网络安全专家正在承受巨大的压力!就在最近几周,我们发现了基于硬件芯片的两个重漏洞——“Meltdown”和“Spectre”;此外,来自民族国家的黑客行为依然没有放缓的趋势,这不禁会让人担心美国是否有能力确保“中期选举”的安全进行。
(*美国中期选举——11月份将举行美国中期选举,即在总统任期过半时刻举行的议会选举,参议院三分之一的席位和众议院全部议席都将更换,其结果往往会改变府院权力平衡。从以往惯例来看,如果是共和党人任总统,所获权力往往大于民主党人,不过鉴于对特朗普的评价糟糕,局势或将出现更大逆转。除了政治较量,中期选举也是对特朗普执政成绩的评判,同时也是两党冲向年大选的发令枪)
而现在,即便是基础环节也可能会出错,就像上周在拉斯维加斯举办的年全球消费电子展(CES)上,全球各地科技公司研发的各种最先进的高科技产品纷纷亮相,然而一次断电事故却让整个展览几乎陷入瘫痪状态。
安全事故最直观的后果就是巨额的经济损失,据Ponemon估计,年违规事件的平均成本高达万美元,但是对于企业而言,攻击带来的成本损失远非财务数据而已,对于品牌和公众信任方面造成的损失更是难以预计。
而对于企业而言,最容易忽略的可能就是一些显而易见的安全缺陷,例如,你可能很早就考虑过要为公司的数据中心配置一台备用发电机,但是行动上却忽略遗忘了。
在与3位安全专家(SANS研究所新兴安全趋势总监JohnPescatore、希腊INTRALOT集团安全主管ChristosDimitriadis以及ESET高级安全研究员StephenCobb)进行交谈之后,我们总结了企业最容易忽略的网络安全10大坑,事实证明,想要确保安枕无忧我们还有很长一段路需要走。
网络安全10大坑
1.不启用DMARC来对抗网络钓鱼攻击
安全专家建议电子邮件/信息传递系统管理员使用DMARC协议进行电子邮件认证。
原始的SMTP没有要求验证发件人的合法性,DMARC的核心思想是邮件的发送方通过特定方式(DNS)公开标明自己会用到的发件服务器(SPF),并对发出的邮件内容进行签名(DKIM),而邮件的接受方则检查收到的邮件是否来自发送方授权过的服务器,并且核对签名是否有效,从而有效避免伪造的钓鱼邮件进入用户的收件箱。
启用DMARC协议是防御钓鱼邮件最广为人知的方式之一,但是电子邮件安保公司Agari最近发布了的一份最新研究报告却显示,在“财富强”企业中,三分之二(67%)的企业没有发表过任何的DMARC政策,低于十分之一的企业开启了DMARC功能,这其中只有百分之三实施了垃圾邮件的隔离政策、百分之五实施了拒绝政策。垂直行业中,商务服务(60%)、金融(57%)、技术(55%)和交通(53%)使用DMARC的比率相对较高。
2.对可疑的DNS调用缺乏足够重视
打击网络钓鱼攻击另一种较为有效的方法就是更多地