如何发现网络安全事件?
2023-10-08 09:43:59
网络安全事件会造成企业生产经营活动受到影响,数据资产遭到泄漏。威胁的日益复杂使企业面临很大的网络安全风险。那么,企业如何可以快速发现网络安全攻击,识别常见的网络安全事件并且提前有效的做好防护措施呢?
一、发现
1.登录账户有异常
侵入特权用户的账户是网络攻击事件的重要步骤,一旦特权账户出现任何异常,很可能就是被恶意利用进入企业的网络和系统了
2.设备使用量异常
服务器内存或存储空间的使用量增加有可能就是攻击者在非法访问网络系统
3.未经授权访问服务器和数据
包括请求访问与工作无关的数据,在异常时间从异常位置访问系统,以及在短时间内从多个4.不同位置登录系统。
4.隐藏的文件
一些突然出现的文件很可能是恶意文件,会导致数据或日志信息泄露。仔细观察文件名称,大小和位置可以判断。
5.网站流量异常
正常网络应用流量都是有一定规律的,一旦出现来源或去向异常,很有可能是恶意网络活动引发。
二、识别途径
可移动介质
邮件攻击
网页攻击
用户使用问题
不当下载/点击
鼠标悬停
三、如何防护
针对不同的网络安全攻击,企业必须提前做好应对准备:
1.拒绝未经授权的访问
企业应使用除密码之外的多因素身份验证
2.最小授权原则
将用户的访问权限制设定在他们完成工作所需的最低限度,并实施安全监控。
3.内部威胁
由于员工、离职员工、第三方不当或恶意操作,而导致的网络安全事件发生。企业应进行员工监管以及定期频率的相关培训提升意识。
4.钓鱼攻击
2022年,全球每1000个邮箱,平均每月遭受的邮件攻击数量为299.27次(不含垃圾邮件)。
有效防御钓鱼攻击除了教育用户识别钓鱼邮件外,可以使用如安全/多用途互联网邮件扩展(S/MIME),用于发送数字签名和加密邮件的协议,加密电子邮件更安全,因为它们只能由收件人的邮件网关或电子邮件客户端解密。
5.恶意软件、DoS攻击
安装防病毒工具,配置和更新防火墙并、路由器和服务器可以阻止恶意虚假流量及保护恶意软件的攻击。
6.中间人攻击
指攻击者拦截并篡改通信双方之间发的消息,还可以获得数据访问权。包括会话劫持、邮件劫持和Wi-Fi窃听。虽然很难检测到此类攻击,但企业可以采用TLS(传输层安全)加密协议,这种协议可以在两个通信的计算机应用程序之间提供身份验证、隐私和数据完整性。企业还应该向员工阐明使用公共Wi-Fi带来的危险,并留意浏览器发出的异常威胁警告。
7.密码攻击
非法获取用户账号密码。除了使用强密码,定期更新密码外,企业应采用多重因素身份验证用户。
8. Web应用程序攻击
包括利用应用程序中的代码漏洞以及身份验证欺骗机制。企业可以使用静态和动态代码扫描器可以自动检查这些漏洞。
来源:GlobalSign