【公益译文】安全意识专题 | 企业员工常见的安全威胁以及如何有效避免恶意软件

人类可从错误中吸取教训,但在网络安全领域,小小的错误或缺乏基础意识可能会对基础设施造成严重损害。随着加密和网络安全的进步,现代系统理应不太容易被渗透和攻击,但黑客群体的攻击技术日益精湛,对系统发动攻击并不困难。可以说,接入互联网的任何电子设备无法百分百地避免外界干扰。然而,部署了完善的安全防护措施的企业不会让试图造成破坏的黑客轻易得逞。避免最常见的安全威胁是现代基础设施工程师应优先考虑的事情,因为若您不锁好前门实际上就是在暗中帮助犯罪分子。 本文介绍缺乏网络安全意识的实体面临的最常见威胁以及如何通过安全意识培训有效避免恶意软件。

企业员工常见的安全威胁

网络钓鱼

网络钓鱼是这样一种现象:攻击者通过发送看似合法(但根本不合法)的电子邮件、社交网站或广告,诱骗受害者点击恶意附件或链接。多数情况下,一旦单击附件或链接受害者会打开看起来像原始页面的网页(实则不是原始页面),页面提示受害者输入信用卡号和社保号等保密信息。这些年来,网络钓鱼攻击日益复杂,黑客能够让攻击越来越接近于真实情况(例如某人收到了一封邮件,发件人的ID 与其哥哥的一模一样,他看也没看就照着邮件所说的去做了。这是因为黑客利用社会工程学进行精确模仿。)。
在企业层面,这个漏洞很容易修复。员工需要接受培训敢于怀疑一切。只在确认邮件来自可靠发件人后点击其中的链接。为确保组织内部员工普遍具备安全意识,企业可聘请安全专家开展网络钓鱼测试,从而得知有多少员工会中招。

未经授权应用的安装/ 使用

另一种常见的安全威胁是因为在个人计算机和工作站上安装未授权的应用程序。如今,检验第三方应用程序的真伪很容易,但有时人们忽视了操作系统提供的警告,只是继续安装,还想着会出什么错呢?这只是一个应用程序,只有几兆字节而已。这是极其危险的,因为一旦被授予管理权限(在安装过程中选择是),该应用只需执行一个小脚本即可控制整台计算机。
要修复此漏洞,仅需取消企业设备和大多数员工的管理权限。。相反,通过小班培训讲座,讲解辨别第三方真伪和可信性,就足以让员工意识到安装未经授权的应用程序会带来威胁隐患。

默认或弱密码

显然,若要列出最常见的安全过失,弱密码不得不提。弱密码的问题在技术出现之初就已存在,并且仍然是世界上绝大多数的网络攻击的主要突破口。大多数应用程序套件、开发软件和企业解决方案都使用默认密码,这就好比您在晚上打开了自家大门。密码猜测是进入系统最容易的方法,也一直是黑客的首选方法。
显然,要解决这个漏洞,只需宣传强密码意识,明确强密码在牵制新手黑客方面所起的作用。现代复杂的系统不再接受不符合安全要求的用户密码,这一点应成为一条规范/标准。

禁用安全控件

可用性和安全性是一对冤家。为方便应用程序的使用,管理员常常禁用安全控制措施。显然,这样做会导致严重后果。(员工可在拥有绝对管理权限的计算机上安装其认为合适的任何应用程序。然而,一旦计算机感染了恶意软件,就会对网络及其接入的整个架构带来损害。)要修复该漏洞,需安装“厚实”的防火墙安全系统,阻止不需要的内容。这样,员工若安装恶意软件,需要向管理员申请安装权限。若发现所安装的是恶意软件,管理员会发出警告(并记录),拒绝授予安装权限,导致恶意软件无法安装。

远程安全欠缺

远程不安全性也会带来灾难性后果。员工经常在个人电脑和企业工作站之前进行文件传输或者允许家庭成员在家使用其公司设备,这可能会造成一些安全漏洞。考虑这样一种场景:Bob 工作站的处理能力不够,因此他在个人计算机上运行可执行的应用程序。他在个人计算机上完成了所有工作,记录好结果,然后把文件从个人计算机上删除。然而,此类专有应用程序的片段存在于Bob 的个人计算机上。使用高级的恢复软件即可恢复该应用程序,最糟糕是该应用程序可能存在不当使用的情况。
修复方案很简单:在公司范围内禁止将企业设备的数据传输至个人设备。

社交网络的不当使用

社交网络可以使整个工作环境保持协调活跃氛围,但也可能造成一些明显的风险,如公司保密信息被张贴在社交网站上。一旦保密信息被发布在社交网站上,就超出了组织的控制范围。此外,(毁灭性的)复杂的社会工程攻击数量也在逐年呈指数式增长。为了解决这个问题,需要通过定期培训提高员工的技术意识。

过时软件或未安装补丁

最后,我们介绍一下过时软件导致的威胁(绝不是最不重要的)。通常,我们因为嫌麻烦总会延迟,结果造成系统中存在大量漏洞。发布更新或补丁的原因有很多种,有时是为了消除应用程序或其他软件中的漏洞。若不安装用于修复公开漏洞的更新,用户可能面临攻击风险。
再强调一次,员工(和普通个人)必须意识到安装更新和补丁的重要性,防止因为这种常见的错误而使系统受到攻击。

即使最安全的基础设施也会时不时地遭受攻击,但这并不意味着遵循标准化的安全实践不能保护系统免受不必要的入侵。以上是现代网络攻击最常见的几种原因,可见,加强对这些网络攻击的防范意识极为重要。

如何利用安全意识培训有效避免恶意软件?

网络安全给人的第一印象常常体现在技术方面。普通计算机用户很难理解软件开发、网络配置、数据库管理和硬件制造等计算机科学术语。这些领域需要专业知识及重要理论和实践培训,自然也有安全问题,而这些安全问题需要专家的介入。尽管如此,大多数网络安全事件还是因为在目标受害者的计算机上无意点击下载或激活了恶意软件。一旦初始攻击成功,接下来的横向扩展会对受害者造成重大损害。由此看来,非技术性方面也是网络安全的重点。
网络安全发展迅速,每天都有新的威胁和攻击方法出现。高调的网络入侵时有发生,更不用说还有些事件根本没有上报。这些入侵的规模和后果超出了技术层面。臭名昭著的震网病毒(Stuxnet)(2010)是恶意软件对关键基础设施发起攻击的生动例子。伊朗核研究设施的员工在政府大厦的一些停车场内发现了包含恶意软件的USB 秘钥。这些USB秘钥后被用于核离心机的监测系统,并最终破坏了核设施的运行功能。对于机构而言,普通用户安全意识的缺失可能是致命的。
由于没有充分意识到自己所面临的网络安全风险,非技术人员最可能成为攻击目标。因此,网络安全的基础应从教育这些人员开始,让其警惕恶意软件和未知硬件。这两项基础措施可以大大降低机构的网络安全风险。此类软件的可用性高,开发成本低,使各种级  别的攻击者都能轻易访问到。恶意软件的扩散速度和规模可在数分钟内失控。因此,识别恶意软件的不同类别和特点以及确定相关对策是对非技术人员进行安全意识培训的重要一步。这可帮助他们了解粗心操作的后果。

什么是恶意软件?

恶意软件是“恶意”和“软件”的合成词。普遍公认的恶意软件定义是指新开发或经过修改的、可对计算机设备造成损害的软件。大多数时候,开发恶意软件是为了盗用合法用户的权限。以便达到其他目的,控制受害者的计算机。恶意软件实际上是为实现各种不同目的的恶意代码。获取保密数据、窃取身份、劫持流量和操作系统、加密数字资产和监视用户是恶意软件的几项显著功能。恶意软件种类丰富,动态多变,包括间谍软件、病毒、蠕虫、勒索软件、远程访问木马(RAT)、Rootkit 和木马。顾名思义,每款恶意软件都有特定的功能和作用。
某种程度上,计算机安全厂商简化或误导了恶意软件的概念。杀毒软件在营销时,似乎将病毒当作了所有且唯一可能的恶意软件。其他类型的恶意软件都被赋予“病毒”特征,以吸引市场注意力。确实,大部分计算机用户都是普通的非技术人员,他们没有必要记住每款恶意软件的功能。然而,充分了解主要的恶意软件类型有助于机构在恶意软件感染时采取恰当的措施。

恶意软件类型

发生系统入侵时,要正确诊断事故原因,分清恶意软件类型至关重要。首先,可以按传播方式以及产生的后果对恶意软件进行分类。以下是一些最常见的恶意软件类型:

病毒

作为最广泛传播的恶意软件,病毒是可自我复制的恶意代码,它依附或内置于可执行文件,以降低用户的警觉性。一旦执行,病毒可感染其他应用程序并继续自我复制。病毒可通过邮件和硬件(USB 秘钥和其他计算机外部配件)传输。病毒通常采用隐形技术设计,
以避免杀毒软件检测。

蠕虫

蠕虫和病毒经常被混为一谈。确实,除了蠕虫是可自我执行的文件外,两者在很多方面都很像。它们不需要用户激活,可在多台计算机上进行自我执行和复制。强大的蠕虫可自我调节,甚至自我修复,Stuxnet 就是最显著的例子。

木马

木马是恶意代码的盾牌。它们伪装成无害的应用程序,诱使用户从网站下载或从外部存储设备复制该应用程序。视频播放器、游戏和其他免费的互联网服务都是常见的诱饵,可诱使用户下载木马。木马的一个重要特点是:它们不可以自动执行,需要借助目标受害者才能感染其他应用程序。

间谍软件、勒索软件和键盘记录

就传播方法而言,病毒、蠕虫和木马都属于恶意软件的第一大类。恶意软件还可以按照功能进行细分。比如,击键记录、间谍软件和勒索软件都是通过病毒、蠕虫或木马进行传播的。击键记录可记录用户在计算机上输入的每条指令,包括密码、信用卡信息和任何其他敏感数据。间谍软件部署后可偷偷激活摄像头和麦克风,收集操作环境的相关信息,暗中监视用户。勒索软件的攻击目标为具有高价值数据资产的用户和公司。一旦激活,勒索软件可加密和劫持整个数据库,在获取赎金后才进行数据解密。

Rootkit、RAT 和后门

某种程度上,Rootkit、RAT 和后门具有同样的用途。它们都属于复杂的恶意软件,旨在获取或绕过计算机的最高权限。一旦部署,攻击者可通过Rootkit 获得对Root 系统的特权访问。RAT 和后门这两种不同的恶意软件,目的是对受害者的计算机进行远程秘密访问,因此攻击者可远程、合法地监视和执行应用程序。

关于恶意软件的误解

恶意软件具有破坏性,这很好理解。然而,应该强调的是,恶意软件的功能有时是合法活动必不可少的工具。例如,RAT 和间谍软件可用于工作进度监控和远程技术支持之类的远程工作。因此,对软件的使用目的决定了它是恶意还是合法。
此外,很多恶意软件确实针对的是微软Windows 系统中的漏洞,但这并不意味着MAC OS 和Linux 等其他操作系统不受恶意软件影响。截至2017 年3 月,各种版本的
Windows 占了大约90% 的操作系统市场份额,说明它在普通用户中很受欢迎,因而成为了攻击者的理想目标,可利用其中的漏洞并开发工具以感染尽可能多的用户。Linux在桌面操作系统市场上的份额很小,但排名前1000 万位的服务器中有35.9% 以及排名前100 万位的服务器有96.6% 都运行在Linux 上。感染Linux 恶意软件(如Linux/Rst-B和Troj/SrvlnjRk-A)可造成Linux 服务器上的服务瘫痪。更重要的是,这种误解会鼓励非Windows 用户进行冒险行为或访问高风险网站,如成人内容和免费媒体共享平台。若打开了钓鱼邮件中的恶意链接并在欺诈网站上输入了个人信息,无论受害者的操作系统是Linux、Windows 还是MAC OS,结果都一样。因此,若以为恶意软件只会攻击Windows就太不明智了。
此外,在用户行为方面对恶意软件存有误解可能会破坏机构的总体安全级别。阴谋论认为,杀毒软件开发人员开发恶意软件攻击用户,以证明杀毒产品的威力。因此,持有这种想法的人拒绝在计算机上安装任何杀毒防护软件。他们认为,若不从互联网下载任何东西或访问高风险网站就足以保护其计算机系统。此外,一些计算机用户认为安装多个杀毒应用程序可提供额外的防护。事实上,不同的杀毒软件可能互不兼容,把对方视为恶意程序。这些谬论在一定程度上为攻击者破坏目标的安全提供了帮助。最后一点也很重要,人们普遍认为将受感染的计算机恢复出厂配置是消除恶意软件的最终解决方案。不幸的是,这并不完全正确,因为恶意软件可感染固件或隐藏在硬盘驱动器的未格式化分区和个人文件备份中。格式化和恢复Windows 系统未必能根除恶意软件。用户行为不是硬件问题,但可能会在计算系统中产生(或造成)多个漏洞,从而使用户面临更多安全威胁。安全意识培训教练应认识到这些错误的用户观念和行为,以保证培训效果。

恶意软件检测、防护和清除

不同类型的恶意软件要求不同的检测级别、检测方法、防护和清除方案。光了解主要恶意软件的特点和类型还不够,系统被入侵后,务必要检查感染迹象以确定防护和清除方法。

恶意软件感染迹象

大多数恶意软件都有可观察的征兆。通常,最明显的是勒索软件、广告软件会弹出消息,或者提供浏览器重定向链接,敦促用户立即行动或表示系统的正常功能无法恢复。 这些弹出消息是恶意软件存在的明显迹象。特别要注意的是,欺诈性工具栏和其他浏览器重定向小工具有高度误导性。通过诱使受害者安装其他恶意软件并提供个人信息和银行信息,这些工具将受感染的计算机暴露在更多的风险中。某些情况下,恶意软件会禁用计算机上的杀毒程序和防火墙,使受害者无防守之力。由于恶意软件可能导致兼容性问题并与其他应用程序产生冲突,因此此类多重渗透最终会使系统崩溃。有时,有的恶意软件具有离散特性,不易识别。因此,一旦安装,恶意软件可长期
在系统后台运行。由于恶意软件要执行命令并占用网速,这自然会消耗额外的处理器、RAM、硬盘和网络容量,并最终削弱系统性能。降低速度和网络性能也是系统遭遇攻击的可靠初始迹象。
最后,如Rootkit 和击键记录等恶意软件那样,攻击者可将受害者的计算机变成僵尸网络或在互联网上毫不奇怪地,受害者可能会发现自己的IP 地址被列入了黑名单或者被亲朋告知自己发送了不正常的信息受害者身份。因此,毫不奇怪地,受害者可能会发现自己的IP 地址被列入了黑名单或者被亲朋告知自己发送了不正常的信息。恶意软件的破坏力远不止让受害者无法登录邮箱和银行账户。这些都是恶意软件感染的迹象。用户应警惕此类问题并定期进行安全检查,确保计算机处于良好的健康状态。

恶意软件防护

感染各类恶意软件的后果对机构可能是灾难性的。因此,建立有效防护是确保机构网络安全的基本措施。这包括个人要始终保持警惕以及使用防护工具,前者尤为重要。非技术人员应接受培训,对可疑邮件保持警惕。网络钓鱼是针对基层员工的首要攻击策略。验证身份和下载源合法性是防御攻击行为的有效基本措施。在恶意软件入侵时,后者可提供即时的防护和检测层。全方位、高性能的反恶意软件应能够阻止恶意程序的下载或执行,并针对高风险的应用程序和网站对用户提出告警。时刻做好准备和保持谨慎与判断力,并安装强大的反恶意软件,这些并不需要计算机科学方面的专业知识。

恶意软件移除与事件响应流程

现今,很多机构都应建立内部流程,预防恶意软件安装。首先,应在每台计算机上安装性能好的反恶意软件。通常,只要安装了强大且最新的反恶意软件,计算机就可以提供自动操作,如隔离或删除恶意软件和受感染的文件。最终用户应定期获取安全更新和补丁,确保反恶意软件的正常功能。此外,有效的报告机制也很重要,将侵入细节报告给机构安全人员或负责人。在某些复杂的情况下,操作系统无法正常运行,用户几乎无法在正常操作环境中执行反恶意软件。报告机制可让技术人员快速提供协助并确定各种对应措施,如断开互联网、控制恶意软件和向执法部门报告等。对安全人员而言,从恶意软件中收集的信息在测试和强化现有程序、提高安全意识和恶意软件抵御方面大有帮助。

总结

恶意软件可对受害者的计算机甚至整个机构网络造成破坏性的损害。的确,关于管理恶意软件的误解和刻板印象有很多。网络安全生态系统将继续处理更复杂的恶意软件并关注更多非技术性岗位。了解基本的恶意软件类型和解决方案并不需要多年的网络安全专业知识。最重要的是,这在提升非技术人员的安全意识方面会发挥重要作用。

进行安全意识培训,防护勒索软件攻击

勒索软件作为一种恶意软件,会锁定用户的计算机系统或/ 和文件,要求用户支付赎金进行恢复。一般情况下,屏幕上会弹出警告,告诉用户他们无法访问自己的信息/ 系统,除非在短期内全额支付赎金。总的来说,这种策略因为用户的如下各种情绪一直很奏效:意外、震惊、生气、紧迫感,有时甚至是纯粹的恐慌。因此,在受害者措手不及、猝不及防、不明所以时, 勒索攻击成功的几率要大得多。

发表评论