企业安全威胁指南.pptx

《企业安全威胁指南.pptx》由会员分享，可在线阅读，更多相关《企业安全威胁指南.pptx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2017最新版前言Safe在此份 企业安全统一应对指南 中会显示：2017年网 络安全行业发展趋势、主要安全威胁、企业安全应对 流程以及国内外推荐安全产品名录。研究背景近年来，网络安全的国际形势日益严峻，不断增长的 安全威胁给企业和个人都带来巨大的挑战。而了解 2017年安全行业的威胁动态和企业能够实际采取的 应对方案，有助于帮助企业做出许多重要决策。2017年网络安全在政政策策法法律律因因素素、IT技技术术发发展展、网网络络 安安全全事事件件及黑黑色色产产业业多重因素影响下产生了变化。网 络安全逐渐步入智能时代，而传统安全的边界日渐模 糊，整体趋势呈现增长和多样化的态势。了解当前的 威胁形势

2、，熟悉企业安全应对流程并选择合适的安全 产品变得尤为重要。我们希望此份2017年度企业安全威胁统一应对指南 能够帮助您了解当前形势，并通过下文内容向您提供 更多有关信息安全业务决策的信息。如需了解更多信息，请访问 查看过去发布的安全报告。传统安防流程规划及针对新威胁的管理检测和 响应同样重要，到2020年，预测将有15%的中大 型企业将使用MDR，而今天却不到1%。研究主要发现FreeBuf是国内关注度最高的互联网安全媒体平台，同时也是信息爱好者们交流与分享安全技术的最佳社区。本报告为FreeBuf研究院于2017年度Q3撰写的研究 报 告，主 要 针 对 国 内 外 企 业 网 络 信 息

3、安 全 现状，梳理出了安全行业态势、发展前景、安全威胁、应对流程以及安全产品推荐名录为一体的 2017 企业 安全威胁统一应对指南。简而言之，网络安全作为企业业务的重要基础设施之 一，如今得到了越来越多企业的重视。了解年度行业 动态、把握安全威胁、应用安全应对流程，掌握这三个 要素，是企业保障业务安全和赢得用户信任及未来稳 定增长的关键。信息安全智能时代悄然来临，到2020年，基于深 度学习的智能机器将进行10的渗透测试，而在 2016年这一比例为0%。相比较为陈旧的IDS，新兴技术有望更快地走入 我们的视线，到2020年，85%的大型企业都会使 用CASB技术增强企业的安全检测能力。政策因素

4、、IT技术革新和企业安全事件因素将持 续驱动信息安全产业持续发展，预计未来三年内 企业的安全支出仍会不断扩大。企业的业务需求、应用复杂度让传统的边界不再 坚固，在企业内部生产网络、测试环境和其他情 况中，他们遭受威胁和攻击的可能也在日益增长。2企业安全威胁统一指南目录 第一章 概述 3企业安全威胁统一指南政策法律驱动网络安全行业发展 IT 技术革新注入安全行业创新动力 企业安全事件频发聚焦社会关注 信息安全的智能时代正在悄然来临 安全威胁呈现多样化增长趋势 第二章 企业安全威胁 企业在线业务与运维层威胁 企业基础设施安全与访问控制威胁 企业内部安全威胁 其他威胁 第三章 企业安全应对流程 预防

5、环节 检测环节 保护环节 响应环节 持续改进 第四章 企业安全产品推荐名录研究背景介绍 入选企业融资情况 各大类得分整体情况 细分分类下安全产品推荐名录 第四章 附录 04050607070708101 11 113141415161919202429传统安全边界已经日渐模糊 第一章 概述2017年企业安全发展状况一、政策法律驱动网络安全行业发展国内层面上，2017年6月1日起 网络安全法 正式施 行。第十二届全国人大会常务委员会第二十四次会议 通过 中华人民共和国网络安全法，习近平主席签署 第五十三号主席令，予以正式公布。网络安全法 包 括总则、网络安全支持与促进、网络运行安全、一般规 定、

6、关键信息基础设施的运行安全、监测预警与应急 处置、法律责任、附则等七大章，自2017年6月1日起 施行。网络安全法 生效以来，与其相关的执法行为 逐渐走向常态。作为我国第一部全面规范网络空间安 全管理的基础性法律，它的施行标志着我国网络安全 从此有法可依。其次，工信部出台 的 信息通信网络与信息安全规划(2016-2020）也于今年正式发布。规划 围绕贯彻落实 习近平总书记关于网络安全和信息化工作的系重要讲4企业安全威胁统一指南当前信息技术持续高速发展的大背景下，互联网对全 球政治、经济、社会和文化的影响愈发深远，网络和信 息系统已经成为关键基础设施乃至整个经济社会的 神经中枢，围绕信息获取、

7、利用和控制的国际竞争日 趋激烈，保障信息安全成为世界范围的重要议题。下 面就从政策法律、技术革新、安全事件和地下产业等 方面，概括一下 2017 年信息安全行业中的发展现状。话精神，立足信息通信行业网络与信息安全管理职责，紧扣“十三五”期间行业网络与信息安全工作面临的重 大问题，对“十三五”期间行业网络与信息安全工作进 行统一谋划、设计和部署，是“十三五”时期信息通信行 业网络与信息安全工作的指导性文件。而在国际层面，欧盟成员国将在两年的时间内将 一般 数据保护条例 中规定的条款纳入本国法律，该条例将 于2018年正式生效。条例 加强了对欧盟所有企业及 个人、物联网的隐私保护，并简化了数据保护

8、的管理流 程。条例 将替代1995年的欧盟提出的 数据保护指 令，在政策指向上从原来的只提供了指导意见而不执 行的转变成了具体的规则与处罚相结合的做法。一般 数据保护条例 明确规定，任何机构如果收集、传输、保 留或处理涉及到欧盟任何人的个人信息，其中可能包 括姓名、电邮地址、计算机IP地址、照片、社交媒体帖 子、医疗信息或财务信息的话，就必须遵守GDPR 。该 法规不会考虑机构的地理位置，或者个人身份信息是 否关系到个人隐私、专业水平或公共生活。GDPR的处 罚手段会相当严厉，不遵守 一般数据保护条例 的后 果就将面临严厉的制裁及巨额罚款。由此可以看到，2017年国内外一系列法律法规的出 台，

9、标志着网络安全在国家层面上得到的重视程度越 来越高，企业及个人的安全意识也必将随之水涨船高，世界范围内的信息安全行业都将迎来更积极、更主动、以及更大的市场和舞台。二、IT技术革新注入安全行业创新动力全球安全市场增长情况 全球安全支出额(10亿美元)2014201520162017201872.275.6380.7586.4932017年出现的IT行业技术革命包括：基于云和传感器 的物联网技术进一步普及，基于大数据分析、计算机 视觉和深度学习的智能化和自动化技术也日渐成熟，AI正在逐步从学界研究走进行业，安全行业也越来越 多地涉足此类技术的应用。5企业安全威胁统一指南据德勤预计，2017-201

10、9年，针对人工智能的投资将 会达到313亿美元。基于海量数据进行复杂分析，提 高企业产出绩效，技术的进步能够让工作自动化。从 机器学习到深度学习，人工智能的发展目前仍处于浅 智能阶段，但在特定领域的应用已经达到甚至超过人 类的水准。有观点表示，未来的人工智还可能成为网 络安全的救世主。据Gartner预测，到2020年，基于深度学习的智能机 器将进行10的渗透测试，而在2016年这一比例为 0%。另一方面，也有人提出警告：AI可能可以助于保 护网络安全，但绝非银弹。如果机器学习如果能够学 会检测恶意程序，那么它也可以被黑客用来躲避检 测。其次AI在面对攻击时的表现依旧不稳定，在数据 处理上的部

11、分阶段也还有很多人工依赖。物联网物联网（IoT）提供了计算机感知和控制物 理世界的接口和手段，它们 负责采集数据、记忆、分析、传送数据、交互、控制。从2016年下半年到今年，可 以看到全球物联网的机会窗口已经打开，物联网基础 设施、物联网企业数据、物联网应用等技术发展趋势 正在加速。专注于物联网通讯发展的研究单位Ovum于201 7年 全球物联网会议（Internet of Things World 2017）上 提出，低功率广域（Low Power,Wide Area，LPWA）网络、更多元的分歧需求、信息安全、大数据和机器学 习、物联网即服务等新技术和新需求，将是2017年物 联网产业的重

12、要发展趋势。新的构架平台2017年，新的架构平台将以“云第 一”为指导思想，构建更加灵活的标准化体系结构模 型，总体上更高效、成本更低，可以显著提升转化率。新架构的发展趋势是更多地采用宽容的联动体系，基 于核心程序联动各个应用层，发展分布式项目。其开 源性同样重要，未来的企业服务如果仅仅依靠自己的 员工，可能永远不会解决所有客户的需求。此外，涉及 体系框架时应考虑可能出现的错误，注入系统组件，提高容错性。同时，云计算提供了强大的大规模并行 计算能力，也使得数据处理能力前所未有得强大。根据Gartner预测，2017年基于云的安全服务市场规 模将达到41亿美金，云安全的发展将受益于云计算市 场的

13、快速增长。当然，伴随着机遇而来总是更多的挑 战。多租户环境下的信息安全、虚拟化和私有云安全安 全以及SaaS可视化和控制，将成为企业云安全建设之 路上面临的几大重点问题。三、企业安全事件频发聚焦社会关注2017年出现多起席卷全球的勒索病毒事件和多家著 名企业大数量级别的数据泄露事件，网络犯罪者、攻击 者和地下产业纷纷浮出水面，网络安全事件聚焦社会 各界的关注。勒勒索索软软件件席席卷卷全全球球：5月12日晚，Wannacr y蠕虫勒索 软件袭击全球网络，对计算机内的文档、程序实施高强 度加密,并向用户索取以比特币支付的赎金。100多个 国家的数十万名用户中招，被认为是迄今为止最大的 群体勒索事件

14、。Wannacry利用被黑客泄露的永恒之蓝 漏洞进行攻击，然而微软其实早在今年三月就已经发 布了MS17-010漏洞修复补丁，但大量用户并没有及时 进行更新，最终遭到攻击。6月27日晚，乌克兰等多国遭遇NotPetya勒索病毒袭 击，政府、银行等重要系统受攻击影响。这次黑客使用 了NotPetya勒索病毒的变种，依旧利用永恒之蓝漏洞 进行加密勒索。但更为激进的NotPetya直接加密系统 的MBR导致机器无法启动，断绝恢复的可能。企企业业数数据据泄泄漏漏事事件件频频发发：随后的下半年里，企业数据泄 漏事件则开始频频发生。顶级防务公司Bo ozAllen Hamilton 泄露了60000 份文

15、件，包括员工的安全凭证 和美国政府系统中的密码；美国电信巨头Verizon先后 发生两起数据泄漏事件；Omaha 投票选举公司的软件 系统（ES&S）泄漏180万芝加哥选民的个人信息；华尔 街日报的母公司道琼斯泄露了220万客户的个人资料；四 大中的德勤和埃森哲也先后曝出数据泄漏问题。而近期 最知名数据泄漏事件当属美国征信机构Equifax泄露 事件。同样在2017年，国内也发生了多起恶性数据泄露事件。3月7日，公安部网站宣布破获一起特大窃取出售公民 个人信息案，犯罪分子入侵多家国内互联网公司服务 器，窃取公民个人信息50多亿条。随后网上便出现了“京东内鬼泄露50亿条公民信息”的传闻，京东发现

16、后 向公安机关提供线索协助破案。此后，58同城、优酷等 网站也纷纷中招，大量用户数据信息被泄露。规规模化模化、产业产业化化，暗网黑暗网黑产产暗流涌暗流涌动动：除此之外，2017 年黑色产业也逐渐形成完整且发达的产业链。暗网勒 索软件的定制和交易、DDoS攻击业务都浮出水面，黑 产核心的变现促使产业链中出现了流量牵引、分发等 分工。2017年10月Carbon Black 研究报告显示，暗网 市场上的勒索软件软件产品已多达 45 000 种，在超过 6300个暗网市场上进行销售。仅勒索软件定制及销售 产值就从2016年的249287美元增长到6237248 美元，增长率达到惊人的2 502%。立

17、足2017，眺望企业安全 未来该公司自5月下旬至7月起遭受黑客攻击后泄漏了 1.45 亿美国公民个人敏感信息，其中包括了社会保障号码，出生日期、地址及部分驾照信息。此外，被泄露 的还有20.9万美国消费者的信用卡号，部分英国和加拿大居民也受到牵连。6企业安全威胁统一指南一、信息安全的智能时代正在悄然来临三、安全威胁呈现多样化增长趋势二、传统安全边界已经日渐模糊随着信息安全行业中攻防技术的不断升级，以往相对 完善的安全产品与体系早已不再坚不可摧，传统安全 产品误报率高、维护成本高、扩展性不强、攻防不对等 等问题日益显露。安全市场上的需求水涨船高，企业 越来越不满足于“够用”的安全，而是提出更高的

18、要求的防护目标。安全攻防技术升级，世界范围内越来越多的安全公司开始将人工智能、机器学习、自然语言处理等技术运用到安全产品中，加强自己的安全防御能力。深度学习技术分析用户行为区分普通行为和异 常行为，对涉及企业业务的数据操作进行归类和机器 分 析，实 现 更 实 时 高 效 的 响 应、降 低 误 报 率。信息化时代传统行业的数据化、在线化、移动化让企 业、人和各项服务都与网络深层地绑定，过去相对独 立、分散的网络已经融合为深度关联、相互依赖的整 体。企业在不断连接和网络化的进程中获得了更好的 产出效果，却也让传统的网络边界日益模糊。企业的业 务需求、应用复杂度让传统的边界不再坚固，在企业内 部

19、生产网络、测试环境和其他情况中，他们遭受威胁和 攻击的可能也在日益增长。7企业安全威胁统一指南其次，企业员工的个人设备，尤其是移动设备的普及，也使得企业企业安全防护的边界变得模糊。BYOD（员 工自带设备办公）的大规模应用打破了企业内外网的 隔断，移动化的属性让企业难以对这些设备进行管理 和限制，多数企业都难以防护这些个人设备上的数据 交换行为。APT攻攻击击常常态态化化大数据时代背景下，用户信息遍 布网络，为黑产社工库提供了充分的养料。以往分散式攻击变得越来越没有效率，攻击者更加倾向施以专 注、专业、持续的APT攻击，以期获取大量核心的机密 数据，从而造成巨大破坏，取得最大利益。攻攻击门槛击

20、门槛日益降低日益降低 W annacry勒索软件的源头，正是NSA永恒之蓝漏洞泄露导致的，其后又有notpetya等攻击事件接连发生。其实Wannacr y勒索软件本身的技术含量并不高，但假设今后有更多类似永恒之蓝的“武器化”漏洞被公开售卖甚至开源的话，无疑会导致黑产进攻攻击的门槛进一步降低。物物联联网网（IoT）设备设备成成为为薄弱薄弱环环节节 近年来IOT设备规模增速日益提高，预计到2020年将增长到200亿以上 的数量级。IOT设备的代码大多较为脆弱，大多由不同的供应商提供，且安全策略普遍不强，这将成为一个 巨大的攻击面。DDoS攻攻击击加加剧剧 2 017年以来，DDoS攻击总体上呈

21、现出攻击次数下降、单次攻击峰值上升的趋势，且中 国依然是DDoS攻击源最多的国家，发起攻击次数占 总量的46.6%，其次是美国和俄罗斯，分别占3.0%和 2.0%。关键基础设施安全威胁越来越多的国家正 在构建智慧城市，电力系统、应急服务、交通控制等关 键基础设施将形成巨大的攻击面。这些集成系统受到 大规模破坏的可能性很高，是不法分子眼中极具价值 的攻击目标。第二章 企业安全威胁从何着手应对各类层出不 穷的安全威胁？一、企业在线业务与运维层威胁这一层的分类中包含网站安全、ERP、CMS、身份认 证&授权等。企业的服务器往往是黑客从外网入侵到企业内网的 第一个环节，也是安全问题最多的一个环节，因此

22、其 中的安全问题不容忽视。从Web应用层面上讲，常见 的网站漏洞包括：注入、失效的身份认证和会话管理、跨站脚本（XSS）、直接引用不安全的对象、安全配置 错误、敏感信息泄漏、跨站请求伪造（CSRF）、使用含 有已知漏洞的组件、未验证的重定向和转发等。第一层、企业在线业务与运维层安全威胁，如包含网 站安全、ERP、CMS、身份认证与授权等等位。网站安全 ERP CMS 授权 身份认证 邮件服务器 VPN服务器 防火墙 DNS服务器 域控 IDPS钓鱼 恶意软件 移动设备安全 防病毒 DLP 企业在线业 务&运维层 企业内部 安全 2017年企业面对的安全威胁层出不穷，而各种威胁手 段又不断变化。

23、一、从威胁类型上来看，大量过去陈旧的攻击方式重 新受到了青睐，如Web应用攻击、钓鱼攻击方式全球 的各类攻击事件中重获新生；二、从技术上，各类安全威胁又不断推陈出新，比如利 用大量物联网设备进行大规模DDoS攻击的Mirai病 毒、利用浏览器网址字符显示缺陷进行钓鱼攻击的 Punycode攻击，这些新的技术对企业安全带来的新 的挑战。面对各类安全威胁，企业应该从何着手应对？首先，企业要做的是知晓自己面临哪些安全，之后在此 基础上寻找相应的解决方案防御、应对威胁。为此我们 整理了各类企业安全威胁，对这些威胁构建三层分类 的模型，帮助企业流程化地建立防御。具体来说，这个 三层模型包括了如下内容：8

24、企业安全威胁统一指南第二层、企业基础设施安全与访问控制层安全威胁，如涉及邮件服务器、DNS服务器、VPN服务器、域控、防火墙、IDPS层面的安全威胁。第三层、企业内部安全，如包含恶意互联网内容（常见 的钓鱼、恶意软件）、终端安全（防病毒、DLP）、移动设 备安全等威胁内容。企业基础设 施安全&访 问控制层 尽管网站安全问题老生常谈，并且近几年企业的安全 意识也有提升，但Web应用的攻击从整体上仍然不断 上升。2017年8月，知名内容分发网络（CDN）和云服务提供 商 Akamai Technologies 发布的 2017 Q2互联网安 全现状报告 中指出，2017 Q2 的 Web 应用攻击

25、比上 一季度增加了5%，比去年增加了28%。除了Web应用层面，各项其他安全威胁也有可能造成 服务器出现安全问题，常见的威胁包括端口访问、主 机漏洞、配置策略缺陷、补丁策略缺陷等。事实上步入2017年之后，随着企业安全意识的不断增 高，无论是Web应用层面的漏洞还是端口访问等漏洞 都已显著下降。攻击者已经很难像以前一样以较低的 成本寻找到漏洞，但与此同时DDoS作为一种较为古 老的网站攻击手段却延续至今。的目的。Mirai的主要感染对象是可访问网络的消费 级电子设备，例如网络监控摄像机和家庭路由器等。Mirai 构建的僵尸网络已经参与了几次影响广泛的大 型分布式拒绝服务攻击（DDoS攻击）。通

26、过IoT设备组 建僵尸网络实施DDoS攻击，这也为攻击者提供了新 的思路。2016年秋季，爆发了利用大量物联网设备进行DDoS的Mirai事件，造成了巨大的影响。Mirai是一款恶意软件，它可以使运行Linux的计算系统成为被远程操控 的“僵尸”，以达到通过僵尸网络进行大规模网络攻击Akamai Technologies 发布的 2017 Q2 互联网安全 现状报告 中已经指出，Mirai采用Pay-for-Play模式，利用其大规模的僵尸网络提供收费的DDoS服务，并 且Mirai促成了DDoS攻击走向商业化。除了公司对外的网站安全，企业内部的网络也是需要 关注的业务，其中最为典型的就是企业

27、的ERP系统。ERP系统是企业资源计划(Enterprise Resource Planning)的简称，是指建立在信息技术基础上，集信 息技术与先进管理思想于一身，以系统化的管理思 想，为企业员工及决策层提供决策手段的管理平台。ERP系统是很多大企业的核心系统，而近年来，针对 ERP系统的发掘的漏洞也越来越多。由于ERP的实现 需要大量软件，而这些软件中可能不可避免地存在着 一些漏洞，这些漏洞使得攻击ERP变得更加容易。而 ERP系统中存在的大量公司机密信息，也给了攻击者 们充分的动机。根据Onapsis的报告，全球95%的 SAP企业管理系统存在安全漏洞，可能导致严重的数 据泄露。ERP系

28、统本身的漏洞是一个方面，而员工的安全意识2017年，OWASPTop10威胁迎来了一次更新，在此次 更新中注入漏洞仍然位居Top10威胁之首，而XSS的 威胁程度从A3降到了A7。敏感信息泄露、安全配置错 误、失效的访问控制等威胁均有提升，值得企业重视。与此同时，榜单中还出现了一些新的安全威胁，包括 XXE漏洞(A4:2017,XML External Entity attack)、针 对 J a v a 平 台 的 不 安 全 反 序 列 化 漏 洞(A8:2017,Insecure Deserialization)以及记录和监 控不足风险(A10:2017,InsufficientLogg

29、ing&Monitoring)等。这些新兴的安全威胁也值得企业重 点关注。9企业安全威胁统一指南二、企业基础设施安全与访问控制威胁又是另一方面。许多员工使用的弱口令、默认密码等，给了黑客可乘之机。因此，身份认证和授权也是企业 需要面对的问题。要想杜绝其中的安全风险，企业需 要多角度地防护。企业自身的网站需要防止身份盗 用，以及越权、提权等安全问题。要防止盗用，首先应 该解决的是一系列的权限漏洞，包括弱口令、默认密 码、访问配置缺陷等。2017年 5 月开始，美国大量能源企业遭到攻击，攻击波 及到美国至少十家电力公司，其中还包括堪萨斯州的 Wolf Creek 核电站。而相关的安全研究则揭示出黑

30、客 将目标对准工控系统，并且在过去攻击的经验上，巧妙 地使用“模版注入”的方式隐匿恶意文档，实施网络钓 鱼，并获取相关能源企业的登录信息，由于黑客攻击时 的隐蔽性，给能源企业带来的影响不可估量。除此之外，今年钓鱼攻击中还涌现了一些新型的手段，例如Punycode钓鱼攻击，这种攻击方式几乎无法检 测，其原理是，许多Unicode字符，代表的是国际化的 域名中的希腊、斯拉夫、亚美尼亚字母，看起来跟拉丁 字母一样，但是计算机却会把他们处理成完全不一样 网站的网址。攻击者只需要将其中的一个字符或者多 个字符用Unicode字符代替就可以用来钓鱼。另一方面，心存歹念的内部员工也可能泄露机密信息，如果缺少

31、安全的身份认证和授权，黑客/恶意员工就有 机会通过普通的身份获取到更高级别的敏感数据。文全称Single Sign On，单点登录。SSO是在多个应用 系统中，用户只需要登录一次就可以访问所有相互信 任的应用系统。它包括可以将这次主要的登录映射到 其他应用中用于同一个用户的登录的机制。它是目前 比较流行的企业业务整合的解决方案之一。如今，众多企业所采取的方案是使用SSO方案。SSO英企业的基础设施能够保证企业的各项业务能够正常 工作，常见的基础设施包括邮件服务器、DNS服务器、VPN服务器。这些基础设施的安全性往往会影响到企 业重要业务，因此不容忽视。邮件服务器把控着企业对外交流合作的命脉，而

32、且其 中往往包含大量机密信息。攻击者攻击邮件服务器的 主要方式包括：邮箱账号爆破、DoS攻击、系统配置漏 洞。针对邮箱账号的爆破，攻击者可以使用采集到的邮箱 地址和弱口令密码，在邮箱服务器上反复尝试登录，从而盗取用户邮箱账号。而DoS攻击的成本则更低，只需要找到相关的邮箱服务器就可以利用大量流量 进行攻击，最终导致邮箱服务器不可用，进而使得企 业无法进行对外沟通；第三种攻击手法是使用系统配 置的漏洞，比如很多系统在交付给客户时都设置了易 于使用的默认配置，或者配置了空的或默认的根/管企业内网中同样也需要建设完善的身份认证和授权机 制，因为通过钓鱼、入侵等各种攻击，黑客同样可能攻 进内网。我们观

33、察到，时至今日，钓鱼这种攻击方式仍 然在 2017年被Fancy Bear等黑客组织利用，让这种看 似古老的攻击方式仍然在被广泛使用。企业安全威胁统一指南10三、企业内部安全威胁四、框架之外的其他威胁除了上面提到的这些威胁，企业还需要注意框架以外 的威胁：理员密码，这就让攻击者有机会进行入侵。而针对DNS服务器的攻击也是较为常见的安全威胁。常见的一种类型是DNS域传送漏洞。如果企业DNS服 务器配置不当，可能导致匿名用户获取某个域的所有 记录。带来的风险就是，攻击者可以轻易知晓企业拥 有的所有域名，其中也包含一些原本没有暴露在公网 环境中的域名，倘若这些域名指向的服务器存在漏 洞，攻击者就有可

34、能进行入侵。第二种攻击方式在近几年的互联网世界比较常见，即通过入侵域名管理商劫持域名，指向其他服务 器。这种攻击方式很多时候针对的是那些网站安 全性较好的公司，攻击者只得旁敲侧击，尝试攻击域 名托管商。百度、Google都曾遭受过此类攻击。2017年7月，安全研究人员MatthewBryant在进行顶 级域名映射的代码测试时发现，多个.io权威域名服务 器（包括ns-a1.io、ns-a2.io、ns-a3.io和ns-a4.io）可 以注册购买。攻击者完全可以将其指向自己的DNS服 务器，将所有.io 域名连接重定向到恶意服务器。在完善了在线业务与运维以及基础设施安全与访问 控制安全后，企业

35、需要加强的是内部安全防御，这其 中包括恶意互联网内容、终端安全以及移动设备安全等。恶意互联网内容传播的渠道主要包含钓鱼等社会工 程学手段，对于这样的安全威胁首先可以依靠企业网 络中的防火墙或防病毒软件对网站流量进行过滤，对 已知的钓鱼网站进行屏蔽，二是提升企业员工的安全 意识，对不明的链接心存警惕。企业内部安全的另一个方面包括终端以及移动设备的 安全，为了让员工能够得到全方位的防护，我们推荐使 用现有的防病毒解决方案，这样能够保证即使是安全 意识薄弱的员工也能够抵御攻击。除此之外，对于各种 终端设备，员工还应该即使进行安全更新。而两款病毒无一例外地利用“永恒之蓝”漏洞席卷全球，如果企业使用防病

36、毒软件经常检测威胁并且使用 更新系统及时修补补丁就可以防范威胁。因此拥有防 病毒软件和补丁更新机制是企业安全不可或缺的部 分。赛门铁克在今年的调查中发现企业用户使用云应用 的数量通常会高达900个。大量的云应用导致安全管 理难度的上升。事实上，企业云面对的威胁包含多个2017年5月，一款名为Wannacr y的蠕虫勒索软件袭 击全球网络，这被认为是迄今为止最巨大的勒索交费 活动，影响到近百个国家上千家企业、公共组织以及大 量中国高校，其中也不乏一些大型企业，如西班牙的 Telefonica、英国的国民保健署、以及美国的FedEx 等。而其后爆发的NotPetya病毒，也对欧洲大量企业 造成影响

37、。企业面对这两款病毒不仅不得不支付赎金，还需要遭受数据不可恢复的损失。企业安全威胁统一指南11另一方面，企业也面临引入云本身带来的安全威胁，某些云平台安全性不足导致黑客入侵是一个方面，另 一方面，云平台公开的属性也引入了安全风险。今年 发生了大量安全泄露事件都与云服务器有关：Verizon合作伙伴泄露了超过1400万Verizon客户的 个人信息记录，包括姓名，地址，账户详细信息，和一 部分客户的账户PIN码；AWS S3泄露了将近1.98亿美 国选民的个人资料，其数据库包含三家与共和党有关 的公司信息；华尔街日报的母公司道琼斯泄露了220 万客户的个人资料；埃森哲的部分业务数据被放在了 公开

38、的 Amazon S3 bucket 服务器上，这些事件的诱 因都是机密文件暴露在了云服务器上。企业对各类威胁严防死守，但员工自身引入的新设备却有 可能让这些努力功亏于溃。自携设 备（BYOD,Brin g YourOwnDevice）是指员工使用个人行动装置进入 他们工作区域并用以处理公司资讯与应用程序的作 业方式。这种方式十分普遍。在巴西与俄罗斯这些快 速成长的市场里，大约有75%的员工使用自携设备作 业。而在发展中市场里，亦有44%的员工使用自携设 备工作。而在中国，使用自己的手机处理工作事务也 是常态。许多公司都相信，员工使用自携设备会更有因此，除了企业本身的网络设施，传统框架之外的威

39、 胁也需要企业的重视与防范。方面，最重要的一点是，企业云使得安全边界变得模 糊，企业面对本地+云端的复杂环境，因而无法做到对 敏感数据的有效管控。生产力。开放使用自携设备可以提升便利性，也能节 省办公成本。但是于此同时，自携设备会带来安全风 险，我们知道公司往往不会对员工的个人设备进行管 理，倘若员工携带的设备存在安全风险，企业对终端 威胁所做的防御便会全部失效，导致各种安全威胁，轻则机密文件泄露，重则导致内网主机被入侵。企业安全威胁统一指南12第三章 企业安全应对流程一、预防环节一个完整的企业安全系统，首先要做的第一步就是要 做好预防措施，最常见的预防措施包括身份验证，授 权和访问控制策略。

40、这些预防措施首先可以解决一些 最基本的问题，包括认出用户是谁，并且授予不同用 户不同的执行权限。整个预防环节包含三个方面，身份认证、授权、访问控 制策略。预防环节持续改进环节检测环节保护环节响应环节面对2017年的安全态势，企业安全涉及的方面越来 越复杂，积极应用传统的企业安全流程并增强对于新 威胁的防范。一个健壮的企业安全应对流程应该是一 环套一环，环环相扣，需要多方面协作完成。认证的目的就是为了认出用户是谁，或者说是能够识 别出正确的人。如果企业是一个屋子，那么外人如果 想进行破坏的话，第一步要做的就是先开门，持有钥 匙的人才能开门进入屋子，那么屋子就是通过“锁和 钥匙的匹配”来进行认证的

41、，认证的过程就是开锁的 过程。钥匙在认证的过程中，被称为“凭证”，开门的过 程，在互联网里对应的是登录。认证实际上是验证凭 证的过程。而授权和认证相似，但又有一些区别：授权的目的是 为了决定用户能够做什么。拥有高权限的用户获得的 授权要比低权限的用户要多，高权限的用户可以做的 事情也就比低权限用户多。而且权限多少是由最开始 的认证决定的。访问控制策略则是某个主体对某个客体实施某种操 作，而系统对这种操作的限制就是访问控制。用户身份认证和访问控制策略在整个企业安全应对流 程中还是比较重要的，任何有缺陷的设计都会严重破 坏整个流程。在对整个企业安全应对流程进行部署时，安全人员往 往只关注那些系统中

42、所需要的功能，通常会建立自定 义的认证和会话管理方案。但要正确实现这些方案却 很难，结果这些自定义的方案往往在如下方面存在漏 洞：退出、密码管理、超时、记住我、秘密问题、帐户更 新等等。因为每一个实现都不同，要找出这些漏洞有 时会很困难。企业安全威胁统一指南13二、检测环节三、保护环节提前做好预防措施还是不够的，时刻关注系统中可能 存在的风险可以帮助企业第一时间做出决策并及时响 应，减少损失。事件发生前，一个完善并准确的事件监 控策略显得尤为重要。整个检测环节中企业都需要依 照一定的安全策略，通过软、硬件，对网络、系统的运行 状况进行监视，尽可能发现各种攻击企图、攻击行为或 者攻击结果，以保证

43、网络系统资源的机密性、完整性和 可用性。企业安全威胁统一指南14一直以来检测环节中比较常见的是IDS和DDoS检测系 统，IDS在技术上也已经比较成熟，运用也相对广泛。但到了2017年，相比市场上比较陈旧的IDS，新兴技术 有望更快地走入我们的视线，在传统应对措施的基础 上，2017年一些新技术的深度运用越来越多地帮助企 业更好地应对威胁。UBA（用户行为分析），它可以帮助企业或组织监测内 部威胁、恶意目标的攻击和金融欺诈行为。利用UBA 技 术解决内部威胁是一种新的手段方法，该技术发展到 今天已经具备了能够对非结构化数据进行分析能力，甚至可以拥有一定的预测能力，并开始应用到内部威 胁和目标攻

44、击防护中去，而不再仅仅局限于行为监测 了。而更进一步的UEBA（用户实体行为分析）则将用户活 动与其他部分数据结合，比如受管理终端，非受管理终 端，应用（包括云端，移动端和其他的本地应用程序），网络和内部威胁。对比UBA，UEBA不仅可以监测内部 的威胁，还可以监测外部的威胁，从而保护数据避免危 险。2017年企业办公系统和应用上云也对传统的监测环节云访问安全代理(CASB)是一组新的云安全技术，可解 决使用云应用和服务（包括SaaS和IaaS）带来的挑 战。这些新的CASB解决方案的目的是通过提供这些 服务的使用方式的关键可见性和控制性，使组织能够 借助云应用和服务提升生产力。这能帮助信息安

45、全团 队：识别和评估所有使用中的云应用（影子IT）、在现 有Web代理或防火墙中实施云应用管理策略、实施精 细策略以控制敏感信息的处理，包括与合规性相关的 内容、加密或标记敏感内容以保证隐私和安全、检测 并阻止显示恶意活动的异常帐户行为、通过针对数据 丢失防范、访问管理和Web安全的更广泛安全解决方 案实现集成云可视性和控制性。时刻检测整个系统看起来十分必要，但有时也需要一 些主动性的防护，旨在预先对入侵活动和攻击性网络 流量进行拦截，避免其造成任何损失，而不是简单地 在恶意流量传送时或传送后才发出警报。保护环节比较传统的是IPS，它通过直接嵌入到网络 流量中而实现这一功能的，即通过一个网络端

46、口接收 来自外部系统的流量，经过检查确认其中不包含异常 活动或可疑内容后，再通过另外一个端口将它传送到 内部系统中。这样一来，有问题的数据包，以及所有来 自同一数据流的后续数据包，都能够在IPS设备中被2017年7月Gartner在安全新技术报告中提出了微分 隔技术（Microsegmentation）。它的出现能够地对 IPS做出了补充，攻击一旦在企业系统中站稳脚跟，它 们通常会横向蔓延到其他系统中。微分隔能在虚拟数提出了新的要求。调查和咨询机构 Garther 公司今年 的报告同样指出，到2020年，85%的大型企业都会使用CASB技术增强企业的在云场景下的安全检测能力。四、响应环节据中心

47、进行隔离和分段操作，就像潜艇中的舱室一样，有助于减少威胁破坏性，进行有效保护。之前，微分段 技术主要用于服务器在相同层的横向通信，但如今它 现在已经演化为保护虚拟数据中心的内部通信机制了。预防，检测，预防环节中主要工作还是放在防范上面，而企业在发生重大安全事故时，更需要一套完善的应 急响应策略及取证分析流程。很多时候由于缺乏紧急响应流程，或者紧急响应流程 执行不到位，使得一些本来可以快速平息的安全事件，最终造成巨大的损失。早做准备，如果有专门的一个事件响应团队，任何时间 发生的攻击都可以有一个很好的应对策略。明确的事 件响应规划可以帮助团队知道在事件发生之后应该做 些什么，减少不必要的沟通时间

48、。而且，制定的规划越 有效，安全和技术团队就会采取更加明确安全措施来 应对紧急事件，也会将损失降到最低。及时止损，越早处理发生的安全事件，对于日后产生的 影响就会越小。因为安全事件一开始如果不被及时解 决，马上就会愈演愈烈，对于企业来说，要付出更多的 时间和成本来处理。而如果企业提前制定了完善的应 急响应规划的话，技术团队可以在安全事件刚刚发生 时就可以减少损失，采取措施解决相关问题。加强沟通，事件发生过程中，沟通往往是一个大问题，可能会造成时间上的巨大浪费，和计划上的混乱。而如 果有一个可以集中交流的应急小组之后，所有的情况 都会无延误的传达给安全和技术团队，这可以保证响 应小组可以很快想出

49、对策并做出行动。整个事件响应过程就是在安全事件爆发过程中，企业 的应对方式。入侵检测系统或安全监控产品的规则被 触发时，根据攻击的严重程度，最终会产生“事件”或“报警”，报警建立后，开始着手建立“紧急响应流程”。整个应急响应小组应包括：技术负责人、产品负责人、最了解技术架构的资深开发工程师、资深网络工程师、资深系统运维工程师、资深DBA、资深安全专家、监控 工程师、公司公关。小组建立起来之后，第一时间就要弄清楚问题产生的 原因，并协调相关的资源进行处理。保护安全事件现 场，以最快速度处理完问题。取证技术在事件响应流程中十分重要，有利于企业做 出正确和及时的响应。例如，如果一家公司正在处理 一起

50、钓鱼攻击事件，取证过程就可以帮助确定一些信 息，比如谁点击了钓鱼链接，谁落入了攻击者的圈套，有哪些信息泄露了或遭到了窃取。这些可以帮助安全 团队策划合适的响应机制，评估上报需求。倘若公司 的IP地址遭到窃取，无论是内部攻击者还是外部攻击 者所为，取证技术可以帮助建立事件发生的时间线，执法机构可以以此为依据，调查或起诉攻击者。在这 种情况下，取证流程符合并保存了拘留所需的证据链 是十分重要的。取证分析会更加专注于防护。它将跟 着数据恢复的进化方式一起进化。一旦人们开始弄丢 数据，他们就会开始使用远程备份来防止数据丢失。使用计算机取证也会发生同样的事情。公司会确切落 实计算机取证以防有事发生，这样