计划 因此，安全团队可以快速、一致地采取行动，以减轻零日漏洞利用造成的损害。
行为分析工具 可以识别任何可能表明存在零日漏洞的异常用户或系统行为。
执行 定期安全审核 使用安全风险评估清单主动识别网络和应用程序中的任何漏洞。
切勿使用“.0”版本的软件 确保您的组织在第一次迭代中免受任何未发现的零日漏洞的影响。

勒索软件攻击和数据盗窃

这些是什么？

根据 TechRepublic 的勒索软件备忘单，勒索软件是恶意软件。黑客通常通过比特币或预付信用卡要求受害者付款，以便重新获得受感染设备及其上存储的数据的访问权限。

最近的研究发现，除了财务影响之外，勒索软件的影响还可能包括心脏病、中风和创伤后应激障碍 (PTSD)。

勒索软件攻击是数据盗窃攻击的一种形式，加密并不是攻击者成功获取数据访问权限后可以做的唯一事情。他们还可能在网上泄露信息或将其出售给竞争对手或其他网络犯罪分子，从而导致声誉和财务损失。

最常见的攻击入口点有哪些？

企业软件和应用程序中的漏洞 连接到互联网的网络可能会让不良行为者获得对组织环境的未经授权的访问，并窃取或加密敏感数据。
相似地， 受损网站 可能包含扫描连接设备是否存在漏洞的恶意软件。如果发现，恶意软件可以自动下载到设备上，从而为攻击者提供对系统和数据的远程访问。
雇员通过社会工程攻击是另一种常见的攻击媒介。在工作人员打开链接或从伪装成合法通信的网络钓鱼电子邮件下载后，攻击者就可以获得访问权限。那些感到自己受到雇主冤屈或与网络犯罪分子达成交易的人也可能故意安装勒索软件。
登录凭证薄弱 可以通过暴力凭证攻击来利用。此类攻击涉及不良行为者输入一系列典型的用户名和密码，直到发现正确的登录信息，然后他们就可以开始勒索软件攻击。
之前泄露的凭证 在所有者不知情的情况下在暗网上泄露的信息可以提供对组织系统的访问。通常，一组正确的凭据可以解锁环境的多个区域，因为工作人员通常会重复使用密码，以便于记住密码。

请参阅：暴力破解和字典攻击：IT 领导者指南 (TechRepublic Premium)

企业如何保护自己？

威胁情报提供商 Check Point Research 提供以下建议来保护组织和资产免受勒索软件的侵害：

定期备份公司所有数据 减轻勒索软件攻击的潜在影响。如果出现问题，您应该能够快速轻松地恢复到最近的备份。
保持软件更新 配备最新的安全补丁，以防止攻击者利用已知漏洞访问公司系统。应从网络中删除运行不受支持的操作系统的旧设备。
利用自动威胁检测系统 识别勒索软件攻击的早期预警信号，并给公司时间做出响应。
安装反勒索软件解决方案 监视计算机上运行的程序是否存在勒索软件通常表现出的可疑行为。如果检测到这些行为，程序可以在造成进一步损害之前停止任何加密。
实施多因素身份验证 因为它可以防止发现员工登录凭据的犯罪分子访问组织的系统。防网络钓鱼的 MFA 技术（例如智能卡和 FIDO 安全密钥）甚至更好，因为移动设备也可能受到损害。
使用最小权限原则，这意味着员工只能访问对其角色至关重要的数据和系统。如果员工的帐户受到威胁，这会限制网络犯罪分子的访问，从而最大限度地减少他们可能造成的损害。
扫描和监控电子邮件和文件 持续进行，并考虑部署自动化电子邮件安全解决方案，以阻止可能导致勒索软件或数据盗窃的恶意电子邮件到达用户。
培训员工 良好的网络卫生有助于最大限度地降低不可避免的人为攻击媒介的风险。网络培训使团队能够识别网络钓鱼尝试，防止攻击者部署勒索软件。
不要支付赎金 如果企业确实成为勒索软件的受害者。网络当局建议这样做，因为无法保证攻击者会信守诺言，而且报酬将鼓励未来的攻击。
请参阅不再有赎金项目。 这是欧洲刑警组织、荷兰国家警察、卡巴斯基实验室和 McAfee 之间的合作，为勒索软件感染的受害者提供解密工具，以删除 80 多种广泛传播的勒索软件类型的勒索软件，包括 GandCrab、Popcorn Time、LambdaLocker、Jaff、CoinVault以及许多其他人。

物联网攻击

这些是什么？

自 COVID-19 大流行以来，物联网设备在组织中变得越来越普遍，以支持新的远程工作策略。虽然这是积极的一步，但这些设备通常不具有与更复杂的硬件相同的安全级别，这使得它们成为越来越受欢迎的切入点对于网络攻击者。

请参阅：使用 Microsoft Defender for IoT 传感器保护 IoT

物联网设备的安全性薄弱，网络犯罪分子以多种不同的方式攻击目标。例如，他们可以将它们用作在设备或更广泛的网络上部署勒索软件的入口点，甚至控制设备来破坏业务流程。

此外，物联网僵尸网络攻击涉及连接设备的整个网络被单个“僵尸主机”破坏，并通常在设备所有者不知情的情况下用于执行协调攻击。僵尸网络攻击的示例包括对目标服务器或网站的分布式拒绝服务 (DDoS) 攻击、通过拦截网络传输窃取数据以及分发恶意软件。僵尸网络攻击还可以利用“靠地生存”技术，即使用物联网设备中预装的合法工具和软件来帮助逃避检测。

最常见的攻击入口点有哪些？

现有软件漏洞 网络犯罪分子可以利用设备中的漏洞来访问物联网设备或网络。由于安全实践不佳、缺乏更新或软件过时，这些漏洞可能很普遍。
许多组织使用以下方式锁定其物联网设备 默认或弱凭据，攻击者可以通过暴力凭证攻击轻松猜出。
雇员可能会提供物联网设备的登录凭据或下载针对物联网的恶意软件，作为更广泛的社会工程攻击的一部分。
如果物联网设备没有保持物理安全，那么攻击者可能会 篡改硬件 通过更改设置或连接恶意设备。攻击者可能是入侵者，但也可能是具有访问权限的现有员工或承包商。
所有上述入口点都可以出现在设备的 供应商或制造商，这意味着它甚至在部署之前就可能受到损害。

SEE：研究揭示最脆弱的物联网、互联资产

企业如何保护自己？

以下建议来自 Phosphorus 和 Sevco 的安全专家 Brian Contos、Trend Micro 的高级威胁专家和 TechRepublic 特约撰稿人 Cedric Pernet 以及 TechRepublic 记者 Megan Crouse。

维持一个 更新了物联网设备的库存 确保全面了解所有需要保护的设备。
确保物联网设备具有 强大、独特的密码 定期轮换以防止成功的暴力凭证攻击。
保持物联网设备更新 具有最新的固件和安全补丁，以及 替换旧设备 具有支持更好安全实践的现代版本。
通过以下方式强化物联网设备 禁用不必要的端口和连接功能。
限制物联网设备在网络外的通信 使用网络防火墙、访问控制列表和 VLAN。
验证和管理物联网数字证书 降低 TLS 版本和到期日期等风险。
监控物联网设备中的可疑变化，例如默认密码重置或重新激活不安全的服务。
实施 移动安全解决方案 并培训员工检测移动设备上的入侵尝试。
建议员工 避免在手机上存储敏感数据 并在敏感会议期间关闭设备电源。
启用日志记录 针对应用程序、访问和安全事件并实施 端点保护和主动防御 例如 SIEM 工具和安全编排解决方案。
实施 防网络钓鱼的多因素身份验证 防止网络犯罪分子通过正确的登录信息进行访问。

供应链攻击

这些是什么？

供应链攻击是指网络犯罪分子通过损害供应链中安全性较低的软件、硬件或服务供应商来攻击组织。从历史上看，当攻击者渗透到受信任的供应商时，供应链攻击就会发生，而该供应商已被授予访问受害者数据或网络的权限来完成他们的工作；然而，现在软件供应链攻击（攻击者操纵分发给许多最终用户组织的软件）实际上更加常见。一旦企业使用受感染的软件，他们就很容易受到数据盗窃、勒索软件和其他类型的攻击。

不良行为者使用各种技术来访问和操纵商业软件产品背后的代码。他们可能会在破坏其中一名开发人员的帐户或利用其下载位置中的漏洞后部署恶意更新。或者，攻击者可能会修改存储在开发人员用于数百种不同产品的软件库中的代码。

请参阅：BBC、英国航空公司、Boots 在遭受 MOVEit 供应链攻击后收到黑客最后通牒

有时，不良行为者可能会与企业软件的合法开发人员建立信任关系，并成为其工具的维护者之一，从而使他们能够在不被注意的情况下慢慢地将代码的不同易受攻击部分推入软件中。这就是 2024 年 XZ Utils 数据压缩器中实施后门的方式。

最常见的攻击入口点有哪些？

要执行供应链攻击，攻击者首先需要访问目标组织供应链的关键部分。有许多潜在目标，所有这些目标都容易受到社会工程活动的影响，使用薄弱的登录凭据，无意中通过受感染的网站下载恶意软件，并且其数字系统存在漏洞。一些常见的入口点是：

第三方软件提供商，因为攻击者可以在目标公司下载产品代码之前直接修改产品代码或操纵其更新机制。
第三方服务提供商 可能已被授予访问目标公司系统的权限，并且安全性较弱。
第三方硬件提供商，因为如果攻击者获得对其设施的访问权限，他们就可以在制造或分销过程中篡改硬件或物理组件。
开源或私有 代码存储库 由企业软件开发人员使用。攻击者可以利用这种方式将恶意代码部署到更多公司使用的数百种不同的软件产品中。

企业如何保护自己？

以下建议来自网络安全公司 Tesserent 首席执行官 Kurt Hansen、高级威胁专家 Cedric Pernet 和 TechRepublic 特约撰稿人 Franklin Okeke。

进行审核 了解所有业务活动的第三方参与，因为组织的不同部分通常有不同的供应商。
关注 记录在案的第三方治理流程 其中包括认证，他们是否正在进行评估以及他们是否自行外包。确保合同包含要求概要、数据保护义务和不合规后果。
保持警惕 地缘政治紧张局势不断发展 并考虑他们是否使供应链面临风险。
查看新的软件更新 在部署它们之前，先查看新旧代码之间的代码差异。
实施一个 零信任架构，其中每个连接请求都必须满足一组严格的策略，然后才能被授予对组织资源的访问权限。
部署蜜币，模仿有价值的数据。一旦攻击者与这些诱饵资源交互，就会触发警报，通知目标组织有企图破坏的情况。
执行 定期第三方风险评估。这有助于暴露每个供应商的安全状况，提供有关应修复的漏洞的更多信息。
自动执行第三方攻击面监控。

人工智能深度假货

这些是什么？

人工智能深度假货越来越多地被利用作为网络攻击的一部分。不良行为者可以更轻松地冒充受信任的个人来逃避安全控制并获得对组织环境的访问权限。

近几个月来，由于人工智能工具既简单又便宜，进入门槛也显着降低。 Onfido 的研究显示， 2023 年 Deepfake 欺诈尝试增加 3,000%，廉价的换脸应用程序被证明是最受欢迎的工具。

请参阅：即时黑客攻击、私有 GPT、零日漏洞和 Deepfakes：报告揭示了人工智能对网络安全格局的影响

深度造假攻击可能会对组织产生多种影响。金融诈骗事件频发多种的场合诈骗者使用 Deepfake 冒充高管并说服员工将钱转给他们。此外，深度造假还可以用来让其他人相信虚假事件，例如影响组织股价的人员变动。分享以员工为主角的深度造假内容也可能会产生严重后果，损害企业的员工体验和声誉。

最常见的攻击入口点有哪些？

电子邮件。 2022 年，它是用于分发 Deepfake 内容的顶级分发方式。
视频和电话 可以使用复杂的技术来模仿可信高管的声音和肖像。深度伪造可以是录制的消息或实时对话。
认证方式 基于嗓音或者面部识别可以使用授权员工的深度伪造内容进行欺骗。
攻击者，甚至心怀不满的员工，可以选择创建一个妥协的 Deepfake 并将其分享到 社交媒体 损害公司声誉或影响其股票。

企业如何保护自己？

以下建议由网络安全公司 Tenable 首席安全官 Robert Huber 和金融服务公司 EBANX 前运营和数据副总裁 Rahm Rajaram 提供。

让与人工智能深度伪造相关的风险成为常规的一部分 风险评估程序，包括评估内部内容以及来自第三方的内容。
请注意 Deepfake内容的常见指标，例如不一致的灯光或阴影、面部边缘的扭曲、缺乏负面表情以及与音频不相关的嘴唇运动。考虑 教育员工 在这个区域。
实施防网络钓鱼 MFA 以防止攻击者进行访问，即使他们的 Deepfake 活动导致他们获取登录凭据。考虑对大额电汇进行此类验证，而不是依赖面部识别。
密切注意，提防，小心 泄露客户凭据的数据泄露 并对这些帐户进行标记以警惕潜在的欺诈行为。
维护网络安全最佳实践 消除所有类型的网络钓鱼攻击的风险，包括涉及深度伪造的攻击。