随着网络应用的普及,中小企业对网络的依赖程度已经越来越高。不仅基于网络进行日常的业务经营活动,还会通过网络与合作伙伴进行协作。由于大型企业的企业总部承载着重要的核心业务,一直以来,管理者非常重视对企业总部信息资产的安全加固,选购大量的安全防护设备,将企业总部保护得如同铜墙铁壁一般。而大企业的分支机构和中小企业又普遍处于怎样的状态呢?一个办公室内的上网用户往往只通过宽带猫、无线路由就接入了互联网,与外部进行数据通信,安全防护措施少之又少,可以说,基本上没有采取恰当的网络安全保护措施。
近期,国内网络安全事件频发,从支付宝的大面积访问故障,到携程网被黑,种种安全事件再次引发了人们对于网络安全的忧虑。那么,网络攻击更喜欢针对大型企业吗?其实不然。员工数量较少的中小企业更容易遭受网络攻击。相对于资源充裕与安全防护投入巨大的大型企业来说,中小企业的安全投入通常比较薄弱,这使得中小企业更易沦为网络攻击的受害者。
有调查资料表明,中小企业已经超越政府部门和大型企业成为黑客攻击的主要目标。针对中小企业的攻击行为已占所有针对性攻击总量的30%以上。很明显,中小企业对于网络安全的轻视是其被频繁攻击的主要原因。有些中小企业认为网络攻击并没有什么影响,难以对其造成直接损失,所以宁愿将资源投入到销售和营销活动中。但在攻击者眼中,中小企业的银行账户、客户数据和知识产权等信息都是非常具有价值和诱惑力的。
一.中小企业面临的常见安全威胁
▪信息泄露
企业或组织内部的服务器上通常存放着经营活动相关的重要信息资料。这些信息资料可能会遭到来自内部网络或外部网络的未经授权的存取或修改行为,从而造成信息泄露,对持有信息资料的组织、企业或个人造成负面影响。
案例:
1.2014年5月13日晚,小米论坛用户数据库疑似泄露。据安全专家分析,此次事件涉及800万使用小米手机、MIUI系统等小米产品的用户。泄露数据包含大量用户资料,可被用来访问小米云服务并获取更多的私密信息,甚至可以取得通讯录、短信、照片、定位、锁定手机及删除信息等权限。
2.2014年12月25日,12306网站的子网站暴露了高危漏洞,造成131653条用户信息被泄露。此次泄露的信息全部含有用户的明文密码,并在互联网上被疯传贩售。随后,中国铁路客户服务中心迅速在其官方网站发布公告确认了用户信息泄露事件。
▪高级持续性威胁(Advanced Persistent Threat,APT)攻击
高级持续性威胁攻击是一种针对特定组织的多方位攻击行为。攻击者往往以超过目标防护能力并具有复杂和多样性的手段,针对单一企业或组织进行长期、持续的定制化攻击。APT攻击的目标通常是高价值的企业、政府机构,其目的是窃取商业机密,破坏竞争。任何规模的企业组织,只要员工可以访问网站,使用电子邮件,传输文件等,就有可能受到APT攻击。APT攻击的典型案例有火焰病毒、震网病毒,以及暴雷漏洞等。来自Verizon的报告显示,2014年全球有接近8万家企业受到过APT攻击,其中有2122家企业公开确认信息被窃取,蒙受了巨大的财产和品牌损失。
案例:
2013 年 12 月底,一起针对国内政府机构的APT攻击被成功捕获。当时攻击者向国内政府机构的办公人员发送钓鱼邮件,企图利用 WPS2012/2013 版本的零日漏洞侵入政府办公人员的电脑。攻击者将邮件主题写为“2014 年中国经济形势解析高层报告组委会”,如果政府工作人员用 WPS 打开附件文档,电脑就会被病毒感染。
▪拒绝服务及分布式拒绝服务(DoS/DDoS)攻击
拒绝服务(DoS)攻击是一种简单有效并且具有很大危害性的攻击方法,可以消耗网络带宽和系统资源,使系统的正常服务陷入瘫痪状态,从而拒绝正常用户的访问请求。而分布式拒绝服务(DDoS)攻击是基于DoS攻击的一种特殊攻击形式。攻击者通常会组织多台受控制的主机一起向目标主机发起大规模的DoS攻击,占用或耗光目标主机的资源或服务,降低系统的可用性,导致正常用户无法使用系统所提供的服务。
案例:
1.2014年1月23日,阿里巴巴的来往服务器连续遭受了两波DDoS攻击,部分用户短时间内出现访问速度变慢甚至无法连接的问题。
2.2014年11月28日,CSDN网站因遭受网络攻击导致用户无法正常登录或访问。经排查,此次攻击属于DDoS攻击,攻击流量曾一度达到50G以上。
▪恶意程序
恶意程序通常是指具有攻击意图的一段程序。恶意程序可以分成两种类别:需要宿主程序的恶意程序和可独立运行的恶意程序。前者是不能独立于某个实际的应用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的独立程序。恶意程序的典型代表包括计算机病毒、蠕虫、木马、间谍程序以及广告程序等。其造成的影响包括破坏系统正常运作、修改或破坏系统文件、复制或删除文件、使系统宕机、窜改文档资料、监控主机活动等。
案例:
2015年6月,根据赛迪网报道,近期在互联网上出现了被称为Grabit的针对企业的最新网络间谍攻击行动。攻击造成大量中小型企业约10,000份文件被盗,这些企业主要位于泰国、印度和美国。受攻击的行业包括化工行业、纳米技术行业、教育业、农业、媒体以及建筑业等。其他受影响的国家还包括阿拉伯联合酋长国、德国、以色列、加拿大、法国、奥地利、斯里兰卡、智利和比利时。攻击者使用Hawkeye Products公司出品的一款商业间谍工具——HawkEye键盘记录器和一个包含大量远程管理工具(RAT)的配置模块控制受害者。Grabit的攻击规模较大,仅需命令和控制服务器中的一个键盘记录器,攻击者就可以从4928台不同的内部和外部主机中窃取2887个密码、1053封电子邮件和3023个用户名信息,包括Outlook、Facebook、Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服务以及银行账户和其他账号。
▪社交工程攻击
案例:
社交工程攻击一般会通过交谈、欺骗、假冒或口语用字等方式,使用户疏于防范,掉入陷阱,暴露用户系统的秘密。对于企业级用户来说,攻击者会直接从核心员工那里套取机密信息,如用户名密码、商业战略和研发机密等。网络钓鱼和电信诈骗是最常见的社交工程攻击形式。如今,网络钓鱼不再是简简单单地发送钓鱼邮件,还可以通过恶意的网络广告、即时通讯软件、社交网站等渠道进行。电信诈骗也不再限于话费欠费等内容的垃圾短信,那些盗取即时通信工具账号,假冒他人身份,针对企业法人和财务人员的诈骗犯罪也在呈高发态势。
据河北省公安厅透露,2014年以来,一个诈骗犯罪团伙将目标转向了各企事业单位法定代表人和财务人员。犯罪嫌疑人通过搜索财务人员QQ群,以“会计资格考试大纲文件”等为诱饵发送木马病毒,盗取财务人员使用的QQ号码,并分析出财务人员主管的QQ号码,再冒充公司主管向财务人员发送转账汇款指令。2014年6月3日,河北一家公司会计接到假冒财务总监的QQ信息,要求其往一个银行账户汇款118万元。在没有仔细分辨的情况下,该会计于当日将款项汇入该账户。汇款完毕,会计电话回复领导才发现,财务总监根本没有发出任何指令。
▪入侵Web网站
针对Web网站的入侵行为包括在Web页面内植入恶意程序、瘫痪网站使其无法正常运作、篡改网站主页,或者将网站首页重定向至特定页面等。这些行为背后不乏恶意竞争和故意破坏等因素。有调查资料表明,在被入侵的Web网站中,中小型企业官网占了40.7%,已近半数之多。除此之外,地方社区网站、科技媒体网站、高校官网、事业单位网站分别占了总量的24.4%、10.6%、7.3%、4.9%,其他类型网站共占12.1%。
案例:
1.一个号称来自阿尔巴尼亚的黑客组织“Barbaros-DZ”从2012年7月份开始,不断对中国政府网站进行攻击,到2013年1月份已经有接近4000个中国政府网站被其入侵,并被篡改了主页,其中不乏中央委员会、中国秘书处等站点。遭遇Barbaros-DZ攻击的网站首页被直接篡改,部分网站还被获取了后台权限,攻击者利用后台功能在网站中添加了一些挑衅的记录。此外,攻击者还在个别网站的账号公开信息部分中加入了挑衅中国政府的语句。
2.2015年2月26日凌晨,联想官网遭到攻击,页面被劫持,并不断播放人物照片。据分析,劫持联想官网的攻击者可能来自Lizard Squad,攻击者劫持了lenovo.com域名,将其从新指向到自己控制的服务器。
▪账号盗用
账号盗用指攻击者通过如恶意程序、社交工程、网站系统漏洞等方式,取得目标对象的帐号密码。
案例:
2012年7月,温州某眼镜企业的邮箱账号被盗,导致客户信息与来往信件全部被黑客截获。黑客趁机注册“钓鱼邮箱”,告知海外客户收款方式变更,导致该眼镜企业损失了13万美元的货款。
二.为中小企业构建全面的安全防护体系
面对上述种种安全威胁,中小企业如何采取安全防护对策呢?网络安全防护不单单是在安全产品和技术方面需要考量的事情,而应当从安全产品、安全管理和人员培训等多方面综合构建全面的安全防护体系。
▪选择适合的网络安全产品
由于资源有限,中小企业在选购安全产品时往往更加关注产品的性价比,既有多样化的安全需求和产品性能要求,同时又对价格敏感。由此,首先应当从分析中小企业的网络环境、业务类型入手,确定安全防护需求,进而选取恰当的安全产品。
与大型企业相比,中小企业的网络拓扑通常比较简单,主要是局域网与外网连接,部分用户开始有智能移动终端的无线接入需求,并且已经或正准备部署信息管理系统,如 ERP 、CRM 、SCM等。虽然网络拓扑和业务类型相对简单,但是中小企业对病毒防护、漏洞管理、资产管理、行为审计等网络安全管理功能需求较为全面。
要满足此类需求,企业通常需要部署一整套由硬件防火墙、入侵防御、网络审计、防病毒等组件构成的网络安全解决方案。利用架设在网络出口位置的安全产品,在安全威胁闯入内部网络之前就将其拦截住,这是更加有效的方法。传统的机架式硬件防火墙产品融合了众多安全功能,性能优异。但此类产品不但价格昂贵,在管理维护上还会对带宽较低、网络结构相对简单的中小型企业办公系统带来较大负担。
对于中小企业来说,选择一款功能全面、易于部署和管理的统一安全网关产品,不但可以在第一时间内对各类流量进行扫描过滤,同时也可以大大减轻网络内部服务器和主机的负荷。目前,针对中小企业量身定做的桌面型统一安全网关已经成为一个最佳选择。主流的网络安全厂商也在纷纷推出这种类型的安全产品。比如,东软网络安全最新发布的一款拥有自主知识产权的桌面型统一安全网关产品——NISG5K-SG600,可以广泛适用于企业办公室、医院、药房、零售网点、生产厂房、仓库、金融/教育/政府部门的分支机构等网络环境。该款产品具备有线、无线(WiFi和3G/4G接入)统一的安全防护能力,融合了防火墙、VPN、应用控制、入侵防御系统、防病毒、防垃圾邮件等安全功能,可用于防止信息泄露,对已知及未知威胁的入侵攻击进行有效防御,实施基于应用的访问控制和上网行为管理,为中小企业业务的正常进行和使用提供可信的安全保障。
▪建立完善的网络安全管理制度,有效实施日常安全管理活动
一般情况下,大型企业相对于中小企业具有更加完善的安全体系架构和更健全的组织结构,在网络安全管理方面做的比较完善。而中小企业人力资源紧张,职责重叠交叉,网络安全管理制度不健全的现象普遍存在,日常安全管理的随意性较大,极易出现责权不明、管理混乱等问题。
只有建立完善、可操作性强的安全管理制度,才能预防可能出现的安全问题,确保在出现问题时能及时进行处理,封堵已经出现的漏洞,从而确保今后类似问题不再重复出现。在制定安全管理制度时,需要明确网络安全管理人员在工作中所承担的职责,在设备管理上要责任到人,实行谁主管、谁负责的原则。在系统使用上,必须明确操作人员的权限,不可赋予网络安全管理人员工作需要以外的额外权限,合理划分各部门安全职责,确定配置人员角色。正确执行这些措施,可以在很大程度上降低安全管理出现纰漏的概率。
对于网络安全产品的日常管理来说,考虑到中小企业用户在网络知识,特别是网络安全知识上的不足,产品的可维护性和易用性需要尽量做到简便高效。以东软桌面型统一安全网关NISG5K-SG600举例,它的配置向导功能提供了简单易用的配置逻辑,可以辅助用户快速配置常用的网络和安全功能,即便仅具有基本网络知识的用户也能够快速上手。此外,在日常使用的过程中,可以通过直观的Dashboard,对系统进行实时监控,动态过滤出重要的系统信息。
▪组织和落实网络安全培训,深化全员网络安全意识和安全防护技能
网络安全意识淡薄是网络安全事件多发的关键因素之一。缺乏安全防护意识,轻信网上虚假信息、轻率打开不明邮件、随意访问不良网站、设置过于简单的登录密码等做法,常常会引发信息泄露、恶意程序攻击、网络诈骗等安全问题,严重侵害中小企业的信息资产安全。
网络安全“三分靠技术,七分靠管理”,安全管理是企业网络安全的核心,而安全管理的重点归根结底则是人的管理,应当把深化中小企业用户的网络安全意识放在重要地位。普及网络安全基础知识,提升用户的网络安全技能是维护网络安全的第一道防线。为此,需要对中小企业用户进行定期的网络安全技能培训,改善整体操作水平和业务素质。随着用户安全维护能力的提高,网络的安全性也将随之提高。
目前,中小企业已占国内企业总数的99%以上,创造了中国国内生产总值的60%以上份额。随着越来越多的中小企业投身网络化,面临的安全威胁也在持续加大。因此,对于网络安全问题和隐患,中小企业的管理者需要引起足够重视。长远来看,只有运用综合手段,从安全产品、安全管理和人员培训等多方面去构建安全防护体系,才能真正保护好中小企业重要的信息资产和网络安全。