写于 2017-05-05 01:08:01| 澳门娱乐场登陆网址| 金融

公司和组织正在投入越来越多的资金用于网络安全防御,以防范有针对性的攻击和广泛的恶意软件爆发等好消息是,防御上的支出狂热似乎正在发挥作用最近的一份报告发现零售商在网络防御和视力上花费更多更少的漏洞坏消息是,有一个漏洞永远无法完全修复:人类阅读:美国零售商的数据遭到破坏随着攻击的增加而增加虽然可以修补系统漏洞并且可以升级安全套件,但人们总会携带某些漏洞风险程度,部分是由于不可避免的人为错误,部分是因为他们没有被教授适当的安全协议以避免常见的陷阱组织必须解决这些问题并准备好防范他们网络钓鱼攻击越来越普遍,并且可以以广泛的一般攻击或更有针对性的努力形式出现,通常被称为长矛这些攻击通常以带有恶意文件或链接的电子邮件的形式出现

点击链接或打开文件可能会导致用户无法使用其帐户遭受攻击这些类型的攻击可能会以多种方式发生,但最常见的是通过电子邮件偶尔类似垃圾邮件的网络钓鱼攻击会偷偷通过电子邮件过滤器进入一个人的收件箱,但网络钓鱼攻击更常见的是从受信任的来源获得真实电子邮件的外观和外观

今年早些时候发起的一次广泛的网络钓鱼攻击,攻击者利用Google应用程序中的一个漏洞,使用虚假版本的Google Docs定位Gmail用户

该电子邮件看起来像是一个编辑文档的邀请,来自用户信任的电子邮件地址要完成这个,攻击者要么欺骗一个电子邮件地址 - 通常是通过使用包含看起来像另一个字母的字母的域一目了然,比如“cl”代替“d” - 或者被劫持的另外一个r用户的帐户并将攻击传播给他们的联系人 - 攻击者可以完成的任务,因为虚假版本的Google Docs请求访问联系人和发送电子邮件作为受害者的权限这些广泛的攻击通常不是那么成功;他们依靠尽可能多的人打击并希望至少有一些人成为受害者有针对性的长枪钓鱼攻击会带来更大的威胁,因为他们经常只挑选一个或几个目标并拥有关于潜在受害者的秘密信息Marco Cova网络安全防御公司Lastline的高级安全研究员警告说,现在有关某人的数据量 - 无论是来自社交媒体账户还是之前的数据泄露超出了人的控制范围 - 都可以让攻击者轻松个性化他们的攻击“ [攻击者]合并来自多个来源的数据,建立潜在受害者的档案,包括鱼叉式网络钓鱼攻击目标,“他说”他们收集的信息不必高度机密,以便创建成功的攻击数据泄露为恶意软件提供分发中心未来几年“这些类型的威胁可能难以防范,特别是当自动化系统无法抓住他们Mike Gillespie,一个sp国际风险与安全管理协会(IIRSM)的专家顾问表示,公司应该“确保培训是相关和定期的”,以保持警惕“威胁形势快速变化”,他说“确保所有员工,包括高级管理人员都是经过全面培训,能够质疑他们认为与组织安全相悖的电子邮件,文件或活动“最近几个月,广泛的恶意软件以毁灭性的方式袭击了公司和组织WannaCry勒索软件攻击和Petya”雨刮器“设法挟持人质重要信息防止组织执行日常操作攻击在整个计算机网络中迅速传播,因为许多组织都无法更新他们的计算机,但只需要一个单一的访问点就可以不受保护,以便攻击能够穿透防御这些类型的攻击可以在一些数据中传播方式通常它们以电子邮件附件的形式出现,看起来像PDF或Microsoft Office文件打开时,带有恶意代码的文件开始在后台运行以安装恶意软件并破坏设备然后可以通过组织的网络传播到其他计算机 其他攻击可以使用更难以追溯到其来源的新方法今年早些时候,来自维基解密的文件转储显示了中央情报局如何通过首先感染互联网连接的机器,然后等待来破坏气隙计算机网络将USB驱动器插入该计算机新闻周刊将于9月26日至27日在旧金山举办结构安全活动照片:新闻周刊媒体集团恶意软件随后会感染USB,然后可能会传播到互联网上的计算机上将USB插入这些机器恶意行为者可能会进行类似的攻击,以危害组织的网络,可能对包含宝贵信息的内部系统造成重大损害“几乎所有受影响的组织都会发现事件调查彻底,他们的一名工作人员已下载未经授权的软件,或点击网络钓鱼邮件或附加了感染USB设备到他们的网络,“Gillespie说”没有这种人为干预,很少有恶意软件具有任何效力“当这些类型的攻击蔓延时,往往导致删除重要文件或企图保留数据人质以勒索赎金组织可以拥有的最佳防御是备份这些允许组织快速将其系统恢复到感染之前的状态并尽快恢复运行密码是过时的安全形式,但仍然是必要的直到组织是准备将他们的整个工作人员转移到更安全的身份验证形式 - 对可能需要时间来实施密码的操作进行大修 - 密码将继续是一个不幸的要求,人们往往会达不到最佳实践这并不完全是一个错误的个人大多数人的印象是,安全密码包含混乱的字符 - 大写和小写字母,符号和普通人几乎不可能记住的数字为了回应这种信念,人们经常会犯其他错误,通过重复使用密码来解除复杂登录的假设安全性阅读:您的密码是否安全

研究显示,五分之一的企业密码可能会受到损害“尽管存在明显的风险,人类本身在制作密码方面仍然不好,并继续重复使用密码,”LastPass总经理Matt Kaplan告诉国际商业时报他说如果用户没有使用唯一的密码在线帐户,“你做错了”大多数人都知道这一点,但很多人仍然不遵守这种做法因此,即使主人认为他们的密码是安全的,帐户也经常处于危险之中重用密码是最大的风险,因为单个漏洞可能导致其他帐户遭到入侵攻击者可能会从像LinkedIn或Yahoo漏洞这样的主要黑客中提取帐户凭据,以查找连接到公司或组织的电子邮件地址然后攻击者可以使用与该帐户关联的密码

泄密以破坏另一个用户的帐户此类攻击导致了诸如触及音乐社交网络8tracks和餐厅searc的攻击h和发现站点Zomato攻击者破坏了可访问内部数据的员工帐户的那些黑客行为导致了影响站点用户以及公司内部系统的漏洞通过采用更好的做法可以最大限度地减少这些类型的漏洞密码安全以及在某些情况下使用更安全的身份验证方法今年早些时候,美国国家标准与技术研究院(NIST)改变了一些关于最佳密码实践的建议政府机构,其中规定了所采用的安全标准和最佳实践

许多私营部门实体,包括企业组织,建议组织不要求更改密码,除非有证据表明密码已被泄露,因为要求轮换凭证通常会导致用户创建安全性较低的密码这是对先前建议的改变,建议组织要求每次更改密码90天顺序t o防止违规行为但是,这种做法被发现会导致密码安全性降低,因为员工只会使用以前密码的略微修改版本 NIST还建议鼓励使用密码短语 - 使用多个单词的密码更长 - 支持通常使用难以记忆的字符的密码更长的短语更难以为攻击者破解并且更容易记住用户的Kaplan of LastPass建议使用双因素或多因素身份验证方法,这些方法需要使用第二种方法来证明一个人的身份,而不仅仅是用户名和密码“这样,即使是受到破坏的密码也不允许访问您的电子邮件帐户,”他说