当我们面对网络安全时,当我们遇到很多单位时,自然会发现很多人的安全意识有高有低。这些认知偏执最终形成了一种安全认知误区。然而,这些安全认知误区是全球普遍存在的问题。美国有,英国有,中国有。本次参考英国安保公司总结,修改如下。希望我国企事业单位网络安全领导和运维人员查漏补缺,加强自身网络安全防护。误区一:我们不是目标;我们太小和/或没有有价值的资产许多网络攻击受害者认为他们太小,对他们的领域没有兴趣或缺乏可能吸引黑客的有利可图的资产。事实上,规模并不重要:如果您拥有数据处理能力和数据存在,那么您的组织就是目标。大多数攻击不是由先进的民族国家攻击者实施的,而是由寻找容易猎物的机会主义者实施的,即具有安全漏洞或配置错误的组织,黑客可以轻易利用这些组织。如果您具有安全意识并且不认为您的组织是黑客的目标,更不用说能够主动查找网络上的可疑??活动,那么您就错过了发现攻击早期迹象的黄金机会。例如,域控制器上存在Mimikatz(一种允许用户查看和保存身份验证凭据的开源应用程序)。误区2:我们不需要高级安全性一些IT团队仍然认为端点安全软件无法阻止威胁,他们不需要端点保护来确保服务器安全。黑客很乐意充分利用这些假设。将服务器配置、修补或保护中的任何错误作为主要目标。试图绕过或禁用端点软件并避免被IT安全团队检测到的攻击技术正在兴起。其中包括利用社会工程和多个漏洞的攻击;大量压缩和混淆的恶意代码直接注入内存;“无文件”恶意软件攻击,例如反射DLL(动态链接库)加载;使用合法的远程访问代理(例如CobaltStrike)并利用日常IT管理工具和技术。基本的防病毒技术将难以检测和阻止此类活动。同样,端点保护可以防止入侵者攻击未受保护的服务器的单一假设是错误的。服务器现在是头号目标,攻击者可以使用窃取的访问凭证轻松找到它们。大多数攻击者还知道如何绕过Linux机器。事实上,攻击者经常破坏Linux机器并在其中安装后门,将它们用作避风港并保持对目标网络的持续访问。如果组织依赖基本安全而没有更先进的集成工具,例如行为和基于AI的检测以及24/7以人为主导的安全运营中心,那么入侵者迟早会找到绕过防御的方法。请记住:虽然预防是理想的,但检测是必须的。误区三:我们的安全策略非常健全为应用程序和用户制定安全策略非常重要。随着新特性和功能的添加以及更多设备连接到网络,需要不断检查和更新设备。使用渗透测试、桌面练习和灾难恢复计划试运行等技术验证和测试策略。误区四:RDP协议服务器修改端口引入多因素认证(MFA)来规避攻击。RDP服务使用的标准端口是3389,所以大多数攻击者会扫描这个端口来寻找开放的远程访问服务器。更改端口本身提供很少或没有保护,并且扫描将识别在任何端口上打开的服务,无论它们在哪个端口上。虽然引入多因素身份验证很重要,但除非对所有人和设备强制执行该策略,否则它不会增强安全性。RDP活动应在虚拟专用网络(VPN)的保护范围内进行,但如果攻击者已经在网络中站稳脚跟,即使这样也无法完全保护组织的网络。理想情况下,除非必要,否则应限制或禁止在内部和外部使用RDP。误区5:阻止来自高风险区域的IP地址可以防止来自这些区域的攻击。阻止来自特定区域的IP感觉就像您可以避免造成任何伤害,这可能是一种虚假的安全感。攻击者可以在许多国家托管他们的恶意基础设施,包括被攻击的国家也可能设立托管他们的恶意基础设施。误区6:备份可防止勒索软件保持文档的最新备份对业务至关重要。但是,如果备份连接到网络,它也在攻击者的范围内,并且容易在勒索软件攻击中被加密、删除或禁用。限制可以访问备份的人数可能不会显着提高安全性,因为攻击者会花时间在网络上搜索这些人及其访问凭据。您还需要注意在云中存储备份。美国安全厂商举了一个例子:攻击者通过被黑的IT管理员账户向云服务提供商发送邮件,要求他们删除所有备份,提供商同意了。勒索软件攻击后恢复数据和系统安全备份的标准公式是3:2:1:使用两个不同的系统保留所有内容的三份副本,其中一个处于脱机状态。最后一点:离线备份不会保护信息免受基于勒索软件的攻击,这是一种新的发展,黑客窃取并威胁发布数据,而不仅仅是加密数据。误区7:员工明白安全网络钓鱼电子邮件等社会工程策略正变得越来越难以发现。网络钓鱼电子邮件消息通常是手工制作的、书写准确、具有说服力和针对性。员工需要知道如何发现可疑电子邮件以及收到这些电子邮件时该怎么做。他们应该能够知道通知谁,以便其他员工保持警惕。误区八:紧急响应团队可以在勒索软件攻击后恢复数据除了支付赎金之外没有任何恢复,应急响应小组也无能为力。误区9:支付赎金会在勒索软件攻击后取回数据根据2021年勒索软件状况调查,支付赎金的组织平均恢复了大约三分之二(65%)的数据,只有8%恢复了所有数据在他们的数据中,29%的恢复时间不到一半。支付赎金也不是最好的解决办法。虽然在大多数情况下恢复数据只是恢复过程的一部分,但勒索软件会完全禁用计算机并需要从头开始重新安装软件和系统才能恢复数据。2021年的调查发现,平均恢复成本是赎金需求的十倍。误区#10:勒索软件的发布是一次性攻击在发布勒索软件之前,探索、禁用或删除备份、查找具有高价值信息的机器或应用程序以加密、删除信息并安装额外的有效负载(例如后门),攻击者可能已经在网络上呆了几天甚至几周,在受害者的网络上保持存在允许攻击者在需要时发起第二次攻击。本文根据英国安全公司Sophos的文章整理,部分内容已被删除
