根據(jù)安全服務(wù)供應(yīng)商Trustwave的研究數(shù)據(jù)顯示，雖然很多應(yīng)用程序漏洞都是已知的且可被阻止的，但很多企業(yè)都沒(méi)有部署安全編碼做法或定期測(cè)試其應(yīng)用程序來(lái)查找漏洞。Trustwave事件響應(yīng)和取證主管Chris Pogue表示，如果企業(yè)忽視這些基本的網(wǎng)絡(luò)安全做法，他們根本無(wú)法阻止更高級(jí)的攻擊。

網(wǎng)絡(luò)給企業(yè)帶來(lái)各種各樣的安全威脅，下面我們列出了威脅企業(yè)的10個(gè)網(wǎng)絡(luò)威脅：

1. DDoS攻擊

IT專家認(rèn)為分布式拒絕服務(wù)攻擊就是：大量數(shù)據(jù)包涌入受害者的網(wǎng)絡(luò)，讓有效請(qǐng)求無(wú)法通過(guò)。但這只是最基本的DDoS攻擊形式，防御方面的改進(jìn)已經(jīng)迫使攻擊者改變了他們的攻擊方式。DDoS攻擊使用的數(shù)據(jù)包越來(lái)越多，攻擊流量最多達(dá)到100Gbps。

攻擊者還開(kāi)始針對(duì)基礎(chǔ)設(shè)施的其他部分，其中企業(yè)域名服務(wù)的服務(wù)器的攻擊者最喜歡的目標(biāo)。因?yàn)楫?dāng)攻擊者成功攻擊DNS服務(wù)器后，客戶將無(wú)法訪問(wèn)企業(yè)的服務(wù)。

大規(guī)模DDoS攻擊通常會(huì)采用“低且慢”的攻擊，這種攻擊使用特制的請(qǐng)求來(lái)讓web應(yīng)用程序或設(shè)備來(lái)處理特定的服務(wù)，以快速消耗處理和內(nèi)存資源。這種應(yīng)用層攻擊現(xiàn)在占所有攻擊的四分之一。

此外，攻擊者還會(huì)尋找目標(biāo)網(wǎng)站的網(wǎng)址，然后呼叫該網(wǎng)站的后端數(shù)據(jù)庫(kù)，對(duì)這些網(wǎng)頁(yè)的頻繁呼叫將很快消耗掉網(wǎng)站的資源。

在速度慢的攻擊中，路由器將崩潰，因此，企業(yè)無(wú)法使用設(shè)備來(lái)阻止不好的流量。這些攻擊還可以通過(guò)云DDoS防護(hù)服務(wù)。企業(yè)應(yīng)該采用混合的方法，使用web應(yīng)用程序防火墻、網(wǎng)絡(luò)安全設(shè)備和內(nèi)容分發(fā)網(wǎng)絡(luò)來(lái)建立一個(gè)多層次的防御，以盡可能早地篩選出不需要的流量。

2. 舊版本的瀏覽器和易受攻擊的插件

每年涉及數(shù)百萬(wàn)美元的銀行賬戶欺詐網(wǎng)絡(luò)攻擊都是利用瀏覽器漏洞，更常見(jiàn)的是，利用處理Oracle的Java和Adobe的Flash及Reader的瀏覽器插件。漏洞利用工具包匯聚了十幾個(gè)針對(duì)各種易受攻擊組件的漏洞利用，如果企業(yè)沒(méi)有及時(shí)更新，攻擊者將通過(guò)這種工具包迅速侵入企業(yè)的系統(tǒng)。例如，最新版本的Blackhole漏洞利用工具包包含7個(gè)針對(duì)Java瀏覽器插件的漏洞利用，5個(gè)針對(duì)Adobe PDF Reader插件，2個(gè)針對(duì)Flash。

企業(yè)應(yīng)該特別注意Oracle的Java插件，因?yàn)镴ava被廣泛部署，但卻鮮少修復(fù)。 企業(yè)應(yīng)該利用補(bǔ)丁修復(fù)管理產(chǎn)品來(lái)阻止這種漏洞利用攻擊。

3.包含不良內(nèi)容的好網(wǎng)站

知名的合法網(wǎng)站開(kāi)始成為攻擊者的目標(biāo)，因?yàn)楣粽呖梢岳糜脩魧?duì)這些網(wǎng)站的信任。企業(yè)不可能阻止員工訪問(wèn)這些知名網(wǎng)站，并且企業(yè)的技術(shù)防御總是不夠。

還有另一種更陰險(xiǎn)的攻擊--惡意廣告攻擊，這種攻擊將惡意內(nèi)容插入廣告網(wǎng)絡(luò)中，惡意廣告可能只是偶爾出現(xiàn)在廣告跳轉(zhuǎn)中，這使這種攻擊很難察覺(jué)。

同樣的，企業(yè)應(yīng)該采用多層次的防御方法，例如，安全代理服務(wù)器結(jié)合員工計(jì)算機(jī)上的反惡意軟件保護(hù)來(lái)阻止已知威脅的執(zhí)行。

4.移動(dòng)應(yīng)用程序和不安全的Web

BYOD趨勢(shì)導(dǎo)致企業(yè)內(nèi)消費(fèi)者設(shè)備激增，但移動(dòng)應(yīng)用程序安全性很差，這使企業(yè)數(shù)據(jù)處于危險(xiǎn)之中。

60%的移動(dòng)應(yīng)用程序從設(shè)備獲取獨(dú)特的硬件信息并通過(guò)網(wǎng)絡(luò)接口傳出去，更糟糕的是，10%的應(yīng)用程序沒(méi)有安全地傳輸用戶的登錄憑證。

此外，支持很多移動(dòng)應(yīng)用的Web服務(wù)也很不安全。由于用戶不喜歡輸入密碼來(lái)使用移動(dòng)設(shè)備上的服務(wù)，移動(dòng)應(yīng)用經(jīng)常使用沒(méi)有過(guò)期的會(huì)話令牌。而攻擊者可以在熱點(diǎn)嗅探流量并獲取這些令牌，從而訪問(wèn)用戶的賬戶。

企業(yè)很難限制員工使用的應(yīng)用程序，但企業(yè)可以限制員工放到其設(shè)備的數(shù)據(jù)以及限制進(jìn)入企業(yè)的設(shè)備。

5. SQL注入

對(duì)于SQL注入攻擊，最簡(jiǎn)單的辦法就是檢查所有用戶提供的輸入，以確保其有效性。

企業(yè)在修復(fù)SQL漏洞時(shí)，通常專注于他們的主要網(wǎng)站，而忽視了其他連接的網(wǎng)站，例如遠(yuǎn)程協(xié)作系統(tǒng)等。攻擊者可以利用這些網(wǎng)站來(lái)感染員工的系統(tǒng)，然后侵入內(nèi)部網(wǎng)絡(luò)。

為了減少SQL注入問(wèn)題的風(fēng)險(xiǎn)，企業(yè)應(yīng)該選擇自己的軟件開(kāi)發(fā)框架，只要開(kāi)發(fā)人員堅(jiān)持按照該框架來(lái)編程，并保持更新，他們將創(chuàng)造出安全的代碼。

6.證書的危害

企業(yè)不能盲目地信任證書，攻擊者可能使用偷來(lái)的證書創(chuàng)建假的網(wǎng)站和服務(wù)，或者使用這些證書來(lái)簽署惡意代碼，使這些代碼看起來(lái)合法。

此外，糟糕的證書管理也會(huì)讓企業(yè)付出巨大的代價(jià)。企業(yè)應(yīng)該跟蹤證書使用情況，并及時(shí)撤銷問(wèn)題證書。

7.跨站腳本問(wèn)題

跨站腳本利用了瀏覽器對(duì)網(wǎng)站的信任，代碼安全公司Veracode發(fā)現(xiàn)，超過(guò)70%的應(yīng)用程序包含跨站腳本漏洞，這是影響商業(yè)開(kāi)源和內(nèi)部開(kāi)發(fā)軟件的首要漏洞問(wèn)題。

企業(yè)可以利用自動(dòng)代碼檢查工具來(lái)檢測(cè)跨站腳本問(wèn)題，企業(yè)還應(yīng)該修改其開(kāi)發(fā)流程，在將程序投入生產(chǎn)環(huán)境之前，檢查程序的漏洞問(wèn)題。

8.不安全的“物聯(lián)網(wǎng)”

在物聯(lián)網(wǎng)中，路由器、打印機(jī)、門鎖等一切事物都通過(guò)互聯(lián)網(wǎng)連接，在很多情況下，這些設(shè)備使用的是較舊版本的軟件，而這通常很難更新。 攻擊者很容易利用這些設(shè)備來(lái)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)。

企業(yè)應(yīng)該及時(shí)發(fā)現(xiàn)和禁用其環(huán)境中任何UPnP端點(diǎn)，并通過(guò)有效的工具來(lái)發(fā)現(xiàn)易受攻擊的設(shè)備。

9.情報(bào)機(jī)器人

并非所有攻擊的目的都是攻擊企業(yè)的防御系統(tǒng)。自動(dòng)web機(jī)器人可以收集你網(wǎng)頁(yè)中的信息，從而讓你的競(jìng)爭(zhēng)對(duì)手更了解你的情況，但這并不會(huì)破壞你的網(wǎng)絡(luò)。

企業(yè)可以利用web應(yīng)用程序防火墻服務(wù)來(lái)判斷哪些流量連接到良好的搜索索引機(jī)器人，而哪些連接到競(jìng)爭(zhēng)對(duì)手的市場(chǎng)情報(bào)機(jī)器人或者假的谷歌機(jī)器人。這些服務(wù)可以防止企業(yè)信息流到競(jìng)爭(zhēng)對(duì)手。

10.新技術(shù) 舊問(wèn)題

不同企業(yè)可能會(huì)遇到不同的威脅，有網(wǎng)上業(yè)務(wù)的企業(yè)可能會(huì)有SQL注入和HTML5問(wèn)題，有很多遠(yuǎn)程辦公人員的企業(yè)可能會(huì)有移動(dòng)問(wèn)題。企業(yè)不應(yīng)該試圖將每一種威脅降到最低，而應(yīng)該專注于最常被利用的漏洞，并解決漏洞問(wèn)題。同時(shí)，培養(yǎng)開(kāi)發(fā)人員采用安全做法，并讓開(kāi)發(fā)人員互相檢查代碼以減少漏洞。