网络安全问题

多数网络安全问题有相似甚至相同的应对之策

admin

很多网络安全问题的应对策略存在相似之处,从管理学等多个领域来讲,并不意外。对此,昆明亭长朗然科技有限公司网络安全研究员董志军补充说:尽管网络安全技术不断创新,但是管理理念早已非常成熟,而网络安全事件的主要原因归根到底落入技术、流程和人员,无外乎有以下几个原因:

  • 基本安全原则相同:无论是预防病毒、木马、勒索软件还是防范网络入侵,它们都遵循一些基本的网络安全原则,比如最小权限原则、多重防护原则、防病毒原则等。这些通用原则决定了应对措施在某种程度上是类似的。
  • 攻防对抗本质:网络攻击和防御本质上是一场攻防对抗,攻击方法创新,防御措施也必须随之升级。因此,不同攻击手段的防御对策会有相通之处。
  • 系统安全需求:任何系统都需要保证机密性、完整性和可用性,为达成这三大安全需求,各种防护措施自然会有重叠之处,比如访问控制、备份、审计等。
  • 经验积累借鉴:随着安全事件的不断发生,安全从业人员总结出一些有效的应对经验和最佳实践,这些内容也会在处置不同安全问题时被借鉴和复用。
  • 合规性要求:一些行业或系统有严格的合规性要求,如数据安全法、等级保护、ISO等,这些标准规定了一系列必须执行的控制措施,使得不同系统的防护措施雷同。

尽管面临的具体威胁形式不同,但基于对安全风险的总体认知以及多年积累的防护经验和规范要求,网络安全防御措施在策略上不可避免地会有许多相同之处,其中频率最高的三项是保持系统的更新、设置强密码、以及强化用户的安全意识教育。

系统更新是一项长期持续性的工作,用户安全意识教育也是如此,对于用户安全意识教育而言,网络安全问题应对策略存在相似性,意味着:

  • 教育内容可复用:由于许多安全问题的应对措施相通,在进行安全意识教育时,许多通用的安全操作建议、风险防范知识等内容都是可以复用和共享的,避免重复”再次发明轮子”。
  • 教育重点明确:由于各种安全问题有共同的应对原则和策略,教育时可以把重点放在这些核心的安全概念、规范上,培养用户良好的安全习惯和意识,而不必过多地讲解每种攻击细节。
  • 培训形式可统一:针对常见问题通用的防护策略,可以设计统一的培训形式,如线上课程、动画短片等,提高培训的可及性和效率。
  • 宣传途径可整合:在开展安全宣传时,可将不同类型安全问题的防范措施整合在一起,通过综合的途径如海报、手册等进行全方位宣传,提高用户接受度。
  • 教育效果可持续:由于各类问题有共同的应对逻辑,用户掌握这些核心知识后,对面临新的安全威胁时也可以迁移和延续使用,从而获得持续的教育效果。

总之,相似甚至相同的应对策略意味着安全意识教育可以聚焦于通用的核心内容和形式,提高培训的一致性和持续性,从而更高效地提升整体的用户安全意识水平。为了帮助各类型的客户防范和应对网络安全事件,昆明亭长朗然科技有限公司创作了大量的网络安全、信息保密及个人隐私相关的企业培训课程,包括系列动画视频和电子课件,欢迎有兴趣的客户联系我们,免费预览作品以及体验在线学习服务。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

如何应对敢下“血本”的网络窃贼

admin

据了解,最近,网络攻击者为了发起大规模网络钓鱼,不惜投入“血本”,其中就有使用数百个域名,来窃取在线平台用户凭据的“骚操作”,其中不乏使用银行插件木马者,以及偷偷启用远程桌面进而击溃包括指纹验证、短信验证、面部识别等在内的多重身份验证措施的“神操作”。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:通过克隆方式,快速建立虚假网站,骗取用户名和密码的方式,容易被举报进而坍塌,所以一些攻击者变得“不讲武德”,开始注册大量域名,用完即弃,这让侦测钓鱼网站变得困难。同时由于越来越多的网络服务开始启用双重身份验证,要突破这个挑战,使用“客服人员”进行诈骗,成本过高,所以借用诸如NoVNC之类的HTML/JS工具库,嵌入网站或应用中,让用户界面在不知不觉中连接到黑客的“远程桌面”,进而完成身份的二次验证。

这种秘密的操作方法,理论上并不复杂,即所谓的“中间人攻击”而已,算不了什么创新。然而,结合隐藏式远程桌面的方式在此前并广为人知,因为似乎并不易实施。现在,既然该方法都已经被先行者用于实践,在媒体上曝光之时,就如同潘多拉魔盒被打开。相信,罪恶的黑客程序员们开始了军备竞赛,网络安全专家们将面临的是一场正邪较量的持久战。

问题的根源何在?这些年来,网络安全行业得到迅猛发展,计算机病毒都难遭遇到几个,黑客们似乎也都变得很“低调”和“务实”。为什么在网络安全领域,强大的正义之师总是受到黑暗的邪恶势力发起强有力的挑战呢?拿上述实例中暴露的问题来讲,对用户身份进行除了用户名和密码之外的二次鉴别,以防范身份盗窃的技术防御体系,虽然给窃取了用户名和密码的盗窃者增加了麻烦,但是最终还是面临着由于用户被钓鱼的严峻挑战,不管是通过浏览器,还是移动应用的方式。说到底,安全防护技术,可以解决系统方面的弱点,却无法防范胁持用户的网络骗局。而网络不法分子们成功对用户的胁持,要么借用认知的差距,要么借助人性的弱点。

关于认知的差距,源自教育、区域、文化、年龄、性别、专业等差距,人们有受教育程度高低之分、有城乡区域甚至数字经济渗透度之分、有文化信仰之不同、更有年龄的巨大差距、性别造成的性格特点的不同、职业中信息化程度的不同等,这些都会造成人们对网络安全知识的鸿沟。成长于一线城市数字时代的年轻人,只要有心,欺骗初次使用手机的山村老人,那根本不是什么困难的事儿。这种差距能消除吗?能拉平至少拉近一些吗?答案很残酷,不能!至少困难重重,所以,从这一点讲,以网络钓鱼为代表的诈骗,将长久存在。

而人性的弱点(和优点),比如贪婪(热情、执着)、轻信(友善、同情)、虚荣(上进、勇敢)、从众(随和、亲切)、恐惧(安乐、规矩)和大意(宽容、博爱),是非常复杂甚至交错的,与生倶来的,对立统一而又矛盾关联的。不是这方面被利用,就是那方面被利用,永远没有完美的人可以逃脱网络不法分子(更广义讲,商家们、营销人员们)的恶意利用。

如此说来,正义的人们,就该受到敢下“血本”的网络攻击者们的“任意宰割”吗?不!至少,通过一定的努力,在一定程度上,可以弥补认知的差距,认识到利用人性弱点的技俩,进而减少甚至规避因网络盗窃,而带来的损失。世界很大,荡平天下,拯救世界,是“大丈夫”难以实现的终极目标。然而,最可行的也是最迫切的,仍然是先“扫一屋”,即提升自我,提升身边人,提升职责范围内人们的安全认知,减少与网络攻击者们之间的差距。同时,加强对内在“自我”和外部“世界”的认知,不断强化心性的修炼,以达到最接近“完美”的和谐的、可抵抗常规诈骗的成熟至臻状态。

昆明亭长朗然科技有限公司推出了大量的网络安全意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有网络安全相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com