云存储对小型企业是否安全?

实用的安全社交技巧

你被黑了:5种方法来减少伤害

BeyondTrust的问答:关于企业安全风险和BeyondTrust的漏洞管理解决方案

网络安全处于不断变化的状态。我们经常听到数据泄露事件导致成千上万的私人记录曝光,公司的声誉和可信度也随之丧失。仅在2017年 – 特别是在今年最后一个季度 – 平均记录了274次漏洞检测,比上一季度增加了82%。

漏洞 – 或系统弱点 – 被网络犯罪分子利用来破坏系统和企业,造成重大损害并产生深远影响。如果世界上最大的公司能够迅速成为网络攻击的牺牲品,小企业是否有希望加强防御?

SourceForge最近与全球网络安全公司BeyondTrust的高级总监Scott Lang进行了交谈,该公司致力于防止特权滥用和阻止组织中的未经授权访问,讨论当今企业面临的最大安全挑战以及企业如何采取更积极主动的态度安全方法。Lang还谈到了BeyondTrust的漏洞管理解决方案,以及它们如何帮助企业快速识别和减轻对用户和资产的威胁。

问:请与我们的读者分享BeyondTrust的简要概述。公司何时成立,您目前服务的行业类型是什么?

答:BeyondTrust的历史可以追溯到1985年Symark的成立,当时它引入了针对Unix和Linux环境的特权命令提升和委派的原始解决方案之一。

今天,BeyondTrust提供了一个完整的特权访问管理(PAM)平台,可以控制和查看所有用户权限和密码。我们的PAM解决方案与众不同,因为它包含来自漏洞管理和威胁与行为分析的内置安全见解,有助于通知权限决策。

全球有超过4,000家客户,并为所有行业(特别是那些拥有最严格的网络安全和合规要求的行业)提供服务,行业分析师认为BeyondTrust是我们市场的领导者。

BeyondTrust的问答:关于企业安全风险和BeyondTrust的漏洞管理解决方案

BeyondTrust高级总监Scott Lang

问:您认为现代企业面临的一些最大的安全挑战是什么?

答:当今现代企业面临的一些最大的安全风险是由非托管用户权限和特权帐户构成的 – 特别是如何在数据泄露中成为目标。

事实上,根据Forrester Research的调查,80%的安全漏洞在某种程度上涉及特权帐户。想想去年刚刚发布的一些最重要的数据泄露事件 – 优步,英国国家健康服务和Swift Networks等品牌。每个人都有他们的特权证书被黑客入侵或被盗,导致重大的声誉和财务损失。

网络攻击链(或杀戮链)是一个常见的参考,用于说明外部驱动的网络攻击所涉及的步骤。根据2018年的Verizon数据违规调查报告,外部攻击约占所有攻击的72%,内部攻击占28%(并且还在增长!)。

根据我们的经验,外部驱动的数据泄露始于攻击者利用资产漏洞或试图通过某种社会工程策略获得立足点,例如网络钓鱼,其目的是获取凭证。为什么会这样?周边的系统容易受到攻击,用户可以拥有太多的权限,使其成为攻击目标。一旦进入网络,攻击者就会劫持特权或利用被盗或弱密码。非托管凭据和过多的权限是这里的罪魁祸首。

一旦攻击者成功成为内部人员,他们就可以利用这些权限和密码横向移动并利用其他资源来实现其最终目标 – 您的数据。并且大多数组织没有可见性来连接过多权限和外围攻击之间的点。

随着企业范围扩展到传统的内部部署系统和内部员工之外,问题变得更加复杂。IT周边由访问组织信息资产的人员,流程和技术组成。对于恶意黑客和内部人员来说,这是组织可能被攻破的攻击面。云和物联网设备提供了新的攻击媒介,像DevOps这样的流程意味着新的应用程序,脚本,僵尸程序和其他技术可能需要自动访问基础设施,以及彼此。

显然,IT如何支持,保护和支持业务的变化同样快速。虽然新的边界正在使业务变得高效灵活,但它也打开了攻击路径。

问:在您看来,组织需要采取哪些最基本的措施来降低安全漏洞风险?

组织可以采取一些基本的措施来减少整体攻击面。这里有五个入门。

  • 不要共享密码,尤其是特权帐户。说到密码,请确保为组织中使用的所有应用程序使用不同的密码,并将它们存储在安全的密码保险箱中,要求您使用安全的工作流程进行检查和检查 – 它提供了问责制!
  • 实施最小特权原则,确保每个人只有最低限度的工作机会,仅此而已。
  • 定期扫描漏洞和补丁系统。
  • 采用适当的网络分段,使第三方(甚至是受信任的人)远离他们不需要访问的区域。
  • 为所有重要文档和数据实施备份和灾难恢复计划。

问:企业如何从被动安全方法转变为对生产力影响最小的主动安全方法?您能否分享一些关于组织实施有效漏洞管理计划所需的技巧?

答:在过去二十年中,管理软件漏洞的基本方法始终如一 – 发现资产,审核漏洞,确定优先级并对其进行修补,并报告进度。

然而,从数据来看,好人和坏人之间的差距继续扩大。漏洞管理挑战变得越来越严峻。我们需要改变游戏。我们必须像黑客一样思考。具有讽刺意味的是,对手多年来一直在使用连接点的概念成功入侵我们的系统。机器人通常不是单独工作,而是作为受感染机器的协调组,每个机器人与命令和控制服务器共享数据并接受命令。SIEM,Privilege,GRC,NGFW以及资产,网络和漏洞管理等系统都可以生成有价值的数据,但通常会相互隔离。

但是,如果您可以将他们的资产,威胁和用户数据连接在一起,将其转换为可操作的情报,然后将其分享回来,以便各种系统采取行动 – 这是一个改变游戏规则的人!这将使您能够:

  • 减少已知漏洞的修复时间。
  • 深入了解新出现的威胁。
  • 使用漏洞智能来通知最小权限访问并提高威胁可见性。
  • 虚拟云和移动技术造成的漏洞。
  • 在威胁被利用之前衡量威胁的影响。

问:请告诉我们您的企业漏洞管理解决方案的更多信息 Retina CS如何帮助企业应对其漏洞管理挑战?

BeyondTrust的问答:关于企业安全风险和BeyondTrust的漏洞管理解决方案答:Retina CS是唯一一个从头开始设计的漏洞管理软件解决方案,可为组织提供上下文感知漏洞评估和风险分析。

Retina的结果导向架构与用户协同工作,主动识别安全风险,分析业务影响,并在不同的异构基础架构上规划和执行补救。全球数以千计的客户每天都依赖Retina来:

  • 通过精确定位哪些资产和用户构成最大威胁来确定已知漏洞的优先级。
  • 通过使客户能够更快地响应已知和新出现的威胁,缩短补救时间。
  • 通过揭示高风险资产和异常行为,将视线扩展为新兴威胁,孤立地看待这些行为可能会在雷达之下滑落,但是当它们相互关联时会产生大麻烦。
  • 通过与“安全村”中的每个解决方案共享规范化的安全情报,最大限度地提高现有安全投资的价值,从而做出更明智的安全决策。

问:是什么让Retina在市场上脱颖而出?

答:Retina CS与市场上其他竞争解决方案的三大区别包括:

  • 报告:组织继续寻找更有效的方法来有效识别已知风险并确定其优先级。他们不只是寻找更多数据,而是将风险信息放在他们的商业环境中。公司对报告/仪表板的反应非常积极,这些报告/仪表板可以确定他们应该关注哪些漏洞以及原因。
  • 基于代理的扫描:云和虚拟环境的广泛采用,不断增长的移动员工队伍以及与特权帐户相关的高安全风险,为传统的基于网络的漏洞扫描带来了一些难题。基于主机的扫描通过枚举瞬态系统并执行快速且经过身份验证的扫描来消除这些不断变化的因素所造成的安全漏洞,而无需共享高权限帐户或创建新的帐户进行扫描。
  • 集成:随着越来越多的数据消化和熟练的网络安全专业人员的严重短缺,有效地检测和修复风险需要IT和安全系统轻松共享应用程序,资产,威胁和用户数据,以便他们可以同步他们的智能并提出协调防御。公司一再表示,他们希望能够更快地“响应”已知和新兴威胁。将IT和安全系统紧密集成在一起将使他们能够做到这一点。

问:展望未来,您在漏洞管理领域看到的一些趋势和技术是什么?BeyondTrust如何满足这些需求?

答:最突出的是扩展的IT边界如何改变漏洞状况。例如,云,移动和物联网端点的增长意味着漏洞扫描程序必须在这些平台上提供洞察力。与DevOps流程以及Docker等虚拟化或容器化技术的一致增长相同。

漏洞管理系统可以通过扫描容器实例和库,离线图像扫描,映像完整性跟踪等来实现这些技术和流程的安全采用,提供跨物理,虚拟和云的基础架构和代码/构建的持续漏洞评估和补救指导环境。

由于大多数漏洞扫描程序还提供配置合规性,因此它们还可以根据行业配置指南和FDCC,NIST,STIGS,USGCB,CIS,Microsoft和其他服务器以及物理代码/构建中的其他行业配置指南和最佳实践执行连续配置和基线扫描。虚拟和云部署的资产。

问:BeyondTrust最近被命名为Forrester Wave的领导者:漏洞风险管理,2018年第一季度。这种区别对公司意味着什么?BeyondTrust的未来是什么?您正在酿造的任何新产品或解决方案?

答:BeyondTrust实际上是两个Forrester Wave报告的领导者 – 漏洞风险管理报告和特权身份管理报告。这对BeyondTrust来说是一个巨大的区别。如果你看看Forrester Wave给予BeyondTrust最高得分,那就是端点代理集成,总体拥有成本和产品路线图。。

我们的客户应该确信他们选择了一个能够为价格提供巨大价值的解决方案,并且拥有一个强大,完善且前瞻性的路线图,以满足未来的漏洞和风险管理需求。由于我们的PowerBroker解决方案利用Retina作为我们威胁分析功能的基础,并且由于Retina通过专利集成为PowerBroker授予权限管理决策,因此PowerBroker客户也从中受益。

通过集成和丰富的路线图(包括与第三方系统的多个连接器),BeyondTrust为全面的特权威胁分析设定了标准。

关于BeyondTrust

BeyondTrust是领先的网络安全公司,致力于帮助组织防止因特权滥用而导致的网络攻击和未经授权的数据访问。BeyondTrust提供一系列解决方案,使企业能够自信地降低风险,并通过控制来采取主动,明智的行动来应对数据泄露威胁。该公司被Forrester Wave公认为漏洞风险管理和特权身份管理的领导者。全球超过4,000家客户(包括财富100强中的一半)依赖BeyondTrust的安全解决方案。

上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

随着GDPR的实行,使不少互联网产品商和服务商不得将数据收集和使用透明化,这给不少产品开发商带来了阵痛,上有政策,下有对策,挪威消费者委员会发现Facebook和谷歌竟自己偷偷打了“麻药”。

上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

据挪威消费者委员会(后文简称“委员会”)报告,Facebook和谷歌正在开发“黑暗模式”(黑暗模式是指通过精心设计具有诱导性的界面,可能会引导用户做出有悖真实想法的选择),促使用户同意分享更多数据。

上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

“如果在这种情况下的‘同意’是明确的、知情的和自由的,我们怀疑这是否符合默认数据保护和设计数据保护的原则。”

根据GDPR法则,欧盟公民必须保留知道正在处理他们数据的权利以及获取数据的权利。GDPR要求任何在欧盟开展业务的公司与人进行交互并处理数据,以获得用户对其数据的每种可能用途的明确同意。虽然Facebook和Google已经遵守GDPR法律,要求他们告知最终用户数据使用情况和条件,但他们也正在采取措施影响用户分享更多数据的同时而不触犯规定。委员会指出,“措施多种多样,例如通过混淆产品的全部价格,使用带有歧义的文字表达,或者调整用户习惯的功能按钮位置。”

委员会在4月和5月体验并核查了Facebook和谷歌的服务,发现Facebook和谷歌通过默认设置、措辞和图片来误导消费者对数据隐私的误解,使消费者的隐私选项缺乏便利度。

其中突出问题是默认设置,相比提供服务,GDPR要求默认设置不允许更多的数据收集。委员会认为在GDPR规则范围内,Facebook和谷歌查看数据的设置并非默认私人化。

无论是Facebook还是谷歌,用户必须主动访问网页或隐私信息中心,才能根据来自第三方的数据关闭广告。尽管Facebook和谷歌都有默认设置,这些默认设置已经预先选定至“最不需要隐私保护的程度”。

上有政策,下有对策:Facebook和谷歌这样规避GDPR准则

所有的服务都通过定位和视觉提示的结合来推动用户接受数据收集。然而,从长远看Facebook和谷歌却需要大量的步骤来限制数据收集。委员会表示,两家公司在研究GDPR的数据隐私政策时,都实施了给用户选择“采用或不采用”的方法。例如,在Facebook的GDPR弹出式页面上,如果用户点击“我接受”的备用框,它会引导他们进行另一种选择 – 表示他们可以返回并接受条款或删除其帐户。与此同时,当用户试图退出谷歌的GDPR弹出窗口的个性化广告时,他们被告知他们将失去屏蔽或屏蔽某些广告的能力。

WhiteHat Security的安全经理Jeannie Warner对此评论道,“GDPR很重要,因为它赋予公民权利,确保他们的数据可以从公司的系统中删除……开发人员不是隐私律师。他们希望用户不断分享信息。”

目前Facebook暂未回应媒体。谷歌的一位发言人表示:“多年来,我们一直在改进我们的数据控制,以确保人们能够轻松理解和使用他们拥有的工具。”研究社区和用户的反馈,以及大量的用户界面测试,能帮助我们反映用户的隐私偏好。例如,仅在上个月,我们就改进了广告设置和谷歌账户信息和控件。

如今各方对错难以用单一标准衡量,但由问题不难看出GDPR给厂商们带来的挑战并不小,但一刀切是否会带来更多问题呢?普通用户对自己的数据信息用途足够了解吗?如果一味压制,对数据的需求是否会在重压之下催生更肆虐的信息倒卖?撤除限制,公民的权利还是得不到保障,信息安全问题又刻不容缓,数据保护似乎比人们想象中更难。

你需要了解的智能音箱中的6种安全隐患

如果你家里有一台设备,它总是在监听着正在发生的事情,随时准备记录、处理和存储它接收到的任何信息,你会有什么感觉?你可以将它理解为是一种危言耸听的说法,但从本质上讲,它的确是智能音箱具备的功能所能办到的。

你需要了解的智能音箱中的6种安全隐患

智能音箱除了提供音频播放功能之外,也提供了互联网连接功能,通常还提供了数字助理,这极大地扩展了它们的功能。

有了今天的智能音箱,你可以搜索互联网、控制其他家庭自动化设备、在线购物、发送短信、安排闹钟等等。

这种连接性和功能性可能为我们提供了一些方便,但就像智能音箱等任何新的物联网技术一样,安全问题也随之而来。任何时候,只要向网络添加一个节点,就会暴露出更多潜在的漏洞。由于智能家居就目前而言仍然是相对较新的技术,因此它也必然存在漏洞。

尽管智能家居企业一直在尽可能快地修复这些漏洞,并希望确保它们的设备是安全的,但仍然有可能遇到安全问题。以下是你应该注意的6种潜在安全风险:

1. 意料之外的激活

虽然智能音箱始终保持监听状态,因为它们的麦克风一直处于开启状态,但它们不会记录或处理听到的所有内容,除非它们首先检测到其激活短语。对于Google Home,这个短语是“OK,Google”;对于Amazon speaker,请说“Alexa”。

这里有几个问题。首先,这项技术并不不完美,而且很有可能这个设备会把另一个短语错当成激活短语。例如,美国俄勒冈洲的一对夫妇最近就发现,他们的亚马逊Echo智能音箱一直在他们不知情的情况下录制音频。亚马逊将这一错误归咎于在背景对话中“Alexa”的误解,也就是说这对夫妇在日常对话中可能涉及了“Alexa”这个单词。

2. 错误判断语音指令

不幸的是,此类误解可能还超出了激活的范围。这对俄勒冈州夫妇还指出,智能音箱还将录制的音频发送给了他们联系人名单上的随机人员,因为收到录音的人联系了他们。

亚马逊为这部分事件给出了相同的解释。据该公司称,智能音箱错误的将背景谈话视为一系列命令,导致将谈话录音发送给了这对夫妇的联系人。这种情况表明,智能音箱对语音指令的判断技巧可能还达不到正常工作所需要的高度。

3. 不必要的广告互动

除了智能音箱可能会因误解线索并意外唤醒之外,其他人也可以在未经你许可的情况下有目的地主动唤醒它们。一旦他们这样做了,他们就有可能获得一些有关于你的信息。

汉堡王(Burger King)在运行一个广告时体现了这种漏洞,该广告在播放过程中激活了Google Home智能音箱,并促使它们朗读了皇堡(Whopper)的描述。谷歌反应迅速,阻止了设备响应。不过,汉堡王对此进行了反击,他们修改了这则广告,使它再次激活了Google Home智能音箱。

虽然这个恶作剧可能是相对无害的,但足以证明其他人也可能会在未经你许可的情况下激活你的设备。比如,对着你家的大门或敞开的窗户大喊大叫。由于此漏洞,你应该避免使用智能音箱来解锁门窗。当然,最好的主意还是修改你的激活短语。

4. 黑客和恶意软件

到目前为止,大多数关于智能音箱安全问题的报告都围绕着未经授权的访问或功能缺陷展开。这些设备当然也容易受到恶意的黑客攻击。

技术领域的安全专家已经发现了各种敏感漏洞,使制造商能够修复它们。然而,黑客可能会在某个时候先于安全专家发现其中一些漏洞。如果他们这样做了,他们可能就能够访问你的敏感个人信息。

为了避免自己成为黑客事件的受害者,请仅限于使用你信任的公司发布的硬件和软件。另外,请使用安全密码,并经常修改它。

5. 语音黑客

使用智能音箱还可能增加你被语音黑客攻击的可能性,这是身份盗用的一个分支。在这种攻击中,某个人可能会设法获取到你的语音录音,然后用它来访问你的信息。一旦他们有了这个录音,他们就可以用它来欺骗认证系统,认为他们就是你。这是一种绕过智能音箱语音识别功能的潜在方法。

智能音箱提供了一个潜在的音频录音金矿,可以用来进行语音黑客攻击。如果一个不怀好意的人设法侵入了你的音箱,或者存储记录的云服务,他们可以用它来破解你的各种账户。

6. 第三方存储你的数据

一些云服务正在存储这些记录,这一事实可能会让用户感到不舒服。这些录音可能用于个性化你的体验,提高智能助手的有效性,为你提供广告或做一系列其他事情。

幸运的是,如果你可以通过你的帐户设置删除这些数据。此外,倡导人士也在呼吁提高这些公司如何使用客户数据的透明度。

聪明地使用智能音箱

所有的智能技术都会伴随着安全风险。这并不一定意味着我们就不应该使用它们,但这确实意味着我们应该在使用时更加谨慎,并采取适当的安全措施。

如果你是智能音箱的追随者,那么请花时间配置你的安全设置,并仅限于你信任的人进入它们。

什么是DDoS攻击?DDoS防御的11种方针详解

对于遭受DDOS攻击的情况是让人很尴尬的,如果我们有良好的DDoS防御方法,那么很多问题就将迎刃而解,我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢。

什么是DDoS攻击?DDoS防御的11种方针详解

对于DDoS防御的理解:

对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDoS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS攻击。

举个例子:

我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。

很不幸,我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说"赶快上餐"。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅瘫痪了。

这就是 DDoS 攻击,它在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。

DDoS 里面的 DoS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳起来。

DDoS防御的方法:

1. 采用高性能的网络设备

首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

这就是传说中的技术不够,用钱凑。

2. 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。

3. 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。

4. 升级主机服务器硬件

在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。

5. 把网站做成静态页面或者伪静态

大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。

6. 增强操作系统的TCP/IP栈

Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDoS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。

7. 安装专业抗DDOS防火墙

什么是DDoS攻击?DDoS防御的11种方针详解

8. HTTP 请求的拦截

如果恶意请求有特征,对付起来很简单:直接拦截它就行了。

HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。

9. 备份网站

你要有一个备份网站,或者最低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。

备份网站不一定是全功能的,如果能做到全静态浏览,就能满足需求。最低限度应该可以显示公告,告诉用户,网站出了问题,正在全力抢修。

这种临时主页建议放到 Github Pages 或者 Netlify,它们的带宽大,可以应对攻击,而且都支持绑定域名,还能从源码自动构建。

10. 部署CDN

CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。

网站内容存放在源服务器,CDN 上面是内容的缓存。用户只允许访问 CDN,如果内容不在 CDN 上,CDN 再向源服务器发出请求。这样的话,只要 CDN 够大,就可以抵御很大的攻击。不过,这种方法有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛),就要想别的办法,尽量减少用户对动态数据的请求。

各大云服务商提供的高防 IP,背后也是这样做的:网站域名指向高防 IP,它提供一个缓冲层,清洗流量,并对源服务器的内容进行缓存。

这里有一个关键点,一旦上了 CDN,千万不要泄露源服务器的 IP 地址,否则攻击者可以绕过 CDN 直接攻击源服务器,前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址",你就会知道国内的黑产行业有多猖獗。

11. 其他防御措施

以上几条对抗DDoS建议,适合绝大多数拥有自己主机的用户,但假如采取以上措施后仍然不能解决DDoS问题,就有些麻烦了,可能需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抗DDoS攻击能力成倍提高,只要投资足够深入。

如何防御DNS陷阱?常用3种DNS欺骗手法

DNS如何被利用?那么这个系统如何让用户变得脆弱?通常解析器会告诉每个DNS服务器你正在寻找哪个域名。此请求有时会包含您的完整IP地址。或者,如果不是您的完整IP地址,请求中通常会包含您的大部分IP地址,这些IP地址可以轻松地与其他信息结合起来以找出您的身份。

如何防御DNS陷阱?常用3种DNS欺骗手法

以下是防御黑客常用3种DNS欺骗手法:

1. 避免不可靠的解析器

网络可以逃避提供不可靠的解决方案,窃取您的数据或欺骗DNS,因为很少有用户知道风险或如何保护自己。

即使对于了解风险的用户,个人用户也很难与他们的ISP或其他实体进行协商,以确保他们的DNS数据得到负责任的处理。

寻找一个合适的解析器,如果我们有一个可以信赖的解决方案来保护用户的隐私。这意味着Firefox可以忽略网络提供的解析器。安全研究人员表示,有了这个可靠的解析器,我们不必担心流氓解析器出售我们的用户数据或用欺骗性DNS欺骗我们的用户。

如何防御DNS陷阱?常用3种DNS欺骗手法

2. 通过HTTPS使用DNS防止路径上的窃听和篡改

虽然解析器不是唯一的威胁。路径上路由器可以跟踪和欺骗DNS,因为他们可以看到DNS请求和响应的内容。但是互联网已经有了确保路径上路由器不能像这样窃听的技术。这是我之前提到的加密技术。

通过使用HTTPS交换DNS数据包,我们确保没有人能够监视我们用户正在做出的DNS请求。传输尽可能少的数据,以保护用户免受匿名处理。除了提供使用DoH协议进行通信的可信解析器之外,寻找安全DNS服务商,使其更安全。

通常情况下,解析器会将整个域名发送给每个服务器-根DNS,TLD名称服务器,二级名称服务器等。好的DNS服务商。它只会发送与当前正在与之通话的DNS服务器相关的部分。这被称为QNAME最小化。

如何防御DNS陷阱?常用3种DNS欺骗手法

3. 删除域名中没用的解析

解析器通常也会在请求中包含您的IP地址的前24位。这有助于DNS服务器知道您的位置,并选择离您更近的CDN。但是这些信息可以被DNS服务器用来将不同的请求链接在一起。

一些稳定的DNS服务商,是从用户附近的一个IP地址发出请求。这提供了地理位置,而无需将其绑定到特定用户。除此之外,他们正在研究如何以隐私敏感的方式实现更好,形成非常细粒度的负载平衡。

这样做,删除域名中不相关的部分并且不包括您的IP地址,意味着DNS服务器所收集的关于您的数据要少得多,从而更好保护你的隐私。

量子计算网络风暴即将来临

随着技术的不断发展,越来越多的问题得到解决。无线电解决了即时通讯问题;电灯让我们能在日落后继续干活;电脑,互联网带来了许多新机遇。但是科技进步的同时也淘汰了很多旧事物,技术的革命性越强,其破旧功力也越大!

在目前新兴的技术中,要数量子计算的革新性最强,这种革新能力将有如加密技术一样带来一阵强大的技术风暴。

量子计算网络风暴即将来临

量子计算的演变

科幻小说中,量子计算更像是魔法而非科学。因为小说里展现的不是电路,而是主人公操作量子比特的画面。

和如今电脑中电路处理的二进制数据不同,量子比特是叠加存在的,它存在于1到0之间的无限空间。因此,理论上它们似乎可以针对一个问题立即给出所有解决方案,而电脑还必须一次尝试一种可能。

现在唯一阻碍量子计算机发展的就是物理工程学方面的挑战,而政府和私企正在努力克服这一问题。

量子计算威胁加密保护地位

随着量子计算的发展,加密技术以及利用加密技术保护的数字信息都面临着威胁。攻击者利用电脑破解加密文件归根结底只是时间问题。大多数现代加密系统,如 Diffie-Hellman 和 RSA,都是基于一个前提——让黑客计算很长的时间才能找到密钥。

由于量子计算并不按这个套路出牌,它不需要一次一次地进行组合,使用量子比特就可以一次就试遍所有的密码组合,几秒的时间就找出正确密钥。

目前唯一限制量子比特解密速度的是当前量子计算机的数量还有限,这一点已在稳步改善中。

美国国家标准与技术研究院(NIST)科学家意识到了这种威胁,该机构的一份报告明确表示量子计算将为加密技术带来威胁。报告称,如果建立大规模的量子计算机组,就可能破解目前大量公共密钥加密系统。唯一的办法是——现在就给信息安全系统做好抵抗量子计算解密的准备。

攻击者不会等你,潜在的攻击者正在窃取加密数据,他们期望不久的将来用量子计算机给数据解密。现在如果没有合适的数据保护措施,一旦他们有了量子计算工具,就会迅速出现数据泄露的威胁。

当前量子世界的数据保护进展

量子计算机解密的问题仍在不断演变。鲜少有人能完全理解这一问题的影响力,还有一些人则对这种危机浑然不觉,但一些创新者正努力依照 NIST 的推荐,为即将到来的量子风暴做准备。

大部分使用量子计算或量子机制的方案都试图创造一种量子计算机无法解开的锁。因此,“后量子加密术”与典型的“AES 加密术”截然不同。用一个例子来说明:

位于卢森堡的卫星运营商 SES 正致力于创建量子加密电讯系统 Quantum Cryptography Telecommunication System (Quartz),这个系统将成为未来异地分散网络的密钥分配平台。这个基于卫星的 QKD(量子密钥分发)系统利用太空光子来保护密钥。

IBM 研究人员也正在研发一种基于数学格框架(mathematical lattices)的新型加密机制,在这种机制中,数据隐藏于复杂的代数结构中。这一想法旨在阻止量子计算机用其强大的运算功能解密,其原理是在原始问题的后部分出更多复杂的加密层,这样整个数学格框架无法在同一时间被全部看透。

与此同时,一家名为 Quantum Xchange 的公司研发了一种利用 QKD 技术的方法。在这种方法中,密钥基于不可破解的量子现象而生成,目的是创建首个安全保护文件的全国性网络,再将其数据发至任意距离之外。和其他处于研发中的方案不同,Quantum Xchange 网络现在就可用,而且此方案弥补了目前加密术中的一些不足之处。

量子计算的风暴来势汹汹,但目前安全界在保护数据方面并非一无是处。现在投资部署正确的防御,未雨绸缪的人就能在量子风暴中稳稳保护好自己的数据。

浅谈信息安全管理体系建设

信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

浅谈信息安全管理体系建设

虽谈不上”一个人的安全部门”,但是“唯一”的安全管理岗在信息安全管理体系所承担的职责完全不亚于那些孤军奋战的“一个人的安全部门”,纵然知道前路漫漫遍地荆棘,也要摸爬滚打着前进,颇有“天将降大任于斯人也……”的既视感,给那些奋战前线的安全管理先驱者致以最崇高的敬意。

公司只有在达到一定的规模后,才会存在“安全管理岗”这个坑位。很多小型公司普遍还是“一个人的安全部门”,附属于运维部门底下,一个人身兼安全运维、安全管理、应用安全(代码审计、渗透测试)、安全开发,甚至还需要去承担部分运维的职责。对于规模稍微大一点,对信息安全比较重视的、较有前瞻性的企业,亦或是合规性要求比较严格的企业,方才会设定专门的安全管理岗,甚至是成立独立的安全部门。本人就自己的专业范畴,工作职责浅谈安全管理岗。

常说“三分靠技术,七分靠管理”,不去深究技术与管理具体的比例是否准确,但至少我们需要形成一个共识——信息安全问题不能单单仅仅作为技术问题来处理,安全管理的作用无可厚非。

作为承担安全管理责任的安全管理岗,核心工作是建立、实施、保持和持续改进信息安全管理体系。通过合理的组织体系、规章制度和管控措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。

不同企业对于信息安全管理体系的建设需求也不甚相同:

  • 可能是从无到有,从0到1建立信息安全管理体系;
  • 可能企业已有“信息安全管理体系”,但仅仅是冷冰冰的制度规范,就躺在管理者的电脑之中,直至面对监管机构检查才开始发挥作用,未发挥该有的约束力、管控力;
  • 可能企业已有信息安全管理体系,但是实时性无法满足企业日益变化的安全需求,待进一步优化改进;
  • . ……

体系建设之初,我相信大家的初衷都是抱着建立建成可落地的信息安全管理体系。但我们都清楚,没有绝对的安全,也没有绝对的可落地。ISO27001也没有定义所谓的绝对安全可落地的信息安全管理体系,它推崇的是PDCA过程模式,保证管理体系持续改进的有效模式。PDCA循环将一个过程抽象为策划、实施、检查、措施四个阶段,四个阶段为一个循环,通过持续的循环,使信息安全管理持续改进。

信息安全管理体系的有效落地程度很大程度上决定了信息安全管理水平。如何建立相对可落地的信息安全管理体系,是贯穿安全管理岗工作的核心问题。关于这个问题,是本人在整个体系建设过程中一直思考反思的问题,本人还在探索摸索的路上,无法给出完整精准的答案。但基于个人在整个体系建设过程中所思所感所想,总结了若干点。

一、来自高层的明确支持,以及相关资源的保障

在一个组织内建设信息安全管理体系必须得到高层管理人员的承诺与支持!为何?

1. 从上之下高效推动

我相信绝大多数安全管理岗都有着相同的经历与感受:我们竭力去推广某个流程规范,期望能在某些方面上从流程规范上改善企业的信息安全问题,但是我们同各个部门沟通过程中却四处碰壁。其他部门不一定愿意采纳流程规范,或是出于工作效率的考虑,或是出于对新事情的排斥。往更直白的说,每个部门都有各自部门的KPI,对于信息安全部门而言,信息安全管理体系的建设落地确实是一项重要的KPI考核指标,但是对于业务部门,他们更看重的可能更多地是业务稳定运行,而信息安全管理体系只是辅助业务安全稳定运行的工具。如果高层管理人员能够出面处理跨部门之间的协调问题,相应的安全方针政策、控制措施方可在组织的上上下下得到更有效的贯彻,体系建设会事半功倍。也正好体现了ISO27001中所提倡的“领导力”的概念,信息安全需要从上至下推动,需要从上而下全员参与。

2. 有效的资源保证

另外一个层面,引用一句俗语“巧妇难为无米之炊”,信息安全管理体系建设过程中,可能会涉及到外部咨询机构、测评机构的引入,可能会涉及安全设备的采购……钱!钱!钱!是任何项目开展的基础,需要领导层在实施有效安全过程的必要的资金支持。

我们确实见过有些企业可能不聘请任何外部第三方的咨询机构,内部人员自行建设信息安全管理体系;

我们也见过有些企业不购买实施有效安全过程所必要的安全设备(防病毒软件、WAF……),内部人员自行开发或基于开源软件二次开发以满足安全需求;

以上做法可行吗?只要企业内部的人力资源能够满足现有需求,当然可行!归根到底,人力资源的投入与资金的投入的平衡,才是最可行的方案!

但人力资源的投入也好,项目设备资金采购也罢,都离不开领导层的高度支持。

二、适合自己的,才是最好的

为什么要建立信息安全管理体系?企业面临哪些问题和风险?企业现在处于什么安全管理水平?每个企业信息安全工作的出发点和关注点不同,后续安全工作的重点自然也不同。我们确实见识过很大大型企业拥有完善的安全管理体系,处于行业的前沿,引领着安全的发展趋势,但出自以上公司的管理体系不一定适用于自己的公司,我们可以参考他们的管理模式,在我们内部做一定的调整适用,但却无法完全效仿大公司的管理模式,去照搬,去复制。管理50人与管理5000人适用不同的管理方式。或许既然都有能力有效管理5000人,那确实也能去管理50人。但是某种程度上,杀鸡焉用牛刀? 如果一个安全要求不是很高的企业,效仿具备极其严格安全要求的公司,发布各种安全制度政策,上各种安全流程控制,做各种安全审计和检查,理论上确实安全了,但搞得民怨沸腾,往往效果也不好。投入与产出是亘古不变的话题,是安全管理岗需要去衡量的。安全终究是为业务服务的,信息安全管理体系必须从业务目标出发,反映业务的安全需求。只要能够满足业务的安全需求,哪怕管控程度不如其他行业,也是一套好的管理体系。适合自己的,才是最好的!