所有角色都是虚构的,与真实公司的所有比赛都是完全随机的!
企业网络最常见的安全问题是什么? 这个问题的答案不是那么简单。 但是我们可以共享通过使用
Check Point Security CheckUP进行网络安全审核而获得的一些统计信息。 我们已经发布了有关
什么是Security CheckUP以及如何执行它的一系列文章。 第一个视频教程甚至描述了为什么可能需要它。 我们进行的CheckUP数量长期以来已超过一百。 在所有这些时间中,已经积累了可以使用Security CheckUP检测到的最常见网络安全问题的统计信息。 几乎所有公司都存在以下威胁(有些威胁更多,有些威胁更少)。
1)员工使用VPN和代理
在现代公司中,几乎没有剩下的“小人物”只能使用Internet Explorer并只能访问带有书签的网站。 用户变得更加高级,VPN,Proxy,Anonymizer等单词都不会令任何人惊讶。 如CheckUP的结果所示,几乎每个公司都有使用Tor,Betternet,Freegate等的员工。 它们被用来绕过Roskomnadzor的锁,或者绕过公司本身的锁(去玩扑克或看成人视频)。 在外围没有NGFW类解决方案的情况下阻止它几乎是不可能的。
使用VPN有什么危险?
使用VPN最危险的事情不是用户可以绕过阻止这一事实。 主要问题是加密流量将通过网络外围。 即使您拥有具有防病毒和IPS功能的非常好的边缘设备,也无法检查任何内容。 通过加密的通道,您可以“拖动”您喜欢的任何内容,包括病毒文件(用户本人甚至可能都不怀疑自己正在下载不良内容)。 HTTPS流量也有类似问题。 我们在“
最大检查点 ”一课中对此进行了描述。 如果您不在网络边缘使用SSL检查,那么您将面临Internet通道带宽大小的巨大漏洞。
报告范例
对于许多安全人员而言,令人惊讶的是,如此之多的人在其网络上使用匿名器,并且有大量流量通过它们。 这些渠道内部传递的信息将无法发现。
2)洪流
老实说,当我收到类似的统计数据时,我感到很惊讶。 在几乎所有公司中,都注意到通过torrent(或其他p2p应用程序)进行下载。 此外,下载流量的数量可以轻松扩展。 我们的一位客户发现用户一周内下载了2 TB! 似乎每个人都有一个家庭和非常高速的互联网。 为什么要在工作中下载种子?
使用洪流有什么危险?
主要问题是Internet通道带宽上的巨大负担。 通常,这会对业务应用程序的工作产生负面影响,例如IP电话,公司的云资源(CRM,电子邮件)等。 此外,在计划购买网络外围的防火墙时,许多人会根据可用的信道负载统计信息选择解决方案。 我们查看了过去一个月中400 Mbit / s左右的平均负载,这意味着应该采用更强大的防火墙,因此价格也更高。 只有现在,如果您阻止所有“左”流量,则可以大大节省购买NGFW的费用。
此外,几乎所有通过torrent下载的文件都是部分下载的。 这使得通过反病毒或IPS等系统检查流量非常困难。
报告范例
3)僵尸网络
在90%的情况下,有可能检测到作为僵尸网络一部分的受感染计算机。 正式地,受感染的计算机可能不会干扰用户的工作。 文件不会被删除,未加密,不会合并任何信息。 但是,计算机上有一个“小型”实用程序,可在命令中心始终“敲门”并等待指令。 值得认识的是,当Check Point将合法流量定义为僵尸网络时,也会存在误报。 每个事件都需要仔细考虑。
僵尸计算机为何有危险?
被感染的计算机可以在您的网络上生存数年。 他们可能不会伤害您,但是完全不可能预测他们将在“美好的一天”中做什么。 他们将收到下载加密病毒并感染整个网络的命令。
报告范例
4)远程访问实用程序
另一个不愉快的事件。 绝大多数公司向人们展示了使用远程访问实用程序访问其工作计算机(TeamViewer,RDP,LogMeIn等)的人。 尽管没有人保证员工自己使用此远程访问。 也许这些人是前雇员或病毒公司的一部分。
为什么远程访问实用程序很危险?
除了未经授权访问网络的问题之外,还有另外一件事-文件传输。 看到这些远程会话何时传输大量流量(千兆字节),尤其让人感到“悲伤”! 大多数远程访问实用程序都会加密其连接,因此无法找出正在下载或下载的内容。 但是总的来说,这是可能泄漏公司信息的很大渠道。
报告范例
5)色情和其他“娱乐”
不管听起来多么令人惊讶,但人们确实在工作中观看成人视频。 此外,交通量惊人。 在其中一个CheckUP中,我们发现该公司的一名员工在两周内“观看”了26 GB的色情内容。
什么是危险的色情作品?
这个问题听起来很有趣。 如果您不考虑道德和道德标准,那么问题可能会有所不同-用户在娱乐上花费大量时间。 YouTube,社交网络,即时通讯程序。 所有这些显然不利于生产力(尽管这里也可以争论)。 通常,使用CheckUP可以看到谁在花时间,花在什么上面。
报告范例
6)邮件中的病毒
CheckUP不仅可以检查用户流量,还可以检查所有传入的邮件。 这不仅是垃圾邮件检查,还是邮件正文中附件(doc,pdf,zip等)和链接的检查。 此外,设置验证非常简单。 邮件服务器配置为将所有信件的副本直接转发到运行MTA(邮件传输代理)的Check Point。 在Exchange上,可以使用密件抄送(Bcc)完成此操作。 此检查的主要优点是,我们已经在客户端的现有反垃圾邮件解决方案之后检查了信件。 当客户发现恶意电子邮件仍然大量通过时,他们会感到惊讶。 即 在大多数情况下,发现目前保护邮件流量的方法无法应对。
邮件中病毒的危害是什么?
愚蠢的问题。 根据最近的报道,邮件仍然是向用户传播病毒的领先方式。 此外,该恶意软件可以是附件文件,也可以是某些资源(Google驱动器,Yandex磁盘等)的链接。 Check Point允许您使用SandBlast技术对此类情况进行更深入的分析(我们不会描述它是什么,现在不再赘述)。
报告范例
如您所见,SMTP通信在病毒中占主导地位。 Plus病毒不仅是exe文件,而且是用户通常不用担心打开的普通.doc或.pdf文档。
7)网络钓鱼
几乎每个CheckUP都会检测到用户单击网络钓鱼链接。 Office 356,paypai,sbenbank,fasebook,appie,...仿冒网站的例子可以永远存在。 总体而言,网络钓鱼攻击的方向正以前所未有的速度增长。 如果您可以欺骗易受骗的用户,那么为什么要发明棘手的病毒并与防护技术进行斗争是可以理解的。 一个人将永远是公司信息安全中最薄弱的环节。
网络钓鱼的危险是什么?
可以说,网络钓鱼是用户的个人问题。 好吧,下一次他们将变得更聪明时,他们将从他们的卡中窃取金钱。 但是,公司数据可能通过网络钓鱼被盗! 邮寄地址,密码,重要文件。 值得注意的是,用户经常喜欢使用公司密码在公共站点(社交网络,torrent跟踪器等)上注册。 当您在任何地方都可以使用一个密码时,为什么还要记住一堆密码?
报告范例
8)从公司网络上传到云
另一个重要的安全问题是云存储。 Dropbox,GoogleDrive,Yandex驱动器等 每个人都在毫无例外地使用这些服务。 但是知道某人正在公司网络上使用它是一回事,而看到千兆字节的流量通过这些渠道则是另一回事。 在80%的案例中,我们发现被审计公司存在类似问题。
上载有什么危险?
一切在这里都很明显。 有人可以合并公司数据。 而且,如果您没有DLP解决方案,那么就不可能看到确切的“合并”。 但是,不仅上传到这些云资源是危险的。 不少危险,下载! 长期以来,黑客已经习惯于使用公共文件存储来传播病毒。
报告范例
这只是一个例子。 在俄罗斯,像Yandex.Disk,Cloud.Mail.ru,OneDrive等更常见。 上图仅显示文件数,但也可以显示卷的统计信息:
其他问题
我们仅列出了可以使用Check Point Security CheckUP检测到的最流行的问题。 在几乎所有审核中都可以找到它们。 但是,还有更多的问题,还有更严重的问题:
利用攻击
而且,不仅用户的计算机,而且公司的服务器都可以攻击。
公司资源的DDoS
当然,还有一些下载病毒(包括0天)的事件,当前的保护工具无法捕获。 类似的问题也很常见。 但是它们的架构更加复杂,并且始终需要进行更详细的研究(最后,没有人可以消除误报)。
结论
这样,我们将结束我们的小TOP-8典型安全问题。
要记住的主要事情是
信息安全不是结果,而是一个连续的过程 。 在这方面,Check Point安全性CheckUP为您的安全性提供了非常好的(尽管不完整!)分析。 可以免费执行此审核的事实使CheckUP几乎成为该领域的最佳解决方案。
有关Security CheckUP的其他信息。