根據(jù)安全服務供應商Trustwave的研究數(shù)據(jù)顯示，雖然很多應用程序漏洞都是已知的且可被阻止的，但很多企業(yè)都沒有部署安全編碼做法或定期測試其應用程序來查找漏洞。Trustwave事件響應和取證主管Chris Pogue表示，如果企業(yè)忽視這些基本的網(wǎng)絡安全做法，他們根本無法阻止更高級的攻擊。

網(wǎng)絡給企業(yè)帶來各種各樣的安全威脅，下面我們列出了威脅企業(yè)的10個網(wǎng)絡威脅：

1. DDoS攻擊

IT專家認為分布式拒絕服務攻擊就是：大量數(shù)據(jù)包涌入受害者的網(wǎng)絡，讓有效請求無法通過。但這只是最基本的DDoS攻擊形式，防御方面的改進已經(jīng)迫使攻擊者改變了他們的攻擊方式。DDoS攻擊使用的數(shù)據(jù)包越來越多，攻擊流量最多達到100Gbps。

攻擊者還開始針對基礎設施的其他部分，其中企業(yè)域名服務的服務器的攻擊者最喜歡的目標。因為當攻擊者成功攻擊DNS服務器后，客戶將無法訪問企業(yè)的服務。

大規(guī)模DDoS攻擊通常會采用“低且慢”的攻擊，這種攻擊使用特制的請求來讓web應用程序或設備來處理特定的服務，以快速消耗處理和內(nèi)存資源。這種應用層攻擊現(xiàn)在占所有攻擊的四分之一。

此外，攻擊者還會尋找目標網(wǎng)站的網(wǎng)址，然后呼叫該網(wǎng)站的后端數(shù)據(jù)庫，對這些網(wǎng)頁的頻繁呼叫將很快消耗掉網(wǎng)站的資源。

在速度慢的攻擊中，路由器將崩潰，因此，企業(yè)無法使用設備來阻止不好的流量。這些攻擊還可以通過云DDoS防護服務。企業(yè)應該采用混合的方法，使用web應用程序防火墻、網(wǎng)絡安全設備和內(nèi)容分發(fā)網(wǎng)絡來建立一個多層次的防御，以盡可能早地篩選出不需要的流量。

2. 舊版本的瀏覽器和易受攻擊的插件

每年涉及數(shù)百萬美元的銀行賬戶欺詐網(wǎng)絡攻擊都是利用瀏覽器漏洞，更常見的是，利用處理Oracle的Java和Adobe的Flash及Reader的瀏覽器插件。漏洞利用工具包匯聚了十幾個針對各種易受攻擊組件的漏洞利用，如果企業(yè)沒有及時更新，攻擊者將通過這種工具包迅速侵入企業(yè)的系統(tǒng)。例如，最新版本的Blackhole漏洞利用工具包包含7個針對Java瀏覽器插件的漏洞利用，5個針對Adobe PDF Reader插件，2個針對Flash。

企業(yè)應該特別注意Oracle的Java插件，因為Java被廣泛部署，但卻鮮少修復。 企業(yè)應該利用補丁修復管理產(chǎn)品來阻止這種漏洞利用攻擊。

3.包含不良內(nèi)容的好網(wǎng)站

知名的合法網(wǎng)站開始成為攻擊者的目標，因為攻擊者可以利用用戶對這些網(wǎng)站的信任。企業(yè)不可能阻止員工訪問這些知名網(wǎng)站，并且企業(yè)的技術防御總是不夠。

還有另一種更陰險的攻擊--惡意廣告攻擊，這種攻擊將惡意內(nèi)容插入廣告網(wǎng)絡中，惡意廣告可能只是偶爾出現(xiàn)在廣告跳轉(zhuǎn)中，這使這種攻擊很難察覺。

同樣的，企業(yè)應該采用多層次的防御方法，例如，安全代理服務器結合員工計算機上的反惡意軟件保護來阻止已知威脅的執(zhí)行。

4.移動應用程序和不安全的Web

BYOD趨勢導致企業(yè)內(nèi)消費者設備激增，但移動應用程序安全性很差，這使企業(yè)數(shù)據(jù)處于危險之中。

60%的移動應用程序從設備獲取獨特的硬件信息并通過網(wǎng)絡接口傳出去，更糟糕的是，10%的應用程序沒有安全地傳輸用戶的登錄憑證。

此外，支持很多移動應用的Web服務也很不安全。由于用戶不喜歡輸入密碼來使用移動設備上的服務，移動應用經(jīng)常使用沒有過期的會話令牌。而攻擊者可以在熱點嗅探流量并獲取這些令牌，從而訪問用戶的賬戶。

企業(yè)很難限制員工使用的應用程序，但企業(yè)可以限制員工放到其設備的數(shù)據(jù)以及限制進入企業(yè)的設備。

5. SQL注入

對于SQL注入攻擊，最簡單的辦法就是檢查所有用戶提供的輸入，以確保其有效性。

企業(yè)在修復SQL漏洞時，通常專注于他們的主要網(wǎng)站，而忽視了其他連接的網(wǎng)站，例如遠程協(xié)作系統(tǒng)等。攻擊者可以利用這些網(wǎng)站來感染員工的系統(tǒng)，然后侵入內(nèi)部網(wǎng)絡。

為了減少SQL注入問題的風險，企業(yè)應該選擇自己的軟件開發(fā)框架，只要開發(fā)人員堅持按照該框架來編程，并保持更新，他們將創(chuàng)造出安全的代碼。

6.證書的危害

企業(yè)不能盲目地信任證書，攻擊者可能使用偷來的證書創(chuàng)建假的網(wǎng)站和服務，或者使用這些證書來簽署惡意代碼，使這些代碼看起來合法。

此外，糟糕的證書管理也會讓企業(yè)付出巨大的代價。企業(yè)應該跟蹤證書使用情況，并及時撤銷問題證書。

7.跨站腳本問題

跨站腳本利用了瀏覽器對網(wǎng)站的信任，代碼安全公司Veracode發(fā)現(xiàn)，超過70%的應用程序包含跨站腳本漏洞，這是影響商業(yè)開源和內(nèi)部開發(fā)軟件的首要漏洞問題。

企業(yè)可以利用自動代碼檢查工具來檢測跨站腳本問題，企業(yè)還應該修改其開發(fā)流程，在將程序投入生產(chǎn)環(huán)境之前，檢查程序的漏洞問題。

8.不安全的“物聯(lián)網(wǎng)”

在物聯(lián)網(wǎng)中，路由器、打印機、門鎖等一切事物都通過互聯(lián)網(wǎng)連接，在很多情況下，這些設備使用的是較舊版本的軟件，而這通常很難更新。 攻擊者很容易利用這些設備來侵入企業(yè)內(nèi)部網(wǎng)絡。

企業(yè)應該及時發(fā)現(xiàn)和禁用其環(huán)境中任何UPnP端點，并通過有效的工具來發(fā)現(xiàn)易受攻擊的設備。

9.情報機器人

并非所有攻擊的目的都是攻擊企業(yè)的防御系統(tǒng)。自動web機器人可以收集你網(wǎng)頁中的信息，從而讓你的競爭對手更了解你的情況，但這并不會破壞你的網(wǎng)絡。

企業(yè)可以利用web應用程序防火墻服務來判斷哪些流量連接到良好的搜索索引機器人，而哪些連接到競爭對手的市場情報機器人或者假的谷歌機器人。這些服務可以防止企業(yè)信息流到競爭對手。

10.新技術 舊問題

不同企業(yè)可能會遇到不同的威脅，有網(wǎng)上業(yè)務的企業(yè)可能會有SQL注入和HTML5問題，有很多遠程辦公人員的企業(yè)可能會有移動問題。企業(yè)不應該試圖將每一種威脅降到最低，而應該專注于最常被利用的漏洞，并解決漏洞問題。同時，培養(yǎng)開發(fā)人員采用安全做法，并讓開發(fā)人員互相檢查代碼以減少漏洞。