安全公司敦促企业警惕钓鱼网站危险

　　根据安全咨询公司First Base Technologies首席执行官Peter Wood的说法，应将“防御鱼叉式网络钓鱼攻击”列为2017年企业网络安全的重要抓手。

　　这意味着，将安全技术和用户意识培训有效结合，确保员工了解该项技术，及时对危险预兆有所意识，并对风险做出积极反应，是日后防范网络钓鱼攻击的主要工作。

　　Wood向《计算机周刊》的记者透露，调查显示，网络钓鱼（特别是鱼叉式钓鱼）是每一次网络攻击的关键组成部分，也是多数企业网络安全最常见的威胁。

　　目前，凭证盗窃是一种极为常见的攻击技术，其主要原因在于多数企业IT网络中最大的漏洞存在于用户密码中。攻击者窃取相关测试人员访问企业IT系统的合法凭证，进而获取目标系统管理员权限，达到无需检测和限制，即可袭击网络的目的。

　　另一方面，一旦攻击者拥有合法的用户凭证，鲜有安全技术可阻止该凭证进入目标网络，如此一来，攻击者安装恶意软件和窃取用户数据便轻而易举。

　　目前，部分科技公司开发出用于检测和终止异常行为的先进技术，但即便如此，仍无力抵抗凭证被窃后攻击者随意访问系统的风险。

　　Wood还指出，被盗凭证还允许攻击者访问外部服务，如访问虚拟专用网（VPN）和Web邮件，并通过以上方式为攻击者提供远程访问网络的权限。

　　在最近的一次“钓鱼”调查实验中，Wood的团队发送了3066封钓鱼邮件，其中，2398个收件人点击了指向虚假网站的链接，并在该链接中输入其用户名和密码。

　　Wood表示，78%的命中率与我们先前推测结果一致——六成以上用户易受精心设计的“鱼叉式”钓鱼邮件攻击。

　　因此，wood建议，应注重企业防范意识，缩短测试周期，加强对凭证的有效保护，从而减少员工被骗的可能性，并警告，目前，较少企业重视对员工防范网络钓鱼攻击的教育问题。

　　除窃取密码，攻击者通常还能通过猜测密码或使用“蛮力”破解方式，找到部分简易密码。

　　Wood表示，“我们发现，域管理员帐户通常使用较为简单的密码或其他简易的保护方式，有些账户甚至未设置密码。攻击者可利用此问题获得对域和服务器的访问特权，从而发起更具破坏性的攻击。”

　　为避免该类漏洞产生，Wood团队建议启用密码功能，并设置较复杂的密码保护。同时，加强风险警示教育。另一方面，定期进行密码审核，确保员工遵守密码使用政策，并制定企业网络安全防范的最佳实践指南。

　　译自：2016年12月2日【美国】www.computerweekly.com

　　编译：工业和信息化部国际经济技术合作中心 李肖

　　更多精彩内容参见“中国经济网-国际频道-国际IT行业资讯”