公益譯文下載 | 安全意識專題系列5:文件共享安全和桌面安全管理
責編:gltian |2018-09-10 13:24:57如何安全地共享文件,若在網上共享小文件,可通過郵件發送,但若共享大文件,郵件形式或許行不通。大多數郵件服務器對郵件大小均有限制,因此您需要一種更為強大的在線文件共享機制。針對這一需求,有多種方案可選。然而,每種方案均有其自身的安全風險。桌面安全可謂是公司網絡的第一道防線。通過部署恰當的安全策略,可以阻止惡意軟件和病毒在爆發后持續惡化,甚或可以完全避免此類事件發生。
在介紹安全風險及規避方法前,我們需要了解一下何謂文件共享,可通過哪些方法共享文件,以及這些方法是如何實現的。
何謂文件共享
Techopedia 對文件共享的定義如下:文件共享指共享數字信息或資源或提供信息或資源的訪問權限,包括文檔、多媒體(視頻/ 音頻)、圖表、計算機程序、圖片和電子書。文件共享指基于不同的共享權限級別,通過網絡以個人或公開形式分發數據或資源。
文件共享類型
可通過多種方法共享文件,以下是常用的文件存儲和分發技術:
? 移動存儲介質
? 文件傳輸協議(FTP)程序
? 對等(P2P)網絡
? 在線存儲網站或文件托管服務
移動存儲介質
移動存儲設備包括光盤、內存條、內存卡和移動硬盤等。用戶可將計算機系統中的文件轉移至移動媒介,然后交給意欲與其共享文件的用戶。用戶收到移動媒介后,將其接入計算機系統,然后轉移文件。
文件傳輸協議(FTP 程序)
FTP 是一款通過網絡共享文件的老協議,目前仍很常用。該協議的原理是將需共享的文件放到FTP 服務器上。遠程計算機若想訪問這些共享的文件需要運行FTP 客戶端軟件,然后登陸FTP 服務器。現在,每種web 瀏覽器和操作系統均內置了FTP 客戶端軟件。FTP 服務器可通過配置實現安全訪問,即客戶端訪問服務器時需輸入有效登陸信息和密碼。
P2P 網絡
P2P 文件共享是最流行的文件共享方法之一,特別是對音樂和視頻而言。在這種方式中,文件通過P2P 軟件實現共享,用戶可直接訪問和下載共享的文件。這種共享方式中的“兩端”指通過網絡互連的計算機用戶。與FTP 不同,大多數P2P 系統不使用中央服務器,網絡中的每個計算機均同時作為服務器和客戶端。Skype 等即時通信(IM)服務也是一種P2P 網絡,可在兩個或多個用戶間共享文件。Bit Torrent 和uTorrent 也屬于P2P 軟件。
在線存儲網站/ 文件托管服務
此類服務指通過網絡存儲和共享數據的Web 服務,這些數據可供個人使用或由其他用戶訪問。其中,Dropbox 和Google Drive 是兩種比較知名的方案。會員可通過Web瀏覽器或應用程序上傳照片和文檔等數據,允許他人使用相同程序下載。此外,這些服務還通過博客、論壇、郵件和Web 鏈接等形式提供文件,供用戶下載。郵件形式只允許下載少量數據。對于網站鏈接形式來說,用戶先將文件上傳到網站,存儲在網站服務器上,然后向他人分享鏈接,其他用戶可點擊鏈接直接下載文件。
文件共享安全嗎?
現在,我們了解到了有多種文件共享服務可供選擇,問題是這些服務是否安全?一提到文件共享,我們總會想到安全。這是因為在當今互聯互通的世界,這兩方面密不可分。由于在線文件的來源難以查明,您無法確定所下載的文件是否確實需要或不包含惡意軟件。此外,很多內容(尤其是P2P 網絡上的)受版權保護,禁止分發。下載此類文件可能會將上傳者置于法律訴訟風險中。
黑客攻擊文件共享應用程序時會用惡意軟件感染文件,再誘使用戶在系統中安裝受感染文件。因此,下載感染了惡意軟件的內容會帶來安全風險,引發一系列安全入侵事件。
當然,如果您部署了非常強大的安全防護措施,那就另當別論了。有些文件共享接口會暴露用戶的計算機目錄,這樣黑客甚至會獲取用戶本無意共享的信息,而用戶對此全然不知。
某些文件共享應用需要用戶開放防火墻的端口。防火墻的目的是阻止攻擊者訪問用戶的通信數據,攻擊者一旦突破防火墻這道防線,便可下載文件,將用戶計算機系統置于危險之中。移動存儲媒介可接入多個計算機系統,因此可能會從被感染的系統中感染惡意軟件。
同樣,FTP 也并不提供加密傳輸。通過FTP 傳輸公司文件可能使其遭遇多個攻擊,如暴力破解攻擊或數據包嗅探。文件托管服務也存在安全風險。警惕性不高的用戶可能會將敏感數據存放在公共文件
夾中, 或無意中將敏感文件轉移至與公共目錄自動同步的位置,而自己卻并不知曉。每種文件共享方法都存在安全風險。若忽視這些風險,用戶的關鍵個人信息或財務信息可能遭遇外泄,但若選擇了合適的文件共享方案且非常警惕,即可避免此類安全風險。
如何安全地共享文件?
當今,網絡威脅無處不在。如何安全地共享文件呢?為確保安全共享數據,可采取以下措施:
創建強密碼
密碼管理公司Keeper 的一份報告表明,“123456”仍是2016 年全球最常用的密碼。Verizon 在去年的年度《數據泄露調查報告》指出,在已確認的數據泄露事件中,63% 由弱密碼或默認密碼導致。
設置強密碼是降低數據失竊概率的第一步。為確保在線賬戶足夠安全,您的密碼應滿足以下條件:
? 至少包含8 個字符。
? 必須包含數字、大寫字母、小寫字母和符號。
? 不得為字典中的單詞。
此外,盡量采用雙重認證(也稱2FA),為您的賬戶再添加一層安全保障。若平臺不
支持雙重認證,最好選擇支持該功能的平臺。
及時更新安全軟件
持續更新反惡意軟件程序,始終使用最新版本,保持程序處于運行狀態,確保為系統提供全方位防護。下載文件前,確認開啟了防火墻。若P2P 程序要求關閉防火墻,可能為非法程序。
必須加密
很多人缺乏風險意識,隨意通過非加密通道發送文件。向被授權方發送敏感信息時,為確保信息百分百安全,務必使用提供加密功能的媒介。信息加密后會變成亂碼,竊取者若無密鑰則無法解密。移動媒介中的文件可通過多種工具加密,如自動加密的U 盤(硬盤中內置算法,因而無需安裝軟件)、全盤加密軟件(加密CD 和DVD 等不受保護的存儲媒介)以及用于加密存儲設備中特定文件的加密軟件。
HTTPS 是實現P2P 和文件托管服務的最常用且最簡單的方式。HTTPS 協議基于RSA、Kerberos 和ECDH 等安全算法進行加密。數據加密后通過安全協議(如SSL 和TLS)發送到接收端,接收端收到數據后需解密。
不要下載可疑文件
不僅要保護發送給朋友或同事的信息,還要保護接收到的數據。因此,只從可靠來源下載文件或對未知來源進行驗證非常重要。若即便這樣仍有疑問,就放棄下載。WombatSecurity 公司發布的《2016 網絡釣魚狀態報告》表明,2015 年,85% 的組織遭遇網絡釣魚攻擊,攻擊數量和復雜度均超越往年。
使用安全服務
下載前,確保軟件安全。安裝新程序前,考慮以下問題:
? 廠商在傳送軟件時是否對文件進行了加密?
? 該軟件是否遭遇過數據泄露?
? 該軟件是否使用了安全的文件傳輸協議?
? 該軟件是否提供多重認證?
? 網站上對該軟件的評論如何?
切忌上傳受版權保護的資料
比如,您手頭上有一部最新電影的數字拷貝,想免費分享給他人觀看,千萬別這么做,因為上傳受版權保護的資料可能會給您帶來嚴重的法律問題。
安裝P2P 程序時務必閱讀全部詳情
安裝來自共享網絡的文件時,為避免泄露隱私數據,必須確定系統中的哪些文件夾可以公開。此外,關閉軟件窗口不會斷開網絡連接,其他用戶仍然可以訪問您共享的文件,這會給您帶來安全風險。在不使用程序時,務必將其關閉。
遵循安全郵件操作規范
郵件是一種常見的網絡釣魚方式,已導致了很多嚴重的數據泄露事件。若您不確定發件人的真實身份,千萬不要打開附件。即使您清楚郵件來源,也要用反惡意軟件程序掃描附件后再打開。有時候盡管郵件來自于可靠來源,但發件人或許不知道文件已被感染。此外,還要設置反惡意軟件自動掃描收到和發送的所有郵件。
警惕便攜式存儲媒介
若不清楚便攜式存儲設備的來源,千萬不要將其接入計算機。一旦接入計算機,打開設備中存儲的文件前務必先利用殺毒軟件或反間諜軟件掃描設備。
管理桌面安全
桌面安全為何重要?
桌面安全可謂是公司網絡的第一道防線。通過部署恰當的安全策略,可以阻止惡意軟件和病毒在爆發后持續惡化,甚或可以完全避免此類事件發生。公司網絡內的桌面安全通常由配置了強制組策略的中央服務器進行管理。當PC 系統登錄到網絡時,會在域控制器中進行身份認證,并接收啟動腳本,這些腳本控制著網絡上的計算機行為。這種集中控制簡化了大型網絡的管理。
評估桌面安全
用戶分類
談到桌面安全時,最主要的安全考慮一定是用戶。網絡中的用戶可隨意訪問組織資源,這就帶來了安全隱患。雖然大多數用戶不會故意破壞網絡,但是當用戶忽略了最佳實踐而打開了來源未經驗證的電子郵件和附件時,就會產生意想不到的后果。因此,根據安全標記對用戶進行分類以及對訪問權限進行分級就顯得分外重要。
? 訪客:這種級別的用戶只有很有限的訪問權限,不允許修改本機上的任何文件或設置。該級別限制網絡訪問,對可訪問的網絡共享文件僅有只讀權限。
? 用戶:這是網絡上最常見的用戶類型,是員工在登錄后獲得的標準權限。一般來說,除了基本的打印和屏幕選項,用戶還能夠編輯本地設置。網絡共享被劃分為不同區域,允許特定部門用戶訪問相關的網絡共享。
? 高級用戶:這個名稱有時指執行基本管理任務(如修改標準用戶和訪客的密碼)的主管。高級用戶可在自己的桌面PC 上修改本地設置,但不能進行域級別修改。
? 管理員:這個級別對桌面系統以及網絡資源具有最高的訪問權限。管理員被賦予最高級別的訪問權限,可根據需要修改網絡和桌面設置。管理員用戶名和密碼無論何時均為機密信息,不得與任何非授權人士共享。
流程及執行
IT 安全策略一般包含在IT 部門的安全和流程文檔中,傳達的是公司在桌面和網絡操作方面的立場。文件明確了如下內容:
? 新用戶加入組織后應如何行事,IT 部門應如何確定、分配其用戶權限;
? 以可接受的方式合理使用公司資源,包括網絡、郵件和打印服務;
? 在使用IT 設備和資源時哪些行為不正確,哪些行為視為違反IT 策略。
文件在擬定并在組織內分發后,將由IT 部門決定如何遵守并實施IT 安全策略。文件會對基本概念(如密碼安全最佳實踐)和員工在工作時間登錄系統后的操作進行規范。多數公司采取彈性工作制,意味著用戶可通過遠程桌面服務(如終端服務器)從家里接入公司網絡遠程工作。這種情況也應由IT 安全部門管控,可訪問此類資源的用戶須了解接入公司網絡后的責任。
數據保護技術
在上述多個場景中,安全措施已經到位,可持續保護接入公司網絡的用戶及其隱私。涉及的技術因網絡不同而不同,取決于組織所采用的特定業務應用的要求。我們對幾種相
關技術及其安全威脅防護方式大致歸納如下:
? 單點登錄(SSO)是一種登錄憑證方法,通過單一用戶名和密碼授權用戶訪問多種資源。用戶的訪問權限由系統管理員決定。可以將SSO 門戶作為啟動平臺,用戶在工作時需要的應用(如郵件和辦公生產力套件)從這些平臺啟動。這樣做的主要好處是每個應用均可啟動自己的安全窗口,也就是說,應用可通過會話管理器有效管理。所以,如果系統管理員檢測到非法訪問,就會中斷會話,鎖定用戶賬號。
? 加密為網絡上的本地用戶以及通過互聯網從遠程站點連接的用戶添加了一個額外的安全層。加密的工作機制是在一端使用密碼對傳輸進行編碼,然后在另一端進行解碼。密鑰只與會話相關各方共享,這種安全連接使外部無法解密獲取有意義的信息。加密用于許多技術,如遠程桌面應用程序、安全網頁瀏覽、基于文本和視頻的通信等等。
? 虛擬專用網絡(VPN)是一種通過加密來保護通信的方法,在客戶端和網絡之間創建了一個虛擬隧道。即使身在他國,也會感覺和公司處在同一網絡。這意味著您能夠瀏覽網絡資源(如映射的網絡驅動器),并能如同在辦公桌邊一樣瀏覽公司的內網。唯一的缺點是,如果組織無法為此服務提供足夠的帶寬,會出現時延問題。
哪些桌面安全組件最易受攻擊?
桌面安全本身有諸多缺陷。近年來,保持網絡安全和穩定已成為系統管理員的巨大挑戰。有些需要重點關注安全的領域與用戶相關,特別是用戶將臺式PC 用作主要工作站時。這意味著應用程序需要通過組策略進行監控和鎖定,并且特定的網站和域名需要特定的防火墻來限制訪問。最易出現漏洞的領域包括:
郵件
這是網絡上最常被訪問的資源。郵件具有用戶密集型的特點,因為它是許多組織中的主要通信方式。用戶每天會收到數百封電子郵件,郵件服務器則要處理數千封郵件和附件。網絡犯罪分子使用電子郵件通過各種方法來欺騙用戶,使其忽略掉安全細節。這些方法包括:
? 網絡釣魚:這是一個相對較新的電子郵件欺詐方法,實現方法簡單得讓人驚訝。犯罪組織會下載網上銀行的登錄頁面或其他類似門戶的網頁,然后將其托管在自己的Web 服務器上,再發送看似來自相關服務提供商的電子郵件,通知用戶必須立即登錄,以完成安全程序。電子郵件中的鏈接實際上是一個超文本鏈接,將毫不知情的用戶重定向到犯罪分子的Web 服務器上托管的假冒網站。這個Web服務器配備了一個擊鍵記錄器,可以獲取用戶輸入的任何東西,然后被網絡犯罪分子用來登錄和感染用戶的賬戶。
? 受感染附件:有時候,電子郵件來自一個完全合法的來源,用戶沒有理由不信任,但是該可信來源的機器會被病毒感染,病毒再自我復制,通過群發郵件程序進行傳播。附件通常被標記為發票或報價單之類的合法的商業文件。在這些情況下,只要打開附件就可能感染用戶的PC。許多情況下,只有當公司的郵件服務器上的電子郵件隊列開始產生大量出站流量時,才能檢測到感染。
? Crypto/ 勒索軟件:最新類型的Crypto 軟件似乎能自動打開電子郵件,感染機器。這種惡意軟件特別討厭,它使用非常強大的加密密碼來加密用戶數據,讓人無法恢復電腦上的用戶文件。針對這些情況的最佳解決辦法通常是文件恢復。
即時通訊
早至互聯網中繼聊天(IRC)之初,程序員就可以通過即時消息(IM)應用程序發送附件。隨著時間的流逝,這些程序越來越復雜,文件和數據的傳輸效率也越來越高。對于當前的桌面用戶來說,在與一個未知來源聊天時,接收和打開附件可能會讓他們的桌面PC 和公司網絡感染病毒和惡意軟件。正因為如此,在公司網絡中應謹慎使用IM 應用程序。有時甚至不需要附件就能釋放漏洞,比如,用戶的聊天應用程序中如果存在安全漏洞,攻擊者就可以遠程執行某些腳本。
社交網絡
任何鼓勵文件共享的基于Web 的平臺在公司網絡中使用時都應該極度小心。利用復雜的腳本和應用程序,黑客和網絡犯罪分子可以毫不費力地進入被感染的桌面PC。即使看起來無害的照片也可能嵌入惡意軟件,因此用戶在工作場所訪問任何社交媒體服務時都要格外小心。
瀏覽器
與上述各例一樣,互聯網瀏覽器也會將組織暴露給互聯網上的各種不安全因素。如果瀏覽器沒有安裝最新的安全補丁,就可能導致網絡被滲透,所以,系統管理員務必要關注補丁周期,及時安裝補丁。用戶應始終留心自己在公司桌面上查看的內容,而在通過組織網絡連接時應避免使用私人Web 郵件服務。
社會工程
犯罪分子以企業和家庭用戶為目標,對他們進行電話詐騙,這種做法再度流行。犯罪分子一般通過電話聯系用戶,自稱來自IT 部門或大型IT 公司,試圖通過遠程桌面應用程序或者誘騙用戶下載能夠繞過網絡安全的惡意軟件來訪問用戶的電腦。從未經驗證的電話來源接受指示絕不可取,接到此類電話后,用戶應與其部門經理或IT 部門確認后再進行下一步的行動。
桌面安全意識項目
IT 部門應為組織內部用戶提供專門培訓,讓上述安全問題深入人心。通常,第一步是在用戶的入職手續中加入基本的培訓,以便在接觸到IT 策略文件以及相關策略和程序之、初就懂得如何保護自己的桌面PC 和公司網絡。近期,重大的惡意軟件事件頻發,比如WannaCry 和Crypto 變種。所以,建議進行一些基本的培訓,解釋清楚勒索軟件對用戶文件的所作所為,讓用戶對于此類惡意軟件感染桌面和企業網絡后造成的后果有更深入的理解。
桌面安全意識建議及資源
為安全事故做好準備,可能只會遭遇輕微的系統中斷,否則,則可能會面臨數據完全丟失這個災難。出于這個原因,我們基于自己的檔案編制了一個很好的資源清單,建議您
抗桌面用戶所面臨的不斷增長的安全漏洞威脅:
最終用戶安全意識
反網絡釣魚
進行安全意識培訓,抗擊勒索軟件
我們為IT 專業人員提供各種安全相關課程。如有任何疑問,請隨時與我們聯系,我們將很樂意為您提供進一步的幫助。