手机版在社会经济发展中,企业和员工在面对网络漏洞和安全事件时,常常会出现认识不到位、处理能力不足等问题。为了有效预防及正确、快速地处理网络安全事件,提高员工安全意识,不定期组织开展网络安全演习具有必要性。
网络犯罪呈上升趋势
黑客攻击率在2020年急剧上升,此后更是居高不下。有报告显示,仅2020年,因网络犯罪造成企业和个人损失总额就高达42亿美元,比2019年增加了7亿美元。在2021年的网络攻击事件中,16个关键基础设施部门中就有14个遭受了勒索软件攻击,以基础设施为目标的不法分子,可以破坏从单个暖通空调系统到整个国家食品供应链。
(资料图)
近年来,居家办公越来越普遍,这也给不法分子提供了可乘之机。他们利用网络钓鱼攻击、社会工程和其他恶意策略,通用网络、端点、应用程序或服务器级别访问计算机系统,窃取数据。
所以,开展网络安全演习可以更好地提高全员安全意识,培养正确处理安全突发事件的能力。
如何进行网络安全演习
可以把员工分成两个小组,一个小组扮演攻击方,另一个小组扮演防守方,模拟进行演习活动。演习内容可以安排如下:
01
拒绝服务(Dos)
此练习特别针对 IT 部门。DoS演练可以模拟对网站、网络或主机的攻击,而不造成系统损坏或数据丢失。演习内容模拟实际DoS攻击期间可能发生的情况:系统反应速度十分慢或无法访问以至于严重影响性能。
IT 团队发现并快速响应演练,企业可以监控团队解决问题的速度,并为未来的场景提供有用的工具。
02
物理入侵
攻击方拥有USB驱动器,当插入计算机时会上传伪造的恶意代码,当防守方的计算机无人看管时,攻击方就可以将软件上传。
这种情况只有在员工不在工位且计算机未锁定的情况下才有效。
03
桌面练习
这个练习很简单。攻击方围坐在一起,在纸上进行安全演习,并解释他们认为在网络攻击期间应该做什么。
桌面演练只需很少的时间,并且不会中断在线服务。
04
添加未经授权的设备
攻击方引入外部设备(例如计算机或平板电脑)并将其添加到网络中。防守方应迅速发现未经授权的设备,并努力将其删除,同时还应尝试找到物理设备并将其拔下。
未经授权的设备代表恶意计算机,不法分子一旦带入公司办公区域,将成为安全威胁。
05
网络钓鱼练习
网络钓鱼攻击涉及向某人发送恶意链接。员工一旦点击,计算机就有可能会被感染,导致信息被窃取。这个恶意链接通常伪装成来自熟悉或看起来正常的机构或人员,且指向一个看似合法的页面,索取用户信息。
网络安全演习可能涉及向员工发送一封包含链接的电子邮件,然后查看他们当中有多少人点击,或有甚者在登录页面上输入了信息。
06
鱼叉式网络钓鱼练习
这是一种有针对性的网络钓鱼形式。攻击方确定攻击对象,例如假装是某人的经理,并在电子邮件中使用员工的姓名和个人详细信息。
与网络钓鱼练习一样,测试团队将知道谁点击了链接以及他们是否在表单上输入了信息。
美亚柏科(300188)控股子公司安胜拥有一支结构完整、实战经验丰富的攻防团队,在全球网络攻防大赛获最高排名第五的成绩,可以提供高级渗透测试、网络安全攻防演练、数据安全服务、等保合规咨询、风险评估、应急响应、赛事与比武组织、网络安全安全培训等高质量服务。
其中,网络安全攻防演练服务,安胜可以根据企业要求组织网络安全攻防演练,制定演练方案,确定演练规则,明确评分标准。成立演练指挥部,统筹指导演练工作,对攻防双方的演练成效进行评估。指导防守单位成立防守分队,组织攻防技术专家成立攻击分队。演练结束后,组织复盘工作。
良好的网络安全实践
除了进行网络安全演习外,企业可以使用以下策略减少被攻击的机会:
经常备份数据并保留备份的脱机副本;
每个账户使用唯一且难猜的密码;
经常更改密码;
定期审核管理账户;
使用密码管理器生成包含字母、数字、符号以及大小写字母的加密密码;
启用双因素身份验证;
禁用远程访问和未使用的RDP端口;
禁用来自企业外部电子邮件地址的超链接;
使用网络分段;
使用安全网络而不是公共 Wifi;
在所有设备上安装防病毒软件并保持最新状态;
实施具有最小特权原则的零信任安全模型。
这些方法并非万无一失,但综合起来对攻击者都是巨大的挑战。
防止网络攻击
防止数据泄露不仅仅是 IT 部门的工作,企业的每个员工都必须保持警惕。
营业执照