Roger目前是微软公司的首席安全架构师。拥有40多种计算机认证，并撰写了8本关于计算机安全的书籍。自1987年以来，一直在对付恶意软件和恶意黑客，从分解早期的DOS病毒开始。目前他运行了八个蜜罐来跟踪黑客和恶意软件行为，并向财富100强企业和小企业提供咨询。

以下内容根据Roger文章编译整理：

作为一个咨询师，我认为最大的安全问题之一就是：感知。企业自认为他们面临的威胁往往与那些会导致巨大风险的威胁截然不同。例如，当企业真正需要打补丁的时候，他们往往会让我部署最先进的公钥基础设施（PKI）或者企业级入侵检测系统。

事实是，大多数公司都面临同样的威胁——并且企业应该尽最大努力来应对这些风险。以下是五种最常见的网络攻击类型。

社交工程型恶意软件

社交工程恶意软件最近经常由数据加密勒索软件引发，它提供了第一种攻击方法（不是缓冲区溢出，配置错误或高级漏洞利用）。一个终端用户被欺骗运行了一个特洛伊木马程序，而这个木马程序通常来自他们信任和经常访问的网站。一般情况下，无关的网站会分发恶意软件，而不是正常的网站编码。

 

 

为了让用户访问网站，安装假的防病毒软件，恶意网站会告诉用户安装一些新的软件或运行一些不必要和恶意的“关键”软件。用户常常会被引导点击跳过因为访问恶意网站浏览器或操作系统发出的安全警告，并禁用可能妨碍恶意软件安装的防御工具的使用。

 

有时候木马程序会假装做某些合法的事情，有时它会在用户无感知的情况下进行流氓行为。社交工程恶意软件程序每年都由成千上万的黑客负责。与这些数字相比，其他的所有黑客类型都只是九牛一毛。

 

对策：应对社交工程恶意软件程序的最好办法是通过用户信息安全教育（例如可信网站提示用户运行“惊喜”软件）来处理。企业可以通过禁用凭证浏览网页或回复电子邮件来进一步保护自己。一个最新的反恶意软件程序也许是无法避免的，但终端用户安全教育效果更好。

密码网络钓鱼攻击

紧随其后的是密码网络钓鱼攻击。大约60％到70％的电子邮件是垃圾邮件，其中大部分是网络钓鱼攻击，旨在窃取用户登录凭据。幸运的是，反垃圾邮件供应商和服务取得了长足的进步，因此我们大多数人都拥有相当干净的收件箱。尽管如此，我每天都会收到几封垃圾邮件，而且每周至少会有一些垃圾邮件盗用合法电子邮件的钓鱼复制品。

我认为有效的网络钓鱼电子邮件是一件损坏的艺术作品：一切看起来都很棒； 它甚至警告读者不要听信诈骗电子邮件。唯一能够区分的就是网络钓鱼电子邮件隐含非法链接，要求提供机密信息。

 

对策：应对密码网络钓鱼攻击的主要对策是双因素认证。也就是双因素身份验证（2FA），如：智能卡，生物识别和其他种类的（例如电话或SMS消息）身份验证方法等。如果您启用了除简单登录名/密码组合之外的其他功能，并且是更强壮的方法，那么您已经击败了密码钓鱼游戏。

 

 

如果您坚持使用一个或多个系统的简单登录名/密码组合，请确保使用准确的反钓鱼产品或服务，并通过更好的终端用户培训降低风险。我个人喜欢能在URL字符串中采用特别标记来着重突出显示主机的真正域名的浏览器。例如，windowsupdate.microsoft.com.malware.com。

 

未打补丁的软件

紧跟在社交工程恶意软件和网络钓鱼之后的是具有（可用但未修复）漏洞的软件。最常见的未经修补和利用的程序是Adobe Reader等浏览器附加程序以及人们经常用来网上冲浪的其他程序。多年来一直如此，但奇怪的是，我审计过的公司没有一家有完美的补丁软件。

 

对策：立即停止你正在做的事情，并确保你的补丁是完美的。如果不能，那么请确保最可能被利用的产品是安全的，无论它们在特定的时间段内发生了什么。大家都知道，打补丁是降低风险的好方法。只有少数几个组织实际做到了这一点。最好的办法是确保你百分之百地修补了最有可能被利用的程序，而不是在所有软件程序上完全打补丁。

社交媒体威胁

我们的网络世界是由Facebook，Twitter，LinkedIn或其他国家流行的同行软件构成的社交世界。 社交媒体威胁通常以伪装成极具欺骗性的朋友或应用程序安装请求的形式出现。如果您不幸接受请求，您通常会失去对您的社交媒体帐户的访问权限。企业黑客喜欢利用企业社交媒体账户来获取可能在社交媒体网站和企业网络之间共享的密码。许多今天最蹩脚的黑客攻击都是起源于简单的社交媒体攻击。不要低估这些潜在的威胁。

 

 

对策：有关社交媒体威胁的终端用户教育是必须的。另外请确保您的用户知道不要与任何其他外国网站分享他们的公司密码。使用更复杂的双因素认证登录也可以提供有效的帮助。最后，确保所有社交媒体用户都知道如何以他们自己的名义或其他人的名义报告被劫持的社交媒体帐户。有时候，他们的朋友首先会注意到有什么不对劲。

 

高级持续性威胁

我知道的只有一家大公司遭受高级持续性威胁（APT）窃取知识产权后没有做出重大妥协。 APT攻击者通常使用社交工程木马或网络钓鱼攻击作为突破口。

 

APT攻击常见的做法是向多个员工的电子邮件地址发送特定的网络钓鱼活动 - 称为鱼叉捕鱼。钓鱼邮件包含一个含木马的附件，一旦有一名员工被欺骗运行了木马程序，在控制了第一台计算机后，APT攻击者可以在几小时内侵入整个企业。入侵很容易完成，但清除起来却十分痛苦。

 

对策：检测和预防APT可能很困难，特别是在有决心的对手面前。以前的所有建议都适用，但您还必须学会理解网络中的正常网络流量模式，并对可疑流量发出告警。APT不知道哪台计算机通常与其他计算机通信，但是用户是知道的。现在花时间开始监控您的网络流量，并好好整理从哪里到哪里会产生流量。APT会尝试将大量数据从服务器复制到其他通常不通信的计算机上。当他们这样做时，你可以抓住他们。

 

其他流行的攻击类型，如SQL注入，跨站点脚本，通过散列和密码碰撞等攻击行为的危害远比不上上面列出的五种威胁行为。保护自己免受前五种威胁的侵害，可以让企业在安全的道路上走的很远。

 

更重要的是，我强烈鼓励每个企业确保其防御和缓解措施与主要的威胁保持一致。不要成为那些一味在高价值，高知名度项目上花钱的公司，因为坏人会持续地藏匿在可能很容易被阻止的路线。

 

最后，利用专门检测APT式攻击的产品或服务。这些产品或服务可以在所有计算机上运行，例如基于主机的入侵检测服务，也可以整理事件日志以查找恶意的迹象。曾经也许你很难检测到APT，但现在无数的供应商已经填补了先前的空白，并等待向你提供保护。

 

总的来说，弄清楚你的企业最可能的威胁是什么，并为其做充足的准备。太多公司浪费资源，专注于错误的、不太可能的情况。结合当前网络环境与漏洞，使用威胁情报，并确定您该做什么准备才是最重要的。（本文图片来源于网络）

 

了解更多行业资讯请关注联软科技官方微信