根據(jù)安全服務(wù)供應(yīng)商Trustwave的研究數(shù)據(jù)顯示，雖然很多應(yīng)用程序漏洞都是已知的且可被阻止的，但很多企業(yè)都沒有部署安全編碼做法或定期測試其應(yīng)用程序來查找漏洞。Trustwave事件響應(yīng)和取證主管Chris Pogue表示，如果企業(yè)忽視這些基本的網(wǎng)絡(luò)安全做法，他們根本無法阻止更高級的攻擊。

網(wǎng)絡(luò)給企業(yè)帶來各種各樣的安全威脅，下面我們列出了威脅企業(yè)的10個網(wǎng)絡(luò)威脅：

1. DDoS攻擊

IT專家認(rèn)為分布式拒絕服務(wù)攻擊就是：大量數(shù)據(jù)包涌入受害者的網(wǎng)絡(luò)，讓有效請求無法通過。但這只是最基本的DDoS攻擊形式，防御方面的改進(jìn)已經(jīng)迫使攻擊者改變了他們的攻擊方式。DDoS攻擊使用的數(shù)據(jù)包越來越多，攻擊流量最多達(dá)到100Gbps。

攻擊者還開始針對基礎(chǔ)設(shè)施的其他部分，其中企業(yè)域名服務(wù)的服務(wù)器的攻擊者最喜歡的目標(biāo)。因?yàn)楫?dāng)攻擊者成功攻擊DNS服務(wù)器后，客戶將無法訪問企業(yè)的服務(wù)。

大規(guī)模DDoS攻擊通常會采用“低且慢”的攻擊，這種攻擊使用特制的請求來讓web應(yīng)用程序或設(shè)備來處理特定的服務(wù)，以快速消耗處理和內(nèi)存資源。這種應(yīng)用層攻擊現(xiàn)在占所有攻擊的四分之一。

此外，攻擊者還會尋找目標(biāo)網(wǎng)站的網(wǎng)址，然后呼叫該網(wǎng)站的后端數(shù)據(jù)庫，對這些網(wǎng)頁的頻繁呼叫將很快消耗掉網(wǎng)站的資源。

在速度慢的攻擊中，路由器將崩潰，因此，企業(yè)無法使用設(shè)備來阻止不好的流量。這些攻擊還可以通過云DDoS防護(hù)服務(wù)。企業(yè)應(yīng)該采用混合的方法，使用web應(yīng)用程序防火墻、網(wǎng)絡(luò)安全設(shè)備和內(nèi)容分發(fā)網(wǎng)絡(luò)來建立一個多層次的防御，以盡可能早地篩選出不需要的流量。

2. 舊版本的瀏覽器和易受攻擊的插件

每年涉及數(shù)百萬美元的銀行賬戶欺詐網(wǎng)絡(luò)攻擊都是利用瀏覽器漏洞，更常見的是，利用處理Oracle的Java和Adobe的Flash及Reader的瀏覽器插件。漏洞利用工具包匯聚了十幾個針對各種易受攻擊組件的漏洞利用，如果企業(yè)沒有及時更新，攻擊者將通過這種工具包迅速侵入企業(yè)的系統(tǒng)。例如，最新版本的Blackhole漏洞利用工具包包含7個針對Java瀏覽器插件的漏洞利用，5個針對Adobe PDF Reader插件，2個針對Flash。

企業(yè)應(yīng)該特別注意Oracle的Java插件，因?yàn)镴ava被廣泛部署，但卻鮮少修復(fù)。 企業(yè)應(yīng)該利用補(bǔ)丁修復(fù)管理產(chǎn)品來阻止這種漏洞利用攻擊。

3.包含不良內(nèi)容的好網(wǎng)站

知名的合法網(wǎng)站開始成為攻擊者的目標(biāo)，因?yàn)楣粽呖梢岳糜脩魧@些網(wǎng)站的信任。企業(yè)不可能阻止員工訪問這些知名網(wǎng)站，并且企業(yè)的技術(shù)防御總是不夠。

還有另一種更陰險(xiǎn)的攻擊--惡意廣告攻擊，這種攻擊將惡意內(nèi)容插入廣告網(wǎng)絡(luò)中，惡意廣告可能只是偶爾出現(xiàn)在廣告跳轉(zhuǎn)中，這使這種攻擊很難察覺。

同樣的，企業(yè)應(yīng)該采用多層次的防御方法，例如，安全代理服務(wù)器結(jié)合員工計(jì)算機(jī)上的反惡意軟件保護(hù)來阻止已知威脅的執(zhí)行。

4.移動應(yīng)用程序和不安全的Web

BYOD趨勢導(dǎo)致企業(yè)內(nèi)消費(fèi)者設(shè)備激增，但移動應(yīng)用程序安全性很差，這使企業(yè)數(shù)據(jù)處于危險(xiǎn)之中。

60%的移動應(yīng)用程序從設(shè)備獲取獨(dú)特的硬件信息并通過網(wǎng)絡(luò)接口傳出去，更糟糕的是，10%的應(yīng)用程序沒有安全地傳輸用戶的登錄憑證。

此外，支持很多移動應(yīng)用的Web服務(wù)也很不安全。由于用戶不喜歡輸入密碼來使用移動設(shè)備上的服務(wù)，移動應(yīng)用經(jīng)常使用沒有過期的會話令牌。而攻擊者可以在熱點(diǎn)嗅探流量并獲取這些令牌，從而訪問用戶的賬戶。

企業(yè)很難限制員工使用的應(yīng)用程序，但企業(yè)可以限制員工放到其設(shè)備的數(shù)據(jù)以及限制進(jìn)入企業(yè)的設(shè)備。

5. SQL注入

對于SQL注入攻擊，最簡單的辦法就是檢查所有用戶提供的輸入，以確保其有效性。

企業(yè)在修復(fù)SQL漏洞時，通常專注于他們的主要網(wǎng)站，而忽視了其他連接的網(wǎng)站，例如遠(yuǎn)程協(xié)作系統(tǒng)等。攻擊者可以利用這些網(wǎng)站來感染員工的系統(tǒng)，然后侵入內(nèi)部網(wǎng)絡(luò)。

為了減少SQL注入問題的風(fēng)險(xiǎn)，企業(yè)應(yīng)該選擇自己的軟件開發(fā)框架，只要開發(fā)人員堅(jiān)持按照該框架來編程，并保持更新，他們將創(chuàng)造出安全的代碼。

6.證書的危害

企業(yè)不能盲目地信任證書，攻擊者可能使用偷來的證書創(chuàng)建假的網(wǎng)站和服務(wù)，或者使用這些證書來簽署惡意代碼，使這些代碼看起來合法。

此外，糟糕的證書管理也會讓企業(yè)付出巨大的代價(jià)。企業(yè)應(yīng)該跟蹤證書使用情況，并及時撤銷問題證書。

7.跨站腳本問題

跨站腳本利用了瀏覽器對網(wǎng)站的信任，代碼安全公司Veracode發(fā)現(xiàn)，超過70%的應(yīng)用程序包含跨站腳本漏洞，這是影響商業(yè)開源和內(nèi)部開發(fā)軟件的首要漏洞問題。

企業(yè)可以利用自動代碼檢查工具來檢測跨站腳本問題，企業(yè)還應(yīng)該修改其開發(fā)流程，在將程序投入生產(chǎn)環(huán)境之前，檢查程序的漏洞問題。

8.不安全的“物聯(lián)網(wǎng)”

在物聯(lián)網(wǎng)中，路由器、打印機(jī)、門鎖等一切事物都通過互聯(lián)網(wǎng)連接，在很多情況下，這些設(shè)備使用的是較舊版本的軟件，而這通常很難更新。 攻擊者很容易利用這些設(shè)備來侵入企業(yè)內(nèi)部網(wǎng)絡(luò)。

企業(yè)應(yīng)該及時發(fā)現(xiàn)和禁用其環(huán)境中任何UPnP端點(diǎn)，并通過有效的工具來發(fā)現(xiàn)易受攻擊的設(shè)備。

9.情報(bào)機(jī)器人

并非所有攻擊的目的都是攻擊企業(yè)的防御系統(tǒng)。自動web機(jī)器人可以收集你網(wǎng)頁中的信息，從而讓你的競爭對手更了解你的情況，但這并不會破壞你的網(wǎng)絡(luò)。

企業(yè)可以利用web應(yīng)用程序防火墻服務(wù)來判斷哪些流量連接到良好的搜索索引機(jī)器人，而哪些連接到競爭對手的市場情報(bào)機(jī)器人或者假的谷歌機(jī)器人。這些服務(wù)可以防止企業(yè)信息流到競爭對手。

10.新技術(shù) 舊問題

不同企業(yè)可能會遇到不同的威脅，有網(wǎng)上業(yè)務(wù)的企業(yè)可能會有SQL注入和HTML5問題，有很多遠(yuǎn)程辦公人員的企業(yè)可能會有移動問題。企業(yè)不應(yīng)該試圖將每一種威脅降到最低，而應(yīng)該專注于最常被利用的漏洞，并解決漏洞問題。同時，培養(yǎng)開發(fā)人員采用安全做法，并讓開發(fā)人員互相檢查代碼以減少漏洞。