一.应用安全风险
应用安全风险是指信息系统在应用层面存在脆弱性进而受到内外部威胁影响的可能性。
应用安全风险主要包括:病毒蠕虫、木马、口令猜测及暴力破解、拒绝服务攻击、SQL 注入、跨站脚本(XSS)、注入、图片嵌入恶意代码、本地/远程文件包含、任意代码执行、远程命令执行、请求伪造、任意文件上传下载、任意目录遍历、源代码泄露、调测信息泄露、JSON挟持、第三方组件漏洞攻击、溢出攻击、变量覆盖、网络监听、会话标志攻击、越权和非授权访问、反序列化、APT攻击等。研究表明,大多数的安全漏洞来自于软件自身,并且已经超过网络、操作系统的漏洞数量。
二.数据安全风险
风险是指信息系统在数据层面存在脆弱性进而受到内外部威胁影响的可能性。
最主要的数据安全风险是数据或信息被非授权访问、泄露、修改或删除,具体又可以分为管理风险和技术风险。其中,管理风险主要涉及人员的因素包括:操作失误、故意泄露、人为破坏等;技术层面主要面临:病毒蠕虫、木马、任意文件上传下载、目录遍历、源代码泄露、调测信息泄露、数据库条目暴露、JSON挟持、网络监听、未授权访问以及APT攻击等可能导致数据泄露、篡改或破坏的风险。
近年来,针对的攻击事件日益增多,现象频发,归纳起来,受到的常见威胁大致包括:误操作、错误的安全配置、内部人员泄密、未及时修复的、高级持续威胁(APT)等。
三.身份与访问管理
1.什么是身份访问管理
身份和访问管理(IAM)可能是最重要的 IT 功能,确保用户能够访问工作所需的资源、用户账号安全和他们访问的企业数字资产的安全。
2.存在的潜在风险
在部署完善的 IAM 框架下,普通员工无法访问企业的财务记录,但 CFO 可以。如果 IAM 部署不完善,可能会对公司来造成灾难性后果,而危害程度取决于身份的访问权限。在今天日益混杂的办公环境中,妥善实施身份和访问管理已成为 IT 部门的头等大事。
其次,管理员通常根据用户问类似资源的需要,使用RBAC方法将多个用户绑定到用户组。虽然使用访问组可以减少需要创建和维护的访问策略的数量,但是许多企业将太多的用户集中在一个组中,导致一些用户被授予对他们不需要的应用程序和服务的访问权限。
3.第三方安全
①什么是第三方?
第三方是与企业合作的任何实体。包括供应商、制造商、服务提供商、业务合作伙伴、附属公司、分销商、经销商和代理商。这些第三方企业可以是上游(供应商和供应商)和下游(分销商和经销商)。
②为什么第三方风险管理很重要?
第三方风险管理十分关键,因为使用第三方会直接或间接影响企业的网络安全。第三方增加了信息安全的复杂性,原因如下:
- 第三方通常不受企业的控制,无法完全了解他们的安全控制情况。一些供应商拥有强大的安全标准和良好的风险管理实践,但还有一些供应商的安全策略并不周密和完善。
- 每个第三方都是数据泄露或网络攻击的潜在攻击媒介。如果供应商具有易受攻击的攻击面,企业使用的此类供应商越多,攻击面就越大,可能面临的潜在漏洞就越多。
- 数据保护和数据泄露提示(Data breach notification)等相关法律的引入极大地提高了第三方风险管理计划的影响。如果由于第三方导致信息泄露,企业同样也要面临处罚和监管罚款。
③第三方会带来哪些风险?
企业在与第三方合作时面临许多潜在风险:
网络安全风险:网络攻击、安全漏洞或其他安全事件导致的信息泄露或经济损失。因此企业需要通过在引入供应商之前的尽职调查过程,以及在整个供应商生命周期中的持续监控来降低风险。
运营风险:第三方可能造成业务运营中断的风险。这需要通过受合同约束的服务级别协议 (Service Level Agreements, SLAs) 以及业务连续性和事件响应计划来管理。根据供应商的重要性,企业可以多选择几家供应商以备用(这种做法在金融服务行业常见)。
法律、监管和合规风险:第三方可能产生法律、法规或协议的风险。这对于金融服务、医疗保健和政府组织及其业务合作伙伴尤为重要。
声誉风险:因第三方而产生负面舆论的风险。由于第三方所提供的服务所产生的不良评价会给企业形象和声誉带来负面影响。
战略风险:企业可能因第三方供应商而无法实现其业务目标。
4.安全意识
1) 刷单返利类网络诈骗:通过QQ群、微信、短视频平台以及论坛等渠道发布网络刷新兼职广告,并承诺在交易后立即返还本金并获得高额佣金奖励。加好友后,先派发小额刷单任务,并按约返还本金及佣金,待受害人降低戒心后以方便操作为由诱导下载刷单诈骗APP。受害人下载并登录APP后,会有接待员主动联系,并介绍操作流程,派发刷单任务。待受害人完成大额刷单任务后,骗子以系统问题、网络问题等理由拒不返款,拉黑受害人
网络杀猪盘:1. 寻猪:骗子伪装成功人士利用社交软件、婚恋网站等寻觅物色诈骗对象,通过网聊交友,赠送礼物等,取得信任,确定婚恋关系;2. 诱猪:骗子推荐赌博、投资类网站或APP,谎称掌握内部消息、有专业导师团队等诱导受害人投资;3.养猪:当受害人少量投资获得高回报率后,产生贪婪欲望,不断加大投资;4. 杀猪:在受害人投入大额资金后,关闭网站,拉黑受害人。
此外还有网络贷款诈骗、虚假购物、冒充“公检法”、网游交易等。
5. 其他网络风险
①弱口令:所谓弱口令就是容易被猜测或重复的口令,弱口令会对信息安全造成严重安全隐患。不要令测试账户拥有的口令强度弱且没有几乎没有有效监控。由于弱口令引发的网络安全事件不胜枚举,就在我们身边也是时常发生的。很多人,可能为了懒省事或方便自己,最终也方便了黑客。
注意:不要在系统或互联网站点,使用重复相同的安全口令。
②软件补丁更新:软件补丁更新,是提升网络安全的一种有效方式之一。因为存在漏洞,当然补丁修补后会解决发现相应的漏洞。修补漏洞原则上也是减少信息系统攻击面。没有打过安全补丁、过时的、有漏洞的或仍处于默认配置状态的软件,会为信息系统带来严重风险。大多数漏洞都可以通过及时打上安全补丁和测试予以避免。
③远程访问点:无安全措施或无监控的远程访问点,等于为企业网络被随意访问打开了一条“捷径”。有时,最大的隐患是公司前雇员的账号没有关闭。也就是内部人员转变成外部人员过程中,授权没有及时收回,可能为系统带来严重风险。
④信息泄漏:信息泄漏使攻击者可以了解有关操作系统和应用程序的版本、用户、组、共享以及DNS的信息。使用诸如百度、谷歌、Facebook、校园网、QQ、微信诸如此类工具,可以为攻击者提供巨量的信息。
⑤非必要的服务:运行不必要的服务(诸如:FTP、DNS、RPC等)的主机,为攻击者提供了更大的攻击面。非必要的服务或软件,是我们在测评中强调的安全风险,我们在测评中会访谈形式先问一下,然后再上机进行验证是否存在非必要多余的服务或安装了非必须的软件。
⑥配置不当的防火墙:防火墙规则可能变得非常复杂,或许可能引发彼此互相冲突。常常增加的测试规则,或紧急情况时打上的补丁后来忘记删除,从而防火墙规则可能允许攻击者访问DMZ或内部网络。一个正确合理的配置策略,是有利于保护网络的。反之,则对网络是巨大的风险。
⑦配置不当的互联网服务器:互联网服务器配置不当,尤其是跨站脚本和SQL注入漏洞的网页服务器,更可能严重损害内部整个网络安全。配置不当的安全事件,我们时常可以在网上看到,诸如亚马逊云服务经常配置错误,发生数据泄露。
⑧不充分的日志记录:由于互联网网关及主机的监控不足,攻击者有机会在你的网络环境中肆意妄为。所以必须考虑监控外流的通信流量,以便检测出网络中是否潜伏有高级和持久的“破坏者”(黑客)。很多单位设备的日志是默认状态,但是很多默认状态属于未开启,则日志记录可能只存在极少的默认信息,是不能满足日志留存要求的。特别,我们《网络安全法》找到需要留存不低于六个月的法条,也就伴随着直接的合规风险。
⑨过度宽松的文件和目录访问控制:Windows和UNIX内部的文件共享只有少量或者几乎没有访问控制,这样就让攻击者可以在网络中自由地导出乱窜,悄悄偷走最敏感的数据。所谓攻不进、拿不走、看不懂是安全防护的三个层级,然而有时过于宽松的访问控制导致你不知道他何时拿走了数据。
⑩缺乏记录成册的安全策略:任意的或未记录成册的安全控制使得在系统或网络中执行不一致的安全标准,必然导致系统被攻破。这个则属于网络安全管理层面的东西了,人防则更多的需要考虑管理制度体系以及总体安全策略甚至安全操作规程的制定等等。
?