从《孤注一掷》到攻防对抗进行时，网络安全是一场没有终点的对抗赛

一条网络链接，一次点击，一场小赢，一颗贪心，一次充值，一颗不甘心，一场人去财空的骗局……

近日，电影《孤注一掷》引发观影热潮。这是国内首部曝光境外网络诈骗全产业链内幕的现实题材作品，也让我们切实地体会到网络安全问题关乎每一个人。

▲ 图片来自网络

过去，我们总以为网络威胁离我们很远，或是自认为不会上当受骗。然而，我们往往高估了自己，却又低估了那些网络不法分子。

就像电影《孤注一掷》中，高智商程序员被骗到境外诈骗集团，无法逃脱；深陷骗局泥潭的硕士毕业生，最终走上绝路……

这部以现实为题材的影片，敲响了我们每一个人心中的警钟，也引发了我们对网络安全的高度关注。

而谨防网络诈骗事件的发生，除了要提升普通大众的网络安全意识之外，为大众提供服务的企事业组织更需要加强自身服务的网络安全与可靠性。

况且，从每年曝出的网络勒索事件来看，保护网络安全同样关乎着企业自身财产安全，甚至是企业的生死存亡。

**近期，攻防对抗“正在进行时”。这正是一次企业组织检测自身网络安全能力的大好时机。**如何在这场攻防演练中，向企业自身以及用户证明自己的网络安全能力，是企业作为蓝队防守方的必达使命。

1.身份安全是网络安全的第一道防线

身份安全作为网络安全的第一道防线。无论是在网络诈骗中，还是在企业攻防演练中，身份信息都是被攻击的首要目标。

据权威调查数据显示：85%的数据泄露涉及人的因素，而其中61%的数据泄露牵涉到登录凭证。无论是人还是登录凭证，都和身份安全有着紧密联系。

因此，企业如何有效防范和应对各种围绕“身份”展开的攻击，从而提升企业身份安全水平，保障企业自身与用户的信息与数据安全，是企业在这场攻防演练中需要重点关注的环节之一。

2.常见的身份攻击手段与防范建议

派拉软件列举了企业目前面临的部分最常见的身份攻击手段，并给出对应的防范建议：

01钓鱼攻击
钓鱼攻击是指攻击者伪装成受信任的主体，通过发送看似来自可信、合法来源的电子邮件为“诱饵”，试图欺骗受害者打开，即“上钩”，从而发生网络钓鱼攻击。

很多情况下，你可能没有意识到自己已被入侵，这使得攻击者可以在没有任何人怀疑恶意活动的情况下追踪同一组织中的其他人。

从而，将攻击范围扩大的整个企业。这种攻击结合了社会工程和技术，通常用于窃取用户数据，包括登录凭证、信用卡号等。

针对这类型的攻击，企业可以结合派拉软件多因素身份认证，也是企业抵御网络钓鱼攻击的最有效方法。因为它在登录敏感应用程序时，添加了多重验证。

即使拥有了员工账号密码，多因素身份认证平台也会阻止攻击者使用员工被泄露的凭证。因为仅凭这些还不足以进入企业重要应用系统，还需要结合短信验证、人脸识别等多种加强认证方式进行验证。

其次，企业还应加强实施严格的密码管理策略。例如，结合派拉软件统一身份管理平台，自动设置账户密码复杂度要求，并要求员工定期更改密码，以及不允许在多个应用程序中重复使用一个密码等。

02密码攻击
密码通常会被用作一种个人访问计算机系统或应用程序的身份验证工具。因此，针对密码的攻击是攻击方常采用的攻击手段之一。

目前用于执行密码攻击的技术很多，如使用字典、暴力破解，基于密码规则，尝试密码猜解等。

其中，字典攻击是一种使用常用单词和短语（例如字典中列出的单词和短语）来尝试猜测目标密码的技术；暴力破解则是使用有关个人或其职位的基本信息来尝试猜测他们的密码。例如，姓名、生日等的不同组合。

针对这类型的密码攻击，最有效的方法是设置锁定策略，使得攻击者在一定次数的失败尝试后，平台会自动锁定对设备、网站或应用程序的访问，从而禁止攻击者再次访问。

若已经制定了锁定政策，并发现帐户由于登录尝试次数过多而被锁定，系统即刻提醒改密操作，甚至强制执行。

当然，企业存在的弱密码、默认密码往往是极易被攻克的。所以，企业统一身份管理系统具备定期监测企业高危账户密码功能，并及时提醒也是必不可少的。

03撞库攻击
撞库攻击通常是使用自动化工具在不同的网站和服务上尝试大量用户名和密码组合来找到对应的匹配项。

通俗理解就是攻击者通过收集已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他系统应用后，得到一系列可以登录的账号密码。

这样的攻击能成功往往是由于很多用户在不同系统应用中使用的是相同的账号密码，因此攻击者可以通过获取用户在A网站的账户尝试登录B网址，也就是进行撞库攻击。

撞库攻击取决于密码的重复使用。因此，结合身份管理平台，利用技术手段强制员工用户执行严格的账户密码管理策略，是企业有效防范该类攻击的有效方法之一。例如，针对密码强度、定期修改密码等；

此外，加强人机防控策略，将包括登录、注册、找回密码、获取短信验证码等接口中“机器”的访问请求和“真实的人”区别出来；加强重要系统的二次认证等。

04注入攻击
注入攻击是指攻击者使用恶意代码注入或感染 Web 应用程序以检索个人信息或破坏企业系统的过程。

攻击者诱使企业系统认为该命令是由管理员发起的，并盲目地处理该命令。常见注入攻击有SQL注入、代码注入等。

针对注入攻击，你会发现用户输入是它的主要来源。所以控制用户对应用程序的输入，则可以很好地避免注入攻击。

因此，企业可以采取最小权限模型，结合身份管理，通过控制管理员权限来限制外部攻击者获得该账户权限时的访问，并结合使用参数传值、基础过滤和二次过滤、漏洞检测工具、安全参数、数据库加密等策略。

除上述列举的4大攻击之外，像会话劫持、恶意软件攻击等等，几乎所有场景攻击利用最终都需要用到身份。这也是为什么身份安全一直以来都是企业安全的基础设施。

而随着网络边界的日益模糊，身份被定义为新的安全边界。网络架构有了新发展，攻防趋势也随之变化。过去基于威胁特征“一刀切”的黑名单机制将逐渐被以“身份”为中心的零信任安全架构为代表的白环境分析手段替代。

企业组织除了采取攻防演练来提升对网络攻击的应对防范能力之外，也需要跟随技术发展步伐，与时俱进创新变革企业安全管理架构；

在满足企业数字化安全发展需求，赋能业务价值创新的同时，为用户服务提供足够的安全保障，为这场没有终点的网络安全对抗赛随时随地做好准备！

[培训]《安卓高级研修班(网课)》月薪三万计划，掌 握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法