Akamai对于企业遭受网络攻击的分析
Akamai大中华区产品市场经理刘炅表示:
搜狐全体员工遭遇工资补助诈骗,这个事件最主要的根源在于“为什么会有一个内部邮件帐号会被去盗用?”,当然现在我们也无从得知。因为从攻击的手段来讲,邮件账户被盗可能有很多种渠道,涉及到的手段也比较多。因此可能的原因很多,例如:
- 有些内部的员工访问一些恶意网站,“恶意网站”有些是有恶意代码;
- 再有就是一些“钓鱼网站”,引诱内部员工登录,然后员工信息就会泄漏出去
- 另外,就是现在大家都是远程办公、企业安全屏障或者企业安全边界其实也消失了,所以导致有些用户;包括生产用的帐号很容易在公网上会被访问。包括企业自身的邮件服务器。
由于这次事件涉及的是内网邮件,内网邮件服务器也许是有两套系统或者两套地址的:一套可能是你可以从公网访问、收发邮件;另一套可能就是内网的地址接收邮件或者是收发邮件。你的员工远程连接你的邮件服务器,通过什么样的方式?这个方式是不是都是安全的?我觉得这个也是属于相当于企业内的应用服务暴露在互联网上以后是否会被攻击者所利用的一些情况。
企业如何提前防御及解决类似的安全问题?
Akamai大中华区产品市场经理刘炅表示:总体来说,它的这种安全威胁还是聚焦在企业安全的范畴之内。对于这种安全问题,其实也有一些解决的方法。
- 首先,这里最主要的一个问题就是“员工安全意识”的问题。因为它是很好的隐蔽了自己,攻击者使用了内网来发邮件,这有可能就会麻痹员工。但是其实当员工去提供自己的银行卡号和提款密码的时候,我认为这就要谨慎了,实际上员工还是安全意识不足。从受害者的角度来讲:其实员工是需要有改进的地方。
- 除了“安全意识”需要提升以外,我们还需要“攻防演练”,譬如在什么样的Web环境下采用哪些防护措施,这其实也是事先防护的一种手段。
此外,当企业的内网从外围可以去访问的时候,我们还需要注重一些问题:首先,进出企业网络的数据流量都应该去监测,或者要去分析。这个对于后期的取证审计有很大的作用。比如:这个攻击的事件,现在去溯源看看能否溯到这个源,看看哪台设备被入侵,通过什么样的手段。这个是否有后续的方法去检查?像一些文档上传或者下载是否有监控?当文档在企业内网传播时,这都是需要我们有防护手段或者技术的。
说到“安全问题”,它的方方面面也很多。包括:黑客为什么能够抓住你的这个漏洞,是不是你本身系统里面或者应用里面有一些漏洞?比如:“零日漏洞(Zero-Day)”(又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。即:安全不定与瑕疵曝光的同一日内,相关的恶意程序就出现。)系统漏洞是不是已经被黑客所利用了?其实这些都是一些可以被利用的环节。
当下,中国的居家办公的企业逐渐增多,网络攻击会呈现上升的态势
从2020年新冠刚开始,Akamai其实也做过一些分析和监测。包括:远程办公所带来的安全风险问题,正常互联网流量攀升、以及夹杂在这些流量当中的很多攻击方式,其实是日趋严峻了,而且很多的攻击者其实就是利用“居家办公”这个时间段进行攻击。在这个时间段很多企业没有很好的预案,大家都远程办公以后,企业如何保证自己的应用的远程访问安全。包括:这些应用远程访问的能力是否足够等等问题。企业遇到了很大的瓶颈,所以出现了很多的利用远程办公模式的安全威胁。
Akamai的EAA产品(Enterprise Application Access),即:远程应用、远程访问的这么一款产品。其实它就是解决,比如:远程办公的时候访问到企业内部的一些应用的时候,我的“隧道”能不能提供加密隧道,这个隧道的权限是不是最小的化等等。
我们当然现在不得而知它到底是什么样的原因导致了这个安全的问题,但是我们可以想到的就是许多企业其实要加强网络安全性。