新闻快讯
< >

现代安全指南:如何分层级保障网络安全

只有将睿智的决策与正确的预防措施加以结合,才能够保持企业网络环境的安全性与生产效率,同时确保您具备能够应对面临的实际风险的能力。

现代安全指南:如何分层级保障网络安全-E安全

E安全5月31日文 互联网世界可谓危机四伏。时至今日,网络威胁正呈现出多种表现形式,且潜伏在几乎一切角落。更糟糕的是,以往我们所强调的安全保障建议,例如避免非法网站、不访问恶意内容、仅与熟知的人士交互等,如今已经无法满足在线安全需求。

实际上,钓鱼邮件开始假借家庭成员名义出现、攻击者利用合法应用程序实施间谍活动、众多知名网站亦受到恶意代码的劫持,这意味着我们必须利用新的数字安全规则以满足当今不断变化的威胁状况。

考虑到我们的数字化生活已经高度依赖于网络空间,包括通信、金融交易、娱乐、工作、教育等等,采取安全方式进行浏览无疑能够带来极大助益。具体来讲,,我们需要以科学方式处理电子邮件,考虑到电子邮件已然成为网络攻击当中漏洞工具包与恶意软件的重要载体。

在今天的文章中,E安全将与您共同探讨一项战略性指导,其中将概述应采取哪些举措以立足网络层面保护数据及隐私,同时尽可能不对生产力造成负面影响。

安全措施VS生产力保障

面对着浩如烟海的网络威胁因素,我们首先想到的当然是以严格方式锁定一切,但这种作法带来的挑战在于,我们需要在预防举措与生产力保障之间求得平衡点。

举例来说,为了避免恶意JavaScript代码的肆虐,可以尝试在浏览器首选项中禁用JavaScript来解决这个问题,但这也将直接导致近半数互联网资源变得不再可用。一个实际的例子:如果您打算在禁用JavaScript的情况下打开电子邮件,E安全小编只能笑而不语了。我们以不同的方式使用网络资源,因此面临的风险亦各有区别,具体取决于我们身在哪里、做些什么以及在哪些时段使用。对于保障电子邮件用户安全这项任务,安全研究人员在处理新浪微博与观看视频网站的用户时显然会采取不同的对策。更进一步地讲,各类开发者工具的下载与论坛建议调整选项的设置也会给安全保护工作带来影响。

作为最为基础的安全保障层级,E安全小编建议大家应当定期更新您的【全部应用程序】,不仅仅是操作系统,尤其是您的网络浏览器。另外,如果浏览器未默认将Flash设定为【点击后播放】,请务必手动启用这一选项。再有,大家需要禁用ActiveX并在设备上卸载Java客户端。除非您需要使用的是高度依赖于Java的客户端应用程序,例如游戏或者特定教育产品,否则您并不需要保留Java。目前即使是视频会议等主要应用也已经开始转向纯HTML 5实现方式。

大家还应考虑将场地与操作加以关联及考量。举例来说,在公共无线网络上执行敏感交易很可能会给您造成损失。警惕!您最喜爱的咖啡馆所提供的公共WiFi并不适合用于处理网上银行业务。另外,即使您使用了SSL连接,仍有可能遭受中间人攻击。

在了解了这些基础知识之后,下面大家需要考虑您最担心的风险是什么、需要保护哪些资产、定期与谁交流以及您的数据存储在哪里。在以下几个小节中,E安全小编将具体解析这些问题,帮助您将自身安全浏览实践与威胁容忍水平匹配起来,最终找到最适合您实际需要的保障举措平衡点。

威胁层级1:恶意软件

大多数人,尤其在企业当中,会不惜一切代价避免恶意软件的侵扰。作为两大最为常见的攻击微量,恶意软件下载链接与偷渡式下载链接(即在点击后会通过加载目标网页的方式自动下载恶意软件的链接)最值得关注。高风险链接往往出现在网页、电子邮件以及即时通信内容当中。欺诈分子往往会利用社交网络及网址缩写服务等手段传播经过伪装的恶意链接,并希望有人因点击而成为受害者。

现代安全指南:如何分层级保障网络安全-E安全

如何最大程度避免?

首先:,停止点击不明链接。这一目标需要配合严格培训且很难得到保障,毕竟我们随时随地都在向企业或者个人发出及收取各类链接。因此,E安全小编建议要求与您定期沟通的人士在发送链接前首先作出说明及提醒,并在链接发送后作出确认。

或者,您亦可以通过其它渠道向链接的“宣称”发送者进行核实,例如通过短信询问通过其帐户发出的链接是否确实来自本人操作。这听起来似乎有点偏执,但根据近期具有极高的成功率的谷歌文件欺诈活动证明,人们往往在看到来自信任人士发送的信息时缺乏警惕性。

最后,请尽可能手动输入链接。如果某人向您发送了一篇白皮书链接,请亲自访问对应网站并按标题搜索该资料。

改进提示:设置浏览器以确保文件保存时发出存储位置提示,这样在任何下载操作进行前您都能得到提示。偷渡式下载的恐怖之处就在于其能在用户毫不知情的前提下完成恶意软件下载。另外,E安全小编建议配置您的安全软件扫描全部下载文件,这将进一步确保浏览器不会在未知情况下存储恶意代码。

威胁层级2:间谍软件

攻击者能够通过入侵您的浏览器发现各类有价值信息。在这种情况下,浏览器中安装的插件很可能成为最大的隐患所在。因此,您需要谨慎使用插件,因为其往往会成为不可预见的恶意软件传递载体。

具体来讲,用户需要定期检查您的扩展列表(Chrome中为chrome://extensions,火狐中为about:addons),旨在了解其中是否存在某些陌生或者令人费解的条目。您亦可以通过禁用各种可疑项目以降低发生问题的机率。另外,请务必当心网页当中一切诱导您安装浏览器扩展的请求,例如“点击‘添加’”以提升浏览速度或者其它一些欺骗性的提示。

第一步: 请以格外谨慎的态度对待那些由个人创建的浏览器插件,因为其很可能会以非HTTPS方式访问站点。即使是像LastPass这样的专业密码管理器,也刚刚在此前修复了一系列极为严重的安全漏洞。因此在安装任意插件之前,请认真考量其带来的助益是否真的高于潜在风险,如果答案是否定的,请拒绝安装或者尽快卸载。

改进提示:请务必关注数据来源。如果需要下载Flash或者Adobe Reader,请从Adobe公司的官网处下载。切记不要从非官方网站处下载任何工具,因为其中很可能包含您难以察觉的间谍软件、广告软件以及其它恶意文件。

另外,不要直接搜索【免费PDF转换器】并无脑下载第一条链接提供的资源。(Chrome本身就能够将页面自动转换为PDF,Office亦可将内容打印输出为PDF格式。)。

威胁层级3:被“追踪”

相信大家都有过这样的经历:在某电子商务网站上浏览过地砖之后,互联网页面中的各类弹窗广告开始不断给出与之相关的商品推荐。这就是广告商能够领先cookies追踪您的在线访问活动的结果,他们会以此为基础提供与之相关的广告内容。当然,广告还仅仅只是开始,网站会利用cookies记录您的帐户、密码与浏览历史,同时追踪您在其网站上的具体操作。因此,如果能够禁用及清除cookies,那么您的个人数据将不太可能为网络犯罪分子所获取。

第一步: 使用隐私浏览或者隐身模式进行互联网访问。

在这种情况下,当会话结束时,您的cookies与浏览历史将不会得到保留。您亦可启用隐身模式并粘贴URL(特别是那些您不确定是否指向恶意软件的链接)以导航至目标页面,从而确保自身免受追踪。如果大家希望在Chrome当中始终使用隐身模式,则可在Chrome属性中的目标命令后添加“-incognito”参数,如此一来您即可随时以隐身模式启动Chrome浏览器。另外,您亦可通过about:config以相同方式使用火狐浏览器。

改进提示:如果大家需要使用新浪微博或其它社交帐户,但又不希望一次次输入登录信息,则可在Chrome、火狐或者Safari当中创建一个独立的用户配置文件,这是专门为各类社交网络所预留。其负责保证相关信息仅用于实现登录,且不会被外界所窥探。这种作法限制了与登录操作相关的数据量,确保仅使用您必须使用的数据内容。另外,这项技术亦可用于降低网站追踪状况,包括使用社交网络内单点登录机制访问的流媒体音乐服务平台等其它服务。

如果非常介意浏览被追踪,则请务必在每款浏览器当中启用不追踪选项。需要注意到是,不追踪选项并非强制条目,其仅负责告知目标网站您不希望被追踪,这意味着其实际效果取决于所访问网站对您请求的尊重程度。许多网站对此并不重视,即不能保证您所访问的网站能够支持这一请求,但这至少能够提前申明您不愿被追踪的意愿。

威胁层级4:信息安全

Cookies因其包含大量有价值信息,一直是网络犯罪分子眼中最为重要的目标之一,特别是电子邮件、帐户名称以及密码等内容。即使进行混淆,此类信息仍可能被攻击者所利用。跨站点脚本攻击就会利用网页JavaScript从cookies当中提取到的用户细节与会话信息伪造在线状态及跨站点请求,从而实施对其它网站的欺诈式入侵。

现代安全指南:如何分层级保障网络安全-E安全

第一步: 只要可以,请务必屏蔽各类cookies。尽管屏蔽第一方与第三方cookies以及禁用会话cookies确实能够有效提升安全性,但这种作法往往会导致电子邮件与社交网络发生不可用问题。因此,大家至少应当屏蔽第三方cookies,并定期删除浏览器当中的历史记录。

另外,不要允许浏览器保存您的密码。尽管这种方式非常方便,但其很难保证所存储密码的安全性。E安全小编建议大家使用独立的密码管理器,例如1password或者KeePass。

改进提示:在搜索方面,可以使用DuckDuckGo等安全搜索引擎,其不会自动存储任何由计算机传输的信息,包括您的IP地址以及其它数字身份信息。DuckDuckGo不会基于原本的搜索及定位自动补全搜索查询内容,但这一点小小的牺牲绝对能够换来安全性的显著提升。

但如果大家希望保留自己的信息,那么隐私浏览将提供帮助,毕竟不保存cookies的话,攻击者将没有任何有价值信息可供窃取。

另外,在每款浏览器的会话操作完成后删除所有cookie也是个不错的选择。这就意味着您将不得不在访问各个网站时重复输入登录信息。您也可以建立不同的用户会话,并创建特定的登录会话并限制cookies以完成特定的使用及作方式。

尽管部分插件确实非常危险,但也有不少仍值得推荐,例如Disconnect,可帮助用户屏蔽一切第三方追踪cookies,能够确保您的社交媒体帐户不致受到浏览历史记录的影响,您将可全面控制站点上的脚本。另一款值得一提的扩展为Ghostery,其能够屏蔽各类常规追踪脚本,但需要您根据实际需要为各站点设置脚本白名单。

威胁层级5:钓鱼攻击

钓鱼网站属于一类欺诈性网站,旨在窃取访问者的个人信息。除了伪装成电子邮件或者银行网站去骗取您的登录凭证之外,其也可能假借竞赛或者中奖之名要求您输入社保号码。网络钓鱼攻击还能够将受害者重新定向至其它恶意网站,从而下载恶意代码及恶意软件并收集各类敏感信息。时至今日,潜在的网络钓鱼活动几乎无处不在,因此在点击任何链接之前要慎之又慎重。

现代安全指南:如何分层级保障网络安全-E安全

第一步:不要点击来自电子邮件中的链接或者打开其附件,更不要向表单当中填写您的敏感信息。尤其不要相信假借政府方面发布的诉讼表单,这些很可能为子虚乌有,您应打电话给其中提到的部门进行亲自确认。另外,千万不要因为邮件中宣称的人力资源部假期调整要求而直接点击链接,相反,您应访问人力资源网站了解详情。这里需要强调的是,网址构成中存在着许多可资利用的漏洞,例如将数字0替换为字母O,或者将nn替换为m,包括paypal.com.someothersite.com这类看上去似乎没什么问题的地址。因此,请务必亲手在地址栏中输入您所信任的企业网站地址,而不要点击邮件或者即时通讯消息中的现成链接。

改进提示: 请仅在使用HTTPS的网站上提供个人信息。需要强调的是,考虑到Let’s Encrpyt以及其它免费SSL证书来源的存在,单纯是绿色小锁图标还不足以让我们安心。大家应当关注EV证书,即浏览器地址栏处应当显示正确的对应名称。由电子前沿基金会发布的HTTPS Everywhere扩展也是一个很好的选择,其能够以强制性方式通过HTTPS传输网站流量。

如果大家收到来自商家的特价或者打折信息邮件,请查看其是否有将邮件发送为文本而非HTML的选项。这能够帮助大家准确判断其内容中是否存在链接。

我们很难检测出一切钓鱼意图,毕竟其中部分恶意活动确实水平很高。因此,请确保没在不同帐户中使用同一密码,否则一旦密码丢失,全部帐户都将为恶意人士所获取。另外,请尽可能将个人网络浏览与工作网络浏览分离开来,且永远不要使用工作地址进行网站注册,这种作法会导致在帐户丢失后,您的工作地址很可能遭遇网络钓鱼攻击。最后,在网站支持的情况下启用双因素身份验证机制,这将使得攻击者更难使用被盗的凭证,特别是在相关帐户涉及金融交易的情况下。

威胁层级6:最大限度保护

如果大家需要最大限度提升保护能力,则需要构建起一套由多种浏览器及操作系统共同构成的、分别支持不同操作活动的系统。另外,您亦可利用多套虚拟机以实现威胁隔离。

首先 使用不同网络浏览器处理不同操作。

即使用【浏览器处理1】金融交易,【浏览器处理2】进行通信,【浏览器处理3】单纯用于网络信息浏览。

如此一来,如果攻击者入侵了您常用于访问论坛的浏览器,亦无法复跨站点脚本访问您的网上银行,因为恶意人士无法跨越不同浏览器。具体来讲,新浪微博帐户遭遇突破并不会影响到淘宝的正常使用。

对于那些高度敏感的网站,您应当为其设置专门的网络浏览器,并通过配置对相关网站进行重重限制。举例来说,您可以通过一套专用浏览器去访问Amazon Web Services控制面板,其无法“不慎”访问任何其它网站(即在白名单当中仅添加AWS,其余一律加以屏蔽)。通过这种方式,您将确保企业的整体云基础设施不致遭受暴露。同时,E安全小编强烈建议启用该专用浏览器内的全部安全选项。

改进提示:对于具有极高潜在风险或者极度敏感的站点,E安全小编建议用户可以考虑在多套虚拟机上对操作进一步隔离。例如在专有虚拟机上利用锁定(且持续更新)的浏览器处理银行业务。这将有助于解决一切以银行业务为重点的网络攻击,意味着恶意人士必须通过更为繁琐的方式才有可能取得您的银行信息。

Linux Live CD是运行虚拟机系统的理想实现方案,大家甚至能够在虚拟机之内运行Live CD以最大程度提升安全性水平。Tails是一套非常简洁的Linux变体,其关闭了USB驱动器并可用于隐藏您的数字化足迹,因为其中不会保留任何历史记录。

收到了一封看起来非常可疑的电子邮件?请在虚拟机中将其打开。如果其附件中包含恶意软件,则感染的也只是一套空荡荡的虚拟机。当然,这种作法也并不是万事大吉,一部分高水平恶意软件被设计为不会在虚拟机之内执行。但,始终保持不确定是否安全的文件存在于虚拟机内,或者说远离主桌面,在目前来说是一种较为有效的方式。

如果希望隐藏自己的在线活动,可考虑使用Tor(The Onion Router,是个免费、开源的程序),它可以给网络流量进行三重加密,并将用户流量在世界各地的电脑终端里跳跃传递,并对不同Tor节点间传输的流量进行加密与路由,这样就很难去追踪它的来源,从而提供出色的匿名保护效果。由于您的流量将由Tor发往随机服务器,因此数据不再与您的个人IP地址相关联。当然,Tor不是网络匿名访问的唯一手段。

再有,您可以使用NoScript以禁用Java、JavaScript、Flash以及其它动态内容。此选项会导致大多数网站不可用,但您可以手动对内容进行授权,E安全小编建议您需要小心检查以避免意外批准恶意代码的执行。Adblock Plus(广告拦截器)能够屏蔽来自已知广告与间谍软件网站的弹窗式广告及其它内容。虽然有人担心广告商可以通过向该平台付费的方式避免自己的宣传信息被Adblock Plus所屏蔽,但实事求是地讲,其确实能够很好地关闭弹窗式广告并阻止潜在攻击。

另一种方法则是立足浏览器本身禁用JavaScript并屏蔽弹窗。大多数浏览器在默认情况下会自动屏蔽弹窗,但JavaScript由于被广泛使用而保持默认启用。

安全措施并不能一劳永逸

在网络世界中保障自身安全无疑是一项需要将技术、认知与意愿加以结合的综合性任务。当下的各类浏览器提供大量保护性选项,包括禁用插件以及启用反钓鱼机制等功能。只要启用并设置这些基础性安全保护手段,同时注意对全部软件进行及时更新,那么您的安全水平将能够在不经意间得到大幅提升。

但必须承认的是,如今攻击者能够以前所未有的便捷方式实现恶意软件感染或者实施网络钓鱼攻击。直白地讲,所有的安全措施并不能够一劳永逸,我们遭遇入侵攻击也许只是时间的问题。然而只要您明确了自己最担心的后果以及能够承受的风险水平,即可建立起一套合理的安全保障方案,从而在业务需求、安全保障与生产力条件之间找到理想的平衡点。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。