很多時(shí)候，未經(jīng)授權(quán)的用戶在訪問企業(yè)的敏感數(shù)據(jù)庫和網(wǎng)絡(luò)時(shí)，并不會(huì)被企業(yè)所重視，只有在發(fā)生安全事故后，企業(yè)才會(huì)意識(shí)到這種被忽略的“日常行為”存在多大的隱患。因此，企業(yè)應(yīng)該對(duì)未授權(quán)訪問行為進(jìn)行嚴(yán)格管控，建立一套可靠的管理流程，以檢測(cè)、限制和防止未授權(quán)訪問事件的發(fā)生。

　　簡(jiǎn)而言之，當(dāng)攻擊者擅自訪問企業(yè)組織的網(wǎng)絡(luò)時(shí)，就會(huì)發(fā)生未授權(quán)訪問，其訪問對(duì)象包括數(shù)據(jù)庫、設(shè)備端點(diǎn)或應(yīng)用程序環(huán)境等。

　　未授權(quán)訪問不僅只針對(duì)企業(yè)系統(tǒng)，也可能針對(duì)個(gè)人用戶。比如，他人未經(jīng)許可使用用戶的私人手機(jī)就是未授權(quán)訪問，這種對(duì)個(gè)人用戶進(jìn)行擅自訪問的手法有多種，會(huì)造成各種嚴(yán)重后果，如數(shù)據(jù)泄露、財(cái)務(wù)損失、服務(wù)不可用（DDoS攻擊）或者對(duì)整個(gè)網(wǎng)絡(luò)失去控制（勒索軟件攻擊）等。

　　攻擊者只需發(fā)現(xiàn)其訪問目標(biāo)敏感位置的薄弱環(huán)節(jié)如安全漏洞、未受保護(hù)的端點(diǎn)或密碼撞庫等，就可以通過多種方式實(shí)施未授權(quán)訪問攻擊。

　　攻擊者一旦訪問了企業(yè)系統(tǒng)中的一個(gè)敏感區(qū)域，就有可能不受限制地繼續(xù)訪問其他位置。例如，如果他們找到了企業(yè)敏感系統(tǒng)的密碼，那利用這個(gè)賬戶密碼就可以將攻擊范圍擴(kuò)大到整個(gè)企業(yè)網(wǎng)絡(luò)。類似地，上傳惡意文檔或運(yùn)行惡意軟件也是攻擊者利用訪問權(quán)限趁虛而入的慣用手段。

　　為了幫助企業(yè)組織進(jìn)一步避免未授權(quán)網(wǎng)絡(luò)訪問行為，規(guī)避潛在的安全風(fēng)險(xiǎn)，本文匯總了針對(duì)未授權(quán)網(wǎng)絡(luò)訪問管理的十大安全措施，以下為具體內(nèi)容：

　　1 加強(qiáng)設(shè)備的物理安全

　　如果攻擊者獲得了企業(yè)內(nèi)部敏感系統(tǒng)的物理訪問權(quán)，那企業(yè)組織的技術(shù)安全措施將形同虛設(shè)。因此企業(yè)要盡量保證內(nèi)部計(jì)算機(jī)或其他設(shè)備處于密碼鎖定的狀態(tài)，而且企業(yè)組織不應(yīng)該在辦公室或上述相關(guān)系統(tǒng)旁公示登錄密碼。此外，對(duì)于敏感文件要定制高級(jí)訪問權(quán)限，因?yàn)閷?duì)所有設(shè)備嚴(yán)加看管是防止未授權(quán)訪問的關(guān)鍵。

　　2 設(shè)置強(qiáng)密碼

　　密碼破解工具愈發(fā)智能化，密碼泄露也愈發(fā)常見，因此設(shè)置獨(dú)特的強(qiáng)密碼很重要。重復(fù)使用密碼、使用已知密碼或很容易被猜到的單詞、短語來作為密碼存在很多風(fēng)險(xiǎn)。例如，“admin/admin”是許多組織最常用的用戶名和密碼組合，這種常見的密碼存在很大風(fēng)險(xiǎn)。

　　理想情況下，密碼應(yīng)該是具有獨(dú)特性的長(zhǎng)密碼（至少11個(gè)字符），最好選擇數(shù)字和特殊字符混合的方式。密碼越復(fù)雜，攻擊者獲得未授權(quán)訪問所需的時(shí)間就越長(zhǎng)。

　　3 采用多因素身份驗(yàn)證

　　除了強(qiáng)密碼外，確保企業(yè)系統(tǒng)賬戶安全的另一個(gè)有效策略是通過采用多因素身份驗(yàn)證來加強(qiáng)登錄環(huán)節(jié)的安全。無論是通過一次性口令（OTP）、生物特征識(shí)別掃描，還是身份驗(yàn)證器應(yīng)用程序，即使在密碼泄露的情況下，多因素身份驗(yàn)證措施都能進(jìn)一步確保授權(quán)登錄賬號(hào)的安全性。

　　4 配置強(qiáng)大的防火墻

　　對(duì)于不斷增加的網(wǎng)絡(luò)威脅，企業(yè)可以選擇配置功能強(qiáng)大的防火墻來解決安全問題并防止惡意攻擊，這些防火墻需要具備保護(hù)企業(yè)網(wǎng)絡(luò)、Web應(yīng)用程序及其他核心組件的功能。企業(yè)組織可以通過聘請(qǐng)專業(yè)的托管服務(wù)提供商（MSP），來配置符合自身網(wǎng)絡(luò)安全需求的防火墻。

　　5 限制用戶對(duì)敏感系統(tǒng)的訪問

　　防止攻擊者未授權(quán)訪問企業(yè)系統(tǒng)或設(shè)備的另一個(gè)有效策略是，系統(tǒng)設(shè)立之初就限制授權(quán)訪問，要求只有最值得信賴的員工才有權(quán)利訪問，這種做法對(duì)于保護(hù)敏感的數(shù)據(jù)庫和設(shè)備十分有效。

　　6 采用單點(diǎn)登錄（SSO）

　　單點(diǎn)登錄（SSO）有助于更有效地管理用戶和IT人員的賬戶。一方面，用戶只需記住一個(gè)密碼即可登錄；另一方面，IT人員可以在必要時(shí)迅速終止異常行為活動(dòng)，進(jìn)而輕松管理賬戶。例如，如果攻擊者冒用員工賬戶被檢測(cè)到后，安全團(tuán)隊(duì)就可以立即停止該賬戶對(duì)其他所有系統(tǒng)的訪問行為。

　　7 運(yùn)用IP白名單

　　IP白名單與Web應(yīng)用防火墻（WAF）可以讓企業(yè)組織中的合法用戶訪問更加便利，在遠(yuǎn)程工作環(huán)境下特別有用，但是對(duì)于使用動(dòng)態(tài)IP、訪問代理或VPN的用戶來說行不通。因此，遠(yuǎn)程用戶最好是尋求固定的IP地址，無論這些IP地址是來自其自身的ISP，還是來自VPN/代理服務(wù)提供商。

　　8 監(jiān)控登錄活動(dòng)

　　企業(yè)組織應(yīng)該能夠通過監(jiān)控來發(fā)現(xiàn)異常的登錄活動(dòng)。例如，組織在部署了監(jiān)控系統(tǒng)之后，就可以及時(shí)發(fā)現(xiàn)企業(yè)系統(tǒng)或設(shè)備中存在的可疑賬戶登錄或異常登錄活動(dòng)，并采取相應(yīng)的補(bǔ)救策略，如撤銷賬戶訪問權(quán)限以避免攻擊。

　　9 定期運(yùn)行漏洞掃描

　　由于攻擊者總是在不停地伺機(jī)尋找未修補(bǔ)的漏洞，進(jìn)而對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)施未授權(quán)訪問。因此，企業(yè)組織應(yīng)定期進(jìn)行漏洞掃描或選擇聘請(qǐng)第三方專業(yè)人員，協(xié)助IT員工管理IT安全。

　　10 及時(shí)更新應(yīng)用軟件版本

　　未及時(shí)對(duì)存在漏洞的系統(tǒng)進(jìn)行修補(bǔ)是對(duì)業(yè)務(wù)安全構(gòu)成最大威脅的原因之一，同時(shí)也是最容易被企業(yè)組織忽視的一個(gè)問題。Red Cross公司最近遭到網(wǎng)絡(luò)攻擊就是由于未及時(shí)修補(bǔ)的漏洞造成的。因此，企業(yè)組織必須采取有效、強(qiáng)大的補(bǔ)丁管理策略。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<