中小企業防御網絡攻擊的6種方法

■郭宇

中小企業防御網絡攻擊的6種方法

■郭宇

網絡安全是當前一個非常熱門的話題，網絡泄密、系統癱瘓、斯諾登事件......都在不斷挑戰所有人互聯網人的神經。大家都在擔憂自己的隱私會不會被泄露出去，公司的敏感信息怎么來保護。當然，這也是一個非常好的現象，說明現在大家的安全意識已經越來越高了！

但是，也有一些不好的現象，比如很多公司的管理層認為，網絡安全是大公司才需要考慮的事情，小型的創業公司并沒有什么價值吸引黑客來攻擊。在筆者看來，這種想法是非常危險的，任何一點點疏漏都可能給企業帶來「滅頂之災」。但是，很多小公司受限于技術水平，又很難應對網絡攻擊。本文就來介紹中小企業該如何準備和應對網絡攻擊，避免自己的信息泄露和財產損失：

為什么黑客要攻擊中小企業呢？

誠然，對黑客來說攻克大公司的網絡絕對是名利雙收的事情：拿到非常多有價值的東西，能夠上新聞頭條。但是大公司的安全防范和追蹤能力都是非常高的，對黑客而已，成本和風險也都隨之提高。對于中小企業，安全防范比大公司要低多了，同時有價值的東西也絕對比個人要高非常多。所以中小企業絕對是黑客最理想的目標和「點心」。

另外一點，就是中小企業安全防范意識比較差，黑客也非常清楚這一點，研究證明：97%的中小企業在將來的業務發展中不重視網絡安全，82%的中小企業認為他們沒有什么有價值的東西值得黑客來攻擊，只有23%的中小企業人他們擔心自己的信息被偷竊。

數據還是有點“觸目驚心”的，對于特別小的企業，黑客可能沒有興趣專門做針對性的攻擊，但是也很難避免廣泛的掃描性的攻擊，這些攻擊都是通過軟件自動化對所有網站進行掃描，只要您的網站一上線，可能第一個用戶就是各種漏洞掃描工具的攻擊。

現在網絡上已經沒有任何“私人花園”的存在了。這種攻擊成本是非常低的，一旦發現你的漏洞，就可以以極小的代價攻破您的網絡，一旦攻破，你的網站將被黑客接管，所有有價值的信息都被一掃而空，然后您的網站將可能成為一個“肉雞”，成為網絡攻擊的一環。對黑客來說這也是非常有價值的事情。

當然現在有很多關于網絡安全事件的報道，很多人都已經有這方面的意思了，但是大家對如何如何防范網絡攻擊還是沒有頭緒。下面筆者將一一進行介紹：

網絡攻擊的常見類型

通常來說，網絡攻擊的目的是竊取和利用敏感信息比如信用卡號、個人身份證、客戶信息等等，黑客可以利用這些信息直接竊取客戶的財務或者濫用個人信息牟利。網絡攻擊的手段和動機多種多樣：比如網絡黑客或者網絡罪犯可能是不加區分的攻擊，然后攻擊盡可能的的目標以獲取盡可能多的敏感信息，也可能是去持續的攻擊某個特定的目標，也有可能是前雇員為了報復前雇主，還有可能是內部員工為了牟利竊取內部機密。

不管動機如何，網絡攻擊通常有以下幾種常用的攻擊方式和手段，但是對于這幾種非常常用的攻擊方式大家還是應該了解一下到底是什么，如何進行防御：

APT高級持續攻擊

這種最近幾年進行的新型高級攻擊方式，它是針對特定的目標進行持續、分階段的進行攻擊，沒有有特征碼，沒有明顯的危害行為。防火墻、殺毒軟件以及沙箱基本上是根據特征庫和行為方式進行防御，對APT基本上是無能為力。APT攻擊在大部分時間就是一個普通的進程，沒有任何威脅，它可以潛伏很長時間，也可以從底層員工逐步滲透到高層員工的電腦里面，一旦找到有價值的信息在很短的時間發起攻擊。一個

APT通常可以分為五個階段，它們是偵察（研究和了解目標），入侵（通過常用方式將攻擊程序嵌入，比如個人簡歷等），發現（不斷滲透發現有價值的目標），捕獲（通過長時間來采集數據）和滲出（通過正常途徑將敏感信息發出）。

漏洞攻擊

漏洞是因為程序的Bug導致的，分布范圍非常的廣泛。從系統角度來看，有路由器、防火墻、服務器的漏洞等。從軟件角度來看有操作系統漏洞、服務器容器漏洞、第三方軟件漏洞、各種協議的漏洞以及自己編寫的應用程序的漏洞。比如「心臟出血漏洞」就是加密通訊軟件OpenSSL的一個漏洞導致。通常黑客通過掃描工具對一定范圍的服務器進行掃描找漏洞，這種成本很低，但是只能找到一些通用的漏洞，大公司一般都會及時修復。還有就是對高價值的服務器進行專門的漏洞挖掘。黑客找到漏洞了，攻擊就是比較容易的事情了。漏洞防范需要投入大量的人力和物力，并且總是出現百密一疏的情況。

DDoS:分布式拒絕服務

其主要目標是通過巨量網絡訪問，使目標服務器負載超出設計能力，服務器癱瘓，無法為用戶提供服務。如果用戶完全依靠被攻擊服務器，就可以達到完全拒絕服務的效果。

內部攻擊

內部攻擊是最難防范的，大部分成熟的軟件可能都沒有把這種當成一種攻擊，一般有這幾種情況發生：有管理員權限的員工故意或者誤操作訪問公司敏感信息，含恨離開但是還擁有訪問權限的員工惡意訪問公司敏感信息（這種情況通常通過加強管理和簽訂保密協定來解決），還有就是黑客通過提升權限或者攻入網絡模仿內部訪問的方式取得敏感信息。

惡意軟件

這是對所有植入目標系統并對系統進行破壞和未授權訪問的所有軟件的統稱，包括病毒、間諜軟件、蠕蟲、木馬和鍵盤記錄器、勒索等等。

密碼攻擊

破解密碼是黑客獲取目標帳戶和數據庫最簡單的方式。類型有暴力破解，通過不過猜測并嘗試知道找到正確的密碼；字典攻擊，它使用一個程序嘗試字典中的單詞的不同組合；按鍵監控，追蹤用戶所有的按鍵，包括登錄ID和密碼。

釣魚網站

這是通過部署方式進行攻擊的最常見方式，黑客通過發郵件或者第三方網站嵌入虛假連接的方式將客戶引入一個和原來網站外形非常相識的假網站，盜取用戶的個人信息以及登錄認證信息。現在各方對釣魚網站的認識和重視越來越高，比如通過搜索引擎出來的結果都是可信的，大的官方網站也不斷的屏蔽釣魚網站，中釣魚網站攻擊的人也相應的降低了。但是黑客的攻擊方式也越來越高明，企業還是要對最這方面的攻擊保存足夠的重視。

中小企業在安全保護上一些誤區

當然，大公司有更多的資源和人力投入到安全保護中來，很多安全問題都能得到快速和及時的處理，而對于中小企業來說就沒有這么多的預算和安全人才來專門進行安全方面的保護。但是缺乏資源不是不就行安全保護的接口：安全至關重要，今天也許沒有遭到黑客的攻擊，但誰能保證未來一定不會呢？其實可能遭到攻擊自己都不清楚。

現在越來越多的數據都在網絡上能訪問到，這對黑客的吸引力越來越大，再加之現在計算機技術的運行速度越來越快，攻擊手段越來越多，黑客大規模掃描和破解密碼的成本越來越低，也越來越簡單。對所有企業而言，安全保護變得越來越重要。

但是中小企業對安全保護認識度還不夠，存在以下幾方面的誤區：

沒有安全防護行動計劃：Towergate infographic研究標明31%的中小企業沒有應對網絡攻擊的行動計劃，22%的小企業根本不知道安全防護從哪里開始。在中國中小企業設備「裸奔」的情況更加嚴重，大多數企業就是買一臺防火墻就認為萬事大吉了。其實安全防護需要一個比較完整的行動計劃。一旦網絡攻擊發生，在應對已經晚了。

自我感覺很安全：很多中小企業認為安全是政府的事情，出了安全事故有公安機關來追查，但是網絡攻擊時非常復雜和隱蔽的，政府的防火墻和保護措施在很大程度上是覆蓋不到企業的。出了問題追查是非常復雜的事情。還有企業認為自己沒有什么可以被黑客惦記的，實際上現在黑客技術的發展非常快，普通用戶的攻擊成本是非常低的，實際上很多時候攻擊已經發生，信息已經泄密了。只是自己不知道而已。

對內部“黑客”監控忽視：在大部分中小企業，特別是一些初創企業，認為大家都是自己人，沒有任何安全流程和規范。對內部人疏于監管。但事實上很多信息敏感信息都是內部人員泄露的，“近水樓臺先得月”。內部人員具備非常好的有意或者無意泄密條件，現實比你想象得更嚴重，據美國欺詐審查員協會統計，全球內幕欺詐2014總共涉案3.7萬億美元。

不愿意在安全防護上投資：企業主對安全防護的重視程度還不夠，很多人認為安全是可有可無，但是強大的安全防護對現代企業來說是至關重要的事情，尤其是對那些在線公司，重要數據都可以通過網絡訪問得到。大多數企業在開發過程沒有對漏洞進行檢測，即使檢測了也是掃描一次就結束了，事實上安全防護是一個持續的過程，網絡攻擊時刻在發生，攻擊手段時刻在變化。在安全問題上沒有“一勞永逸”的事情。

市面上可供選擇的解決方案：

其實，安全防護是一項非常專業的工程，大部分公司不具備網絡防護的能力，采購現有的安全防護產品和解決方案是最快速和經濟實惠的方案，一下介紹常用的安全解決方案：

一、殺毒軟件：主要用于個人電腦和終端，基于特征病毒庫，惡意軟件庫查殺已知的惡意軟件。優點是價格便宜，甚至免費。缺點是是只能防范最常見的攻擊，無法對APT，數據泄密進行保護，有一定的性能消耗，有可能會收集個人信息。建議還是安裝業內信譽好的殺毒軟件，這是基礎防護。

二、網絡防火墻：是目前最廣泛使用網絡防護工具，只需要在流量入口部署就可以防護整個公司的網絡，能防范一些常用的網絡安全攻擊。確定就是只是分析網絡流量，對精確的應用層攻擊無能為力，有很多的“翻墻”技術可以繞過，在云平臺等沒有邊界的環境里無法使用。

三、Web應用防火墻（WAF）：這是專門應對應用網絡攻擊的方案，相對網絡防火墻，WAF能解析常用的應用層協議，初略的理解數據流，能應對常見的Web應用網絡攻擊。缺點就是不理解應用程序的上下文，誤殺率比較高，配置過于復雜，需要既理解WAF同時理解特定的應用程序的專業人士進行管理，管理成本比較高。同樣也存在“翻墻”繞過的問題，在無邊界的環境里也不適用。

四、運行時應用程序自我保護（RASP）：這是2014年Gartner提出的一個全新的解決方案，現在絕大多數數據訪問都是通過應用程序進行訪問，因此80%的網絡攻擊也是發生在應用層。上文提到WAF？部署在應用程序前面并不理解應用程序的上下文，只是通過特征庫，正則表達式等方式去猜測用戶的輸入是否有攻擊行為，這種方式導致誤殺率比較高，同時配置復雜，使用成本比較高，研究人員就根據安全軟件開發實踐，研究出在應用程序內部，在應用程序運行時進行保護是最有效的，保護程序洞悉上下文，可以在數據訪問的關鍵點進行保護，這樣在精確性、性能、不可繞過、可以防護零日攻擊以及低使用成本方面是WAF無法企及的。

RASP對攻擊的可視性、對攻擊精確到代碼級別已經幾乎零誤差的防護是非常值得稱道的地方。當然它有缺點：輸入嵌入式保護，需要將保護代碼和應用程序綁定在一起，如果保護代碼質量不高會直接影響應用程序的性能。是針對語言的保護，每種語言需要單獨開發。概念很新還沒有大規模的推廣使用。目前推出RASP的廠家并不是太多國外有Waratek、HP等，國內目前只有OneRASP。

五、數據備份軟件：數據是企業的基石，當數據系統損壞時，有備份數據能最大限度避免損失。加密軟件：通過加密軟件對敏感信息和傳輸通道進行加密至關重要。

六、密碼保護系統：密碼是訪問數據的唯一憑據，單一校驗已經不足以保護安全，兩步校驗和專門的密碼安全軟件也是非常必要的。

安全需要全面保護，沒有任何一種解決方案能保護所有的數據，多層次多維度保護才是正確的解決方案，企業需要將各種方案整合起來形成一個安全保護的閉環，企業安全才能得到最大的保障。

安全最佳實踐和良好習慣

雖然購買安全防護產品能解決你很大部分的問題，但是良好的安全習慣的流程也是保護公司財產重要一步，包括以下幾個方面：

及時更新補丁，漏洞攻擊是非常危險的攻擊，防止漏洞的最佳辦法就是將所有使用的軟件保持最新版本，這樣就能防范已知的漏洞，也就杜絕了絕大多數安全攻擊。

受過良好安全教育的團隊是安全防范最重要的一點，讓員工了解黑客攻擊的主要工具和途徑，讓員工及時意識到什么情況系統遭受的網絡攻擊，這樣就能快速的防范和修復攻擊。同時讓員工充分了解如何正確安全的使用公司資源和網絡也是至關重要的。

制定和實施正確的安全政策是能有效防范安全攻擊，比如強制員工使用強密碼能有效降低暴露破解和字典攻擊的成功率，明確制定每個員工的安全職責，對于敏感信息的訪問進行嚴格控制，嚴格管理離職流程能有效降低內部攻擊。

制定明確完整的安全防范計劃，防范于未然是最佳的解決辦法，制定事故發生的預案也是非常重要的。當事故發生時根據預定方案進行修護，能及時恢復系統，保障系統穩定運行。