原标题:网络安全市场应用以及必要性延展
随着5G网络的逐渐普及,人们的生活环境和办公场所都越来越离不开各种智能化设备,这些设备都需要连接WIFI网络,当它们启动时就会不间断的广播查找周围有没有可连接的WIFI热点。
“路由器A(WIFI接入热点的名称)你在不在,我要上网。”路由器A如果在就会连接,不在就接着寻找下一个存在的热点;“路由器B你在不在,我要上网”,智能设备便这样向周围寻找可以联网 的WIFI热点,如果这时被黑客装置就能监听到,他们马上创建一个路由器B,然后回应说:“我是路由器B,来我这里上网”。一但连接成功,随之而来的就是黑客装置入侵,进而造成个人数据、公众数据,甚至公私财产,商业信息的泄露和重大损失。
黑客通过WIFI设置陷阱的方法如此简单,日常生活与工作中我们遇到的WIFI陷阱又有多少?
WIF钓鱼陷阱
A女士在某知名快餐用餐时,手机自动加入以商家名字命名的WIFI热点,不久后A女士发现其手机收到2000元的对外转账信息,黑客利用WIFI的特性,提供了一个和商家WIFI名称类似的免费WIFI热点,一旦连接黑客设置的WIFI热点,手机上网的所有数据包,都会被黑客拦截和分析,进而黑客可以知道你上网买了什么东西,在朋友圈看了什么图片和视频,还可以冒用你的身份去发微博,查看你和朋友聊天的私信,甚至操作你的银行网银进行转账。
私搭乱建WIF,商业泄密
事件1:某使用国家超级计算机中心天河一号的公司,其办公环境内私搭WIFI,导致外部非法人员通过入侵此WIFI后,直接扫描天河一号的计算机集群,泄露大量敏感信息,同时叠加其内网账户中至少存在200个以上的员工账号使用了弱口令密码,可导致用户计算机任务敏感信息泄露,或者强大的计算资源被非法滥用!
黑客设备连接企业合法热点
在某央企楼宇外围,检测到泄露的企业内部打印机无线信号,分析该热点信号为:打印机默认开启的无线直连信号,黑客通过简单破解,成功连上了打印,并通过无线进一步扫描后,发现可利用弱密码获取到了一台主机的权限,进而访问企业内部的业务网段,侵入内网中的各种信息系统。
WIFI密码被破解,投屏不雅照片与视频
根据警情通报,某知名火锅店大屏幕的WIFI密码被人破解,投放不雅视频,造成不良社会影响;此类事假还发生在了某5A级景区的大屏幕上,被人恶意破解WIFI密码,在屏幕上播放不雅视频,景区的声誉受损。
面对防不胜防的WIFI陷阱所带来的安全威胁,个人企业该如何加以防范?由于无线局域网通过开放性的无线电波传输高速数据,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,因此网络的边界发生了巨大的变化,在这种复杂的环境中,我们还能安全的使用无线局域网吗?答案是当然可以。我们可以通过以下方法,建议安全的无线网络应用环境:
(1)使用WPA2加密协议:WPA2是当前最为安全的无线加密协议,可以有效防止数据窃听和截获。
(2)禁用广播SSID:关闭广播SSID可以有效防止未经授权的设备接入无线网络,从而保护数据的安全性。
(3)使用MAC地址过滤:通过限制设备的MAC地址,可以防止未经授权的设备接入无线网络。
(4)使用访问控制列表(ACL):使用ACL可以限制特定设备的访问权限,从而防止黑客的攻击和入侵。
(5)设备管理:对无线网络设备进行管理和维护,包括设置密码、定期更改密码、启用日志记录等,可以提高设备的安全性。
但是上述方法仅仅满足等级较低的无线网络安全防范,针对更高安全需求,需要专业的无线安全防御系统,中电金融无线安全防御系统是一种综合性的安全风险管理方案,包括对无线网络资产的管理,无线网络安全风险的风险评估、监控、检测和响应。当然,它也是一款功能强大的WLAN无线局域网安全入侵检测工具,可以解析WLAN无线数据链路层协议,主动扫描空域内全部WLAN设备,用于对有恶意的用户攻击和入侵无线网络的行为进行早期检测,在不损害无线网络性能的前提下,帮助网络运维人员主动发现网络中存在的安全隐患,在第一时间对无线攻击者进行主动防御和预警,从而更好的保证无线网络环境的安全。
(中电金融-无线安全防御系统)
无线资产管理
在指定区域中,如果已经部署有无线热点设备,通过中电金融无线网络安全防御系统可自动建立无线资产清单,并根据既有的安全策略建立与之对应的无线终端设备清单,作为网络边界安全防护、无线网络接入管控的基础。
(中电金融-无线安全防御系统)
无线热点合规性管理
无线热点合规管理主要指对指定区域内部署的基础无线热点设备的参数配置进行检测。检测内容包括:热点名称规范、热点隐藏设置、热点无线认证方式、热点无线加密方式、热点WPS(Wi-Fi安全防护设定)功能设置、热点信号强度设置等。
虚拟热点侦测
虚拟热点在无线局域网会同时呈现热点和终端两种不同的通信行为属性,此类私搭虚拟热点通常没有健全的企业级无线安全防护机制,甚至会使用未经加密的设置。虚拟热点仅为员工私用的情况下,自身金融账号等隐私数据容易被恶意攻击窃取;一旦此类虚拟热点桥接关联到内部网络进行使用,则会给恶意人员侵入内部网络提供极大的便利性,给组织机构的无线网络安全带来极大隐患。
可疑无线设备侦测
在指定区域中,网络安全或信息安全管理人员可通过中电金融无线网络安全防御系统充分掌握该区域无线网络系统的部署信息,包括是否部署了无线网络系统、已部署无线设备的详细资产清单(无线设备的SSID名称、MAC地址、加密方式、认证方式、工作信道、信号强度、设备生产厂家等),同时应能发现并识别指定区域中的可疑设备,包括:未授权的无线热点设备和未授权的无线终端设备。
(中电金融-无线安全防御系统)
可疑无线行为侦测
在指定区域中,网络安全或信息安全管理人员可通过中电金融无线网络安全防御系统充分掌握该区域无线网络系统的部署信息,包括是否部署了无线网络系统、已部署无线设备的详细资产清单等,同时应有能力对违规无线行为进行识别并阻断,违规无线行为包括:无线直连、Ad Hoc连接、未授权终端连接到授权热点、授权终端连接到未授权热点等多种形式。
钓鱼攻击侦测能力
无线钓鱼是指黑客通过搭建一个跟合法热点相同的热点诱骗无线客户端接入。一旦用户接入了其所建立的无线网络,用户全部的通信数据包都会被黑客捕获。入侵者往往通过DNS劫持、钓鱼网站、数据流量分析等多种组合式攻击手段窃取用户的敏感信息,包括但不限于:用户身份窃取、登录凭据窃取、用户金融资产窃取等。
简易的钓鱼热点只是伪冒合法热点一样的SSID名称,设备自身MAC地址并没有伪造;专业的钓鱼热点会同时伪冒合法热点一样的SSID名称和设备MAC地址。
在指定区域中,网络安全或信息安全管理人员可通过中电金融无线网络安全防御系统及时发现钓鱼热点的存在。
无线攻击侦测能力
通常恶意的攻击行为主要是为了如下两个目的:破坏网络系统的正常运行致使组织内的网络运作瘫痪和窃取重要数据信息。
(中电金融-无线安全防御系统)
恶意破坏的无线泛洪攻击是利用数据链路层中特定形式的协议包(如认证、关联、去认证、去关联)进行攻击的一种方法。攻击者向目标热点或终端发送大量的特定协议包,导致目标热点或终端会将大量的时间和资源用于处理响应,而无法处理正常的请求或响应,从而实现对目标热点和终端的攻击。恶意入侵的无线渗透攻击是利用专用的黑客工具和无线漏洞(如Aireplay-ng、MDK3、EAP握手包伪造、EAP字典暴力破解)进行攻击的一种方法。攻击者通过暴力破解、中间人攻击、身份伪造等方式诱骗或窃取用户的身份验证信息,从而盗用用户合法身份信息入侵到内部网络,达到窃取重要数据信息的攻击目的。
在指定区域中,网络安全或信息安全管理人员可通过中电金融无线网络安全防御系统及时侦测到无线攻击的发生,无线攻击的类型应至少包括:无线泛洪攻击行为和无线恶意入侵攻击行为。
无线攻击防御能力
在指定区域中,网络安全或信息安全管理人员通过中电金融无线网络安全防御系统在侦测到无线攻击的发生时,能通过自动化安全策略或人工干预的方式对无线攻击进行阻断防御。
随着金融机构发展日益依赖数字化技术,网络攻击也带来诸多威胁也波及,极有可能发生数据泄露、客户身份失窃、支付欺诈、恶意软件感染以及网络系统瘫痪等风险,因此加强网络安全措施,确保客户的财务信息和机密信息的安全,采用综合性安全风险管理方案亦是大势所趋,建立高可靠性的网络安全管理制度是金融机构数字化转型路上的坚固基石和有力支撑。
热门跟贴