今年网络安全宣传周的第一天,西北工业大学网络被境外势力入侵的事件终于水落石出,攻击源头——M国安全局。G家计算机病毒应急处理中心和360公司今天分别发布了关于西北工业大学遭受境外网络攻击的调查报告,调查发现,NSA下属的特定入侵行动办公室(TAO)多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。
网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。
这句话正好应验了今年我国频频发生的境外攻击事件,除了西工大,今年北京宝、腾迅、美的的网络安全问题也先后成为网络热搜。这背后的原因很难不让人联想到同一个组织。早在2018年全国网络安全和信息化工作会议中,书记就指出:“全社会网络安全意识有了显著提高,但一些同志对网络安全认识还不到位,有的重发展轻安全、重建设轻防护;有的认为关起门来搞更安全,不愿立足开放环境搞安全;有的认为网络安全是中央的事、专业部门的事,同自己无关。这些看法都是不正确的。都要不断强化网络安全意识,在头脑中真正筑起网络安全的防火墙。”
今天的网络环境,不得不让我们每一个企业的管理者都应该绷紧网络安全建设这根弦。网络安全的建设,已刻不容缓!许多公司都面临着网络安全技能缺口这一越来越大的障碍,勒索软件、网络钓鱼和有针对性的攻击每年都在增加。但因为负担过重和人员不足,很多企业都还没有把网络安全防护提上日程。购买安全服务尽管可以在终端控制一定的网络攻击和入侵,但如今一个企业的业务更多建立在云端,后疫情时代让办公场景也发生了变化。由此,入侵的方式也越发复杂,安全防护的有效性也随之降低。未来,黑客最主要的攻击手段,突破口变成了企业中的每一个成员的移动设备。
因此,除了安全服务,目前最经济最有效的做法,是对全员进行安全意识的塑造。攻击者主要通过网络钓鱼和社交工程发起攻击。因此,勒索软件和钓鱼仍然是大多数企业的最大威胁,它们针对的是人类交互中的弱点,而不是应用程序或设备中的漏洞。
电子邮件仍然是黑产使用的最有效的网络技术。然而一个机构中大多数员工对网络攻击和安全应对方式都是没有意识的,企业必须制定有关办公设备使用和网络类型的明确政策,并且经常进行网络安全意识培训,
确保员工熟悉网络欺诈的类型以及如何识别和报告那些钓鱼行为,以尽可能的避免安全威胁。正所谓,没有意识到风险是最大的风险。‘患生于所忽,祸起于细微’。