什么是电子邮件安全?
电子邮件安全包括用于保护电子邮件账户和通信的技术。电子邮件是一个组织最大的攻击面,是网络钓鱼攻击的主要目标,可以用来传播恶意软件。
电子邮件是组织沟通的重要组成部分,因为它使用多种设备,使用户能够快速、轻松地通讯。此外,电子邮件可以用来发送许多不同类型的媒介,通信可以根据时间、日期戳和大小等属性进行跟踪、存储和整理。
电子邮件安全非常重要,因为电子邮件包含敏感信息,组织中的每个人都在使用,因此是公司最大的攻击目标之一。向Gmail等基于云的电子邮件系统转变有几个好处,但基于云的电子邮件已经成为吸引网络犯罪分子的攻击平面。
电子邮件安全吗?
电子邮件是头号威胁方式,因为它是组织中每个人都使用的普遍工具。格式公开,一旦被拦截,就可以在任何设备上读取而无需解密。
电子邮件不会直接发给收件人。相反,它在网络和服务器之间传播,其中一些设备是脆弱和不安全的,在到达收件箱之前。尽管个人电脑可能是安全的,攻击者无法攻击,但电子邮件必须通过的网络或服务器可能已经被入侵。
此外,网络犯罪分子可以很容易地冒充发件人或以正文副本、附件、URL或发件人电子邮件地址的形式操纵电子邮件内容。对于攻击不安全系统的黑客来说,这相当简单,因为每封电子邮件都有包含详细信息的元数据字段,包括电子邮件的发件人、收件人等。黑客只需要访问这些元数据并更改它,它就会看起来像来自某人或某地的电子邮件。
电子邮件攻击的类型
网络罪犯使用许多不同的技巧来入侵电子邮件,其中一些方法可以对一个组织的数据和/或声誉造成相当大的损害。恶意软件是一种用来损坏或操纵设备及其数据的恶意软件,可以通过下列方式进入计算机。
网络钓鱼
网络钓鱼通过向用户发送文本、直接消息或电子邮件来攻击目标。攻击者假装自己是受信任的个人或机构,然后利用他们与目标的关系窃取敏感数据,如账号、信用卡详细信息或登录信息。
网络钓鱼有几种形式,如鱼叉式网络钓鱼、常规网络钓鱼和捕鲸式网络钓鱼。鱼叉式网络钓鱼的目标是某个特定的人,而捕鲸式则假装是他们信任的人,把目标对准组织中的某个高层。
欺骗邮件
欺骗是一种危险的电子邮件威胁,因为它会欺骗收件人,使其误以为邮件来自他人而不是表面上的发件人。这使得欺骗成为一种有效的商务电子邮件入侵(BEC)工具。电子邮件平台无法区分假邮件和真邮件,因为它只是读取元数据——也就是攻击者更改过的数据。这使得攻击者很容易模仿受害者认识或尊敬的人。
电子邮件安全最佳实践
电子邮件是传播勒索软件的主要武器,这是一种高级威胁,可以影响多个端点,并窃取敏感数据。因此,邮件保护计划需要包括以下最佳实践,以实时保护邮件流量。
-
垃圾邮件过滤器:垃圾邮件过滤器可以检测垃圾邮件,防止它进入你的收件箱或将其作为垃圾邮件归档。
-
电子邮件加密:电子邮件加密可以伪装企业电子邮件,将通信内容转换成由字母、数字和符号组成的乱码组合,拦截者无法阅读。
-
防病毒保护:防病毒保护对电子邮件和附件进行病毒筛选,如果检测到任何可疑内容,将向用户提供警告。
-
安全邮件网关SEG (Secure email gateway):安全邮件网关根据IT管理员的设置,过滤有潜在危险的邮件。
-
多因素身份验证(MFA):MFA是一种关键的数据丢失保护和防黑客工具,因为它需要用户提供多个身份验证因素来证明他们应该被授予对系统的访问权。
-
员工教育:可以教育员工认识社会工程、网络钓鱼和其他类型的攻击,这些攻击通常通过电子邮件实现。
移动设备安全概述
移动设备的端点安全是一种网络安全措施,允许组织保护其网络上的所有设备,防止未经授权的访问其系统。移动终端安全解决方案帮助企业保护员工用于工作的所有设备,无论是在他们内部网络上还是在云中。
移动设备安全使公司能够获得跨网络的设备和系统的更大可见性。它有助于减少攻击面,实时检测和预防威胁,并自动响应安全事件。
使用端点安全服务保护移动设备的好处
移动终端安全可以帮助企业保护用户的设备和数据,防止未经授权的用户访问企业或个人的敏感信息。终端保护移动方法的其他显著好处包括:
-
1. 强制公司安全策略
-
2. 确保遵守数据隐私和行业规定
-
3. 设备自动化登记
-
4. 远程控制设备打补丁和更新
-
5. 确保定期备份数据
-
6. 控制用户可以下载或使用的应用程序
-
7. 支持自带设备(BYOD)策略
移动设备的端点安全是如何工作的?
端点安全解决方案通过对移动设备安全采取多层防护方法。它的主要目标是保护连接到企业网络的数据和设备,这是通过检查进入网络的文件来实现。
移动设备的端点保护解决方案为系统管理员提供了一个集中的管理控制台,使他们能够从中央仪表板控制连接到其网络或服务器的所有设备的安全。为了让移动安全服务有效地执行其设计的功能,每个需要保护和控制的设备上都安装了软件,在需要时推送更新,验证用户的登录尝试,并管理公司策略。
端点安全还通过应用程序控制来保护移动设备,应用程序控制是一种网络安全功能,可以阻止用户下载或访问未经授权或不安全的应用程序。它使用加密技术防止数据丢失,并使组织能够快速检测恶意软件和其他安全威胁。使用移动端点安全系统,组织还可以从检测和响应及端点监视等工具中受益,这些工具可以识别和阻止更高级的安全威胁。
不同类型的移动设备安全
为了确保他们的网络得到充分的保护,组织可以从多种移动设备保护方法中挑选。这些包括:
CASB
云访问安全代理(CASB)是位于用户和云服务之间的硬件或软件工具,用于执行组织的安全策略。CASB使公司能够探索不正常的用户活动,获得其云环境的深度可见性,并确保对云访问和使用的细粒度控制。
CASB在保护企业免受云传播的安全威胁、确保数据隐私和法规遵从方面发挥着越来越重要的作用。当员工在新地点使用移动设备,尤其是未管理的个人设备时,它们可以保护网络免受威胁。
端点保护
终端保护平台保护整个业务网络和所有连接到它们的设备。它为设备提供企业范围的持续保护,并提供一个中央门户,使管理员能够监视和控制其整个IT环境。
VPN
当员工从公共Wi-Fi网络连接到业务网络或系统时,VPN尤其重要。这些不安全的网络增加了个人数据,如登录凭证和电子邮件内容被黑客监视或窃取的风险。VPN隐藏了用户的位置、IP地址和网络活动等信息。
安全Web网关
当组织转移到云计算时,安全Web网关尤其重要,因为云计算增加了他们的攻击面,并产生了更多基于Web流量的安全风险。使用应用程序控制、数据防泄密(DLP)、HTTPS检查、远程浏览器隔离和URL过滤等功能,帮助阻止来自互联网的威胁,而不影响用户体验。
电子邮件安全
电子邮件仍然是最常用的企业沟通工具,用于向客户、同事、客户、朋友和家人发送信息。因此,电子邮件安全对于保护员工在其设备上发送和接收的数据至关重要。由于电子邮件的使用,恶意实体越来越多地将其作为攻击载体,从网络钓鱼骗局到传播恶意软件和发起勒索软件攻击,这一点也不奇怪。
电子邮件安全保护组织及其用户免受电子邮件传播的攻击。常用的邮件保护工具包括防病毒程序、邮件加密、安全邮件网关、多因素认证和垃圾邮件过滤器。
移动设备管理
移动设备管理(MDM)是一种安全方法,允许组织实施安全策略并管理、监视和保护员工的移动设备,如笔记本电脑、智能手机和平板电脑。它通过保护连接到企业网络的移动设备的范围来保护企业网络。
MDM还使组织能够安全地采用BYOD策略,使员工能够使用自己的设备,而不受限于公司分配的设备。从长远来看,这可以提高效率和生产力。
除了上述方法外,对于组织来说,定期为员工提供关于移动安全最佳实践的培训也是至关重要的,特别是察觉到网络钓鱼和社交工程的迹象。
可移动介质和设备
概述
FortiGuard设备安全套件提供了先进的安全技术,用于监控和保护IoT和OT设备免受基于设备和漏洞的攻击战术。这些服务与我们以OT和物联网为中心的安全解决方案集成到一起。
用人工智能驱动的多种保护方法快速阻止威胁
所有FortiGuard安全服务都集成到Fortinet安全结构中。能够快速检测攻击面。持续评估风险,自动调整安全结构,以实时应对最新的已知和未知威胁。能够混合部署跨网络、端点和云中,为用户和应用程序提供感知上下文的、一致的安全策略,以弥补安全差距。
FortiOS 7.2新功能
-
增强物联网和OT保护:
自带NAC,主动监控,资产清单
使用自动虚拟补丁修复设备
安全评级集成和NAC
-
专用IPS:用于专用IPS管理的端到端更新
登录凭证
什么是登录凭证?
登录凭证的作用是使用户能够登录并验证互联网上的在线账户的身份。用户凭证通常是用户名和密码组合。然而,它们可以与更安全的身份验证工具和生物特征因素相结合,实现用户身份更大程度的确定性。
登录凭证的常见例子是登录社交媒体服务以及业务系统时使用的用户名和密码组合。电脑、笔记本电脑和手机等设备也需要用户使用用户名和密码或个人识别号码(PIN)代码登录,通常还需要指纹等生物识别验证。
其他通常需要登录凭证的服务是在线银行服务,它通常需要用户名和密码的组合以及双因素身份验证(2FA)来确认用户的身份。
用户名
用户名是用户标识(用户ID),人们在计算机、网络或服务上使用它作为自己的唯一标识。大多数网站和在线服务,允许用户选择他们的用户名,通常与电子邮件地址或电话号码相关联。用户名并不总是专有的,因此不应该单独使用用户名来识别个人。这就是服务将这些用户名与密码配对以形成登录凭证的原因。
密码
密码是一个秘密的字符组合,用来识别用户并授予对设备或网站的访问权限。密码保护应用或网站用户选择的用户名,以保护他们的账户和数据的隐私和安全。密码可以包括字母、数字和特殊字符,现在大多数安全的在线服务都要求用户选择这三者的组合。
为什么强壮用户名和密码很重要
包含个人数据的在线账户,需要用安全的登录凭证进行保护。从银行账户和社交媒体网站到在线零售商、协作工具和游戏网站。这些账户通常保存高度敏感的用户信息,包括他们的姓名、出生日期、电子邮件地址、邮寄地址和银行详细信息。
使用强大的登录凭证来保护这些信息不落入坏人之手至关重要,因为网络犯罪分子可以利用它访问用户的账户,窃取他们的详细信息。
如何创建安全登录凭证
安全的登录凭证对于保护用户的身份和防止他们成为身份盗窃的受害者至关重要。在创建强大的用户名和密码以保证用户及其数据的安全时,用户需要遵循许多最佳实践。
设置长而复杂的密码
确保登录凭证安全的最佳方法之一是创建至少8个字符的长密码。密码还应该包含小写字母和大写字母、数字和特殊字符的混合。简短、单一的密码更容易被黑客利用技术猜出或破解,而唯一、复杂、不使用常见字符组合的密码提供了更大的保护。
避免个人信息
人们通常使用容易记住的信息,如出生日期、姓氏、最喜欢的运动队或电话号码作为密码的一部分。然而,黑客可以利用社会工程技术找到个人信息,然后猜测或破解密码。因此,重要的是不要在登录凭证中包含您的个人信息。
不要使用明显的用户名
黑客还可以针对容易识别的用户名,如用户的姓名和电子邮件地址,发动社会工程攻击。黑客使用用户名的一种方式是反向暴力破解攻击,到他们使用常见密码,并对用户名进行尝试。
重要账户使用唯一的密码
密码不应该在多个账户之间共享,因为黑客获得其中一个账户的登录凭证后,就能够侵入使用该密码的任何其他服务。例如,电子邮件账户的密码不应该与银行密码相同,网上银行的密码不应该与信用卡PIN码相同。对于重要的账户,使用唯一的、复杂的密码是必要的。
不要共享凭证
登录凭证不应该与任何人共享,即使是与同事或信任的家庭成员,这严重违反合规。内部威胁指的是一名员工窃取公司数据,并将其提供或出售给第三方。因此,如果非法或未经授权的活动源自与同事共享的凭证,则该账户将被追溯到原始员工。
当电脑在工作日结束时不用时,退出到登录界面甚至关闭电脑。
加强登录过程的可选操作
用户名和密码本身只能提供有限的安全级别,而且相对容易被黑客拦截或用户忘记或丢失。用加强身份验证过程和防止未经授权的网络访问的技术补充登录凭证很有必要。
双因素身份验证
双因素身份验证(2FA)通过提供额外级别的确定性来确保用户就是他们所声称的身份,从而强化了登录凭证。当用户使用用户名和密码登录时,系统会提示他们输入验证身份的第二条信息。这些信息通常是他们知道的,比如个人识别码或密码;他们拥有的东西,比如认证应用程序或移动设备上的代码;或者别的什么,通常是生物特征因素。
生物识别技术
生物识别是指用户的个人属性或身份,如指纹、面孔或声音。它们还包括行为生物识别,如用户的击键特征或语音特点。生物特征认证通常用于保护电脑和手机等设备,防止未经授权的访问。这增加了一层用传统登录凭证很难获得的安全层。
单点登录
单点登录是一种允许用户使用一组登录凭证登录多个系统和网站的技术。它使用身份验证令牌在不同的应用程序中验证用户的身份,并向连接的服务提供者验证用户的身份。用户只需记住一组登录凭证,这鼓励使用强大的、唯一的密码,并减少密码重复。
对用户凭证的威胁
用户的登录凭证是黑客非常有价值的目标,他们使用各种技术试图窃取这些数据。这给用户的敏感信息带来了巨大的风险,这些信息可能被用于身份盗窃或对组织进行更广泛的攻击。有几种特定的攻击以登录凭证为目标。
暴力攻击
暴力攻击包括黑客使用试错方法来破解用户登录凭证、密码和加密密钥。这是一种简单、可靠和流行的策略,黑客使用它来未经授权地访问账户、网络和计算机系统。
网络钓鱼
网络钓鱼攻击涉及黑客使用登录凭证从看似合法公司的可信发件人发送电子邮件。黑客通常会在邮件中嵌入恶意链接或附件,或要求目标受害者进行金融交易。
恶意软件
恶意软件指勒索软件、间谍软件和病毒,黑客用来控制设备、访问网络或破坏数据和系统。
间谍软件
间谍软件是一种恶意软件,它从用户的设备上收集数据,并在未经用户同意的情况下将其发送给第三方,黑客可以利用它进行身份欺骗。有些间谍软件被设计用来破坏设备。黑客还可以使用间谍软件查看或窃取用户的浏览活动和登录凭证。
使用无密码认证提高登录安全性
虽然使用强大的、唯一的密码保护用户账户非常必要,但对于组织来说,摆脱登录凭证和无密码的做法越来越重要。人们不仅倾向于使用他们能记住的弱密码,而且他们还会在多个账户之间重复使用这些登录。因此,根据Verizon 2021年数据泄露调查报告(DBIR)的结果,超过61%的数据泄露是由凭证漏洞造成的。
网络犯罪分子也越来越多地使用更复杂的攻击手段。这包括强力攻击和凭证填充等技术,其中攻击者使用来自其他数据泄露的被破坏的登录凭证来访问企业系统。他们还可以从暗网购买密码,或者通过恶意软件获取密码。
组织可以通过消除密码的风险来加强他们的防御。不使用密码可以消除黑客部署恶意策略访问企业账户和窃取敏感数据的能力。
什么是无密码身份验证?
无密码身份验证是一种账户登录过程,允许用户使用传统的用户名和密码组合以外的方法验证自己的身份。最流行的形式包括使用第二个设备或生物识别技术来验证用户的身份。
不同类型的无密码身份验证包括:
-
生物特征认证:验证一个人的身份最安全的方法之一是使用他们本身具有的特征,这对每个人都是独一无二的。生物特征认证依靠独特的身体特征,通常是指纹、虹膜或面部识别,来验证用户是他们自称的那个人。
-
一次性代码:这种无密码身份验证方法依赖于用户在试图登录账户时输入发送给他们的唯一代码。一次性代码(OTC)或一次性密码(OTP)将被发送到他们的电子邮箱或移动设备上,他们必须在原始设备上输入相同的代码来验证他们的身份。
-
链接确认:这种类型的无密码认证需要用户在应用程序或服务的登录框中输入他们的电子邮件地址。然后他们会收到一封电子邮件,其中包含一个他们需要点击确认身份的链接。
-
推送通知:这个无密码身份验证过程涉及使用身份验证程序应用程序,如谷歌authenticator。用户会收到一个推送通知,将他们引导至应用程序,在那里他们可以验证自己是否试图访问连接到应用程序的服务。
它如何帮助加强登录过程?
生物密码认证通过提供更大程度的确定性,用户就是他们声称的人,加强了登录过程。例如,指纹扫描或虹膜识别等生物特征认证过程比简单地输入登录凭证更能确保用户的真实。
无密码身份验证方法消除了对用户记忆密码的依赖。人们经常忘记各种在线账户的密码,或者在不同的服务中重复使用相同的密码。这带来了重大的安全风险,因此消除对密码的需求对于加强登录非常关键。
无密码身份验证系统还使用现代身份验证方法,如符合FIDO(Fast IDentity Online)要求的设备,减少了组织受到恶意软件和网络钓鱼攻击的脆弱性。
厂商如何提供帮助
登录凭证落入坏人之手的后果可能对用户和组织造成极大的破坏。用户必须使用复杂的、强大的和唯一的登录凭证来保护他们的账户和数据,必须使用像2FA这样的安全身份验证来加强登录凭证。
组织必须引入零信任网络访问,使其能够识别访问其系统和连接到其网络的设备的所有用户。通过保证只有具有正确访问权限的正确人员才能在正确的时间访问敏感数据和网络,从而改进了身份验证过程。
(完)
原文始发于微信公众号(安全行者老霍):用户网络安全意识培训应该涵盖的12个领域(中)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论