一个实际的网络漏洞威胁企业安全指南

“网络第一”是一种常见的策略对于许多组织来说,无论大小,但它有很多安全问题。在著名安全专家Bruce Schneier的话说,“互联网从未设计时考虑到安全。”[我]随着它的发展随着时间的推移,支持关键基础设施和公共交换敏感信息,缺乏安全已经成为一个更大的担忧。领导人需要理解网络安全的内部和外部威胁,以确保他们的数字边缘不成为一个致命的弱点。

基于风险的安全的一份报告发现,近85%的渗透攻击网络和IT基础设施是外部(互联网和万维网),主要针对信息、医疗、金融、保险和政府部门。该报告还发现,2019年被网络罪犯违反记录超过151亿,比2018年增加了284%。(二)两个以上的个人记录的地球上每一个人。此外,波耐蒙研究所估计,全球风险价值的所有类型的网络犯罪将增长到5.2万亿美元累计在未来五年内(2019 - 2023)。[3]

内部和外部的漏洞

传统的安全工具和实践并不旨在增殖漏洞一个组织的内部或外部安全周长。零信任安全是一个方法”基于的概念,应该没有自动信任任何内部或外部网络和每个人,一切都应该试图获得验证。”这个想法的内部(内部)和外部(外部)有助于理解普通危险点。这些包括:

• 内部:最终用户或设备内部的组织网络
• (外部)的优势:物联网或其他不安全的网络设备
• (外部)的核心:核心互联网协议,特别是边界网关协议(东方)和域名系统(DNS)服务器

最近世界经济论坛(WEF)的网络犯罪报告列出了最常见的互联网服务提供商(isp)所面临的威胁,他们的客户。这些包括:(四)

1。(内部的)社会工程欺诈——(钓鱼):在大多数组织的防御最薄弱的一环是人类脆弱性钓鱼攻击。这是相当容易利用操纵互联网协议,打破密码或破解加密通信。作为一个例子,网络罪犯最近利用公众关注关于COVID-19在一波又一波的钓鱼活动,导致超过600%的峰值钓鱼邮件。[v]没有网络罪犯的道德界限。

2。(边缘)分布和部署的恶意软件:虽然所有类型的网络攻击的年度总成本继续增加,恶意软件是最昂贵的攻击类型组织和它继续生长。2018年,每组织成本是260万美元,比2017年增加了11%。^三世物联网和其他无担保联网设备很容易上安装恶意软件,增加的这个体系的规模和有效性分布式拒绝服务(DDoS)攻击。

3所示。(核心)颠覆互联网协议进行攻击:边界网关协议劫持和DNS中毒利用漏洞在互联网核心路由协议和域名服务器路由网络流量。这些攻击落在三个类别:犯罪、政治和意外,可以造成广泛的破坏。途中和历史现状泄漏和企图边界网关协议劫持在思科BGPStream不断更新。(六)

支撑的防御

世界经济论坛的报告强调互联网服务提供商(isp)的独特影响力的位置来管理风险和教育。它概述了四个网络犯罪预防原则,互联网服务提供商和他们的客户可以采取提高互联网安全。这些也结合上述普通危险点:^三世

1. (内部)保护消费者免受网络攻击和集体行动与其他互联网服务提供商来识别和应对威胁。(阻碍交通类型和刑事站点url, DDoS缓解)
2. (内部)提高认识和了解威胁,帮助保护网络。(安全意识教育,杀毒软件和防火墙)
3. (边缘)工作与制造商的网络硬件、软件和基础设施来提高恶意代码防御和控制僵尸网络扩散物联网设备高度不安全。(DDoS缓解)
4. (核心)采取行动支撑的安全路由和信令加强有效的防御攻击。(加入MANRS社区和RPKI经营)

内部:教育的最终用户对支撑内部防御至关重要。许多漏洞是由最终用户无意中开洞网络防御通过点击一个链接,打开电子邮件附件,网站披露的凭证。一旦突破了网络,网络罪犯可以访问数据库和个人记录或安装恶意软件支持各种利用。

优势:通过简单的操作系统和最小安全、物联网和边缘设备是恶意软件的主要目标之一。他们越来越多地用作反射向量/放大和大规模DDoS攻击。Equinix正在与一些专家网络安全提供者提供创新的DDoS预防和互联网洗涤服务。

核心:技术能力的网络犯罪也越来越颠覆核心互联网协议。因此,即使一个企业获得一切正确的防火墙,杀毒软件和培训终端用户不点击链接,DNS利用或边界网关协议劫持可以将互联网连接重定向到虚假的服务器。遗留互联网路由协议BGPv4运作没有验证本地起源,使网络罪犯恶搞IP地址和网络目的地。

劫持的预防需要多个服务提供者的合作。虽然isp一直不愿合作在过去他们开始一起全球防止坏演员利用这一核心BGPv4脆弱性。的双方同意路由安全规范(MANRS)互联网协会支持的全球倡议,倡导实现资源的公钥基础设施(RPKI)互联网服务提供商和网络交流。MANRs不断更新的互联网服务提供商和网络交流的人致力于MANRs和采取的行动提出了过滤、欺骗、协调和全球验证。(七)Equinix MANRS参与者并支持RPKI努力。

最佳实践减少边缘和核心的威胁

鉴于漏洞的当前状态,这里有一些最佳实践企业可以采取防止边缘和核心攻击:

1. 问问你的ISP,看他们操作RPKI和他们的政策是无效的声明从同事和客户。您还可以检查是否参与MANRS。
2. 回顾你的公司战略的DDoS攻击缓解。Equinix的提供了大量的高效解决方案与主要合作安全服务提供商。
3. 通过互联网连接靠近核心的交流等Equinix的互联网交换™提高性能和安全性。
4. 对关键基础设施和应用程序处理敏感流量,利用主机托管和直接物理连接。Multicloud和分布式数188bet投注据也是最好通过直接私有连接到公共云。Equinix的云交换结构^TM连成一片布^TM这个模型扩展到一个私人分布式体系结构。

利用一个互联平台如平台Equinix的^®,再加上zero-trust安全模型,允许控制所有业务沟通通过交通交流点本地私有数据仓库和multicloud集成应用程序和服务。这使您能够管理不断变化在任何云或合作伙伴,同时保持控制zero-trust交易所点。

听我的播客与Innopsis追求一个互联网的业务考虑第一种方法,和阅读学习更多关于白皮书如何保护您的数字基础设施对DDoS攻击。

你可能也会感兴趣:

确保下一代的互联网的核心服务

互联网凝视+ DDoS缓解=弹性安全

我们其他的博客分布式拒绝服务和分布式安全

[我]Schneier,布鲁斯。点击这里杀死每个人:安全和相连的世界里生存,w . w . Norton &公司,2018年。ISBN 978-0-393-60888-5

(二)基于风险的安全,2019年底的报告:数据违反QuickView,着陆页和报告,2020年。

[3]波耐蒙研究所与埃森哲安全、网络犯罪的成本,着陆页和报告,2019年3月。

(四)世界经济论坛上,互联网服务提供商的网络犯罪预防原则,2020年1月。

[v]Infosecurity杂志# COVID19驱动网络钓鱼电子邮件在一个月上涨了667%,2020年3月。

(六)思科边界网关协议流。

(七)MANRS,https://www.manrs.org/,ISP的参与者和互联网交流参与者。