用戶網絡安全意識培訓應該涵蓋的12個領域（中）

什么是電子郵件安全?

    電子郵件安全包括用于保護電子郵件賬戶和通信的技術。電子郵件是一個組織最大的攻擊面，是網絡釣魚攻擊的主要目標，可以用來傳播惡意軟件。

    電子郵件是組織溝通的重要組成部分，因為它使用多種設備，使用戶能夠快速、輕松地通訊。此外，電子郵件可以用來發送許多不同類型的媒介，通信可以根據時間、日期戳和大小等屬性進行跟蹤、存儲和整理。

    電子郵件安全非常重要，因為電子郵件包含敏感信息，組織中的每個人都在使用，因此是公司最大的攻擊目標之一。向Gmail等基于云的電子郵件系統轉變有幾個好處，但基于云的電子郵件已經成為吸引網絡犯罪分子的攻擊平面。

電子郵件安全嗎?

    電子郵件是頭號威脅方式，因為它是組織中每個人都使用的普遍工具。格式公開，一旦被攔截，就可以在任何設備上讀取而無需解密。

    電子郵件不會直接發給收件人。相反，它在網絡和服務器之間傳播，其中一些設備是脆弱和不安全的，在到達收件箱之前。盡管個人電腦可能是安全的，攻擊者無法攻擊，但電子郵件必須通過的網絡或服務器可能已經被入侵。

    此外，網絡犯罪分子可以很容易地冒充發件人或以正文副本、附件、URL或發件人電子郵件地址的形式操縱電子郵件內容。對于攻擊不安全系統的黑客來說，這相當簡單，因為每封電子郵件都有包含詳細信息的元數據字段，包括電子郵件的發件人、收件人等。黑客只需要訪問這些元數據并更改它，它就會看起來像來自某人或某地的電子郵件。

電子郵件攻擊的類型

    網絡罪犯使用許多不同的技巧來入侵電子郵件，其中一些方法可以對一個組織的數據和/或聲譽造成相當大的損害。惡意軟件是一種用來損壞或操縱設備及其數據的惡意軟件，可以通過下列方式進入計算機。

網絡釣魚

    網絡釣魚通過向用戶發送文本、直接消息或電子郵件來攻擊目標。攻擊者假裝自己是受信任的個人或機構，然后利用他們與目標的關系竊取敏感數據，如賬號、信用卡詳細信息或登錄信息。

    網絡釣魚有幾種形式，如魚叉式網絡釣魚、常規網絡釣魚和捕鯨式網絡釣魚。魚叉式網絡釣魚的目標是某個特定的人，而捕鯨式則假裝是他們信任的人，把目標對準組織中的某個高層。

欺騙郵件

    欺騙是一種危險的電子郵件威脅，因為它會欺騙收件人，使其誤以為郵件來自他人而不是表面上的發件人。這使得欺騙成為一種有效的商務電子郵件入侵(BEC)工具。電子郵件平臺無法區分假郵件和真郵件，因為它只是讀取元數據——也就是攻擊者更改過的數據。這使得攻擊者很容易模仿受害者認識或尊敬的人。

電子郵件安全最佳實踐

    電子郵件是傳播勒索軟件的主要武器，這是一種高級威脅，可以影響多個端點，并竊取敏感數據。因此，郵件保護計劃需要包括以下最佳實踐，以實時保護郵件流量。

1. 垃圾郵件過濾器：垃圾郵件過濾器可以檢測垃圾郵件，防止它進入你的收件箱或將其作為垃圾郵件歸檔。
2. 電子郵件加密：電子郵件加密可以偽裝企業電子郵件，將通信內容轉換成由字母、數字和符號組成的亂碼組合，攔截者無法閱讀。
3. 防病毒保護：防病毒保護對電子郵件和附件進行病毒篩選，如果檢測到任何可疑內容，將向用戶提供警告。
4. 安全郵件網關SEG (Secure email gateway)：安全郵件網關根據IT管理員的設置，過濾有潛在危險的郵件。
5. 多因素身份驗證(MFA)：MFA是一種關鍵的數據丟失保護和防黑客工具，因為它需要用戶提供多個身份驗證因素來證明他們應該被授予對系統的訪問權。
6. 員工教育：可以教育員工認識社會工程、網絡釣魚和其他類型的攻擊，這些攻擊通常通過電子郵件實現。

移動設備安全概述

    移動設備的端點安全是一種網絡安全措施，允許組織保護其網絡上的所有設備，防止未經授權的訪問其系統。移動終端安全解決方案幫助企業保護員工用于工作的所有設備，無論是在他們內部網絡上還是在云中。

    移動設備安全使公司能夠獲得跨網絡的設備和系統的更大可見性。它有助于減少攻擊面，實時檢測和預防威脅，并自動響應安全事件。

使用端點安全服務保護移動設備的好處

    移動終端安全可以幫助企業保護用戶的設備和數據，防止未經授權的用戶訪問企業或個人的敏感信息。終端保護移動方法的其他顯著好處包括:

1. 1.       強制公司安全策略
2. 2.       確保遵守數據隱私和行業規定
3. 3.       設備自動化登記
4. 4.       遠程控制設備打補丁和更新
5. 5.       確保定期備份數據
6. 6.       控制用戶可以下載或使用的應用程序
7. 7.       支持自帶設備(BYOD)策略

移動設備的端點安全是如何工作的?

    端點安全解決方案通過對移動設備安全采取多層防護方法。它的主要目標是保護連接到企業網絡的數據和設備，這是通過檢查進入網絡的文件來實現。

    移動設備的端點保護解決方案為系統管理員提供了一個集中的管理控制臺，使他們能夠從中央儀表板控制連接到其網絡或服務器的所有設備的安全。為了讓移動安全服務有效地執行其設計的功能，每個需要保護和控制的設備上都安裝了軟件，在需要時推送更新，驗證用戶的登錄嘗試，并管理公司策略。

    端點安全還通過應用程序控制來保護移動設備，應用程序控制是一種網絡安全功能，可以阻止用戶下載或訪問未經授權或不安全的應用程序。它使用加密技術防止數據丟失，并使組織能夠快速檢測惡意軟件和其他安全威脅。使用移動端點安全系統，組織還可以從檢測和響應及端點監視等工具中受益，這些工具可以識別和阻止更高級的安全威脅。

不同類型的移動設備安全

    為了確保他們的網絡得到充分的保護，組織可以從多種移動設備保護方法中挑選。這些包括：

CASB

    云訪問安全代理(CASB)是位于用戶和云服務之間的硬件或軟件工具，用于執行組織的安全策略。CASB使公司能夠探索不正常的用戶活動，獲得其云環境的深度可見性，并確保對云訪問和使用的細粒度控制。

    CASB在保護企業免受云傳播的安全威脅、確保數據隱私和法規遵從方面發揮著越來越重要的作用。當員工在新地點使用移動設備，尤其是未管理的個人設備時，它們可以保護網絡免受威脅。

端點保護

    終端保護平臺保護整個業務網絡和所有連接到它們的設備。它為設備提供企業范圍的持續保護，并提供一個中央門戶，使管理員能夠監視和控制其整個IT環境。

VPN

    VPN創建私有連接，使用戶可以匿名、安全地訪問和瀏覽internet。VPN使用加密技術來保護用戶的互聯網活動隱私，防止他們的數據被網絡犯罪分子窺探。

    當員工從公共Wi-Fi網絡連接到業務網絡或系統時，VPN尤其重要。這些不安全的網絡增加了個人數據，如登錄憑證和電子郵件內容被黑客監視或竊取的風險。VPN隱藏了用戶的位置、IP地址和網絡活動等信息。

安全Web網關

    安全Web網關(SWG)是一種安全解決方案，它使用網絡過濾來加強組織的互聯網訪問策略。它使公司能夠從用戶發起的連接中過濾掉可能破壞公司網絡的不需要的軟件。

    當組織轉移到云計算時，安全Web網關尤其重要，因為云計算增加了他們的攻擊面，并產生了更多基于Web流量的安全風險。使用應用程序控制、數據防泄密（DLP)、HTTPS檢查、遠程瀏覽器隔離和URL過濾等功能，幫助阻止來自互聯網的威脅，而不影響用戶體驗。

電子郵件安全

    電子郵件仍然是最常用的企業溝通工具，用于向客戶、同事、客戶、朋友和家人發送信息。因此，電子郵件安全對于保護員工在其設備上發送和接收的數據至關重要。由于電子郵件的使用，惡意實體越來越多地將其作為攻擊載體，從網絡釣魚騙局到傳播惡意軟件和發起勒索軟件攻擊，這一點也不奇怪。

    電子郵件安全保護組織及其用戶免受電子郵件傳播的攻擊。常用的郵件保護工具包括防病毒程序、郵件加密、安全郵件網關、多因素認證和垃圾郵件過濾器。

移動設備管理

    移動設備管理(MDM)是一種安全方法，允許組織實施安全策略并管理、監視和保護員工的移動設備，如筆記本電腦、智能手機和平板電腦。它通過保護連接到企業網絡的移動設備的范圍來保護企業網絡。

    MDM還使組織能夠安全地采用BYOD策略，使員工能夠使用自己的設備，而不受限于公司分配的設備。從長遠來看，這可以提高效率和生產力。

    除了上述方法外，對于組織來說，定期為員工提供關于移動安全最佳實踐的培訓也是至關重要的，特別是察覺到網絡釣魚和社交工程的跡象。

可移動介質和設備

概述

    FortiGuard設備安全套件提供了先進的安全技術，用于監控和保護IoT和OT設備免受基于設備和漏洞的攻擊戰術。這些服務與我們以OT和物聯網為中心的安全解決方案集成到一起。

用人工智能驅動的多種保護方法快速阻止威脅

    所有FortiGuard安全服務都集成到Fortinet安全結構中。能夠快速檢測攻擊面。持續評估風險，自動調整安全結構，以實時應對最新的已知和未知威脅。能夠混合部署跨網絡、端點和云中，為用戶和應用程序提供感知上下文的、一致的安全策略，以彌補安全差距。

FortiOS 7.2新功能

1. 增強物聯網和OT保護:
2. 自帶NAC，主動監控，資產清單
3. 使用自動虛擬補丁修復設備
4. 安全評級集成和NAC
5. 專用IPS：用于專用IPS管理的端到端更新

登錄憑證

什么是登錄憑證?

    登錄憑證的作用是使用戶能夠登錄并驗證互聯網上的在線賬戶的身份。用戶憑證通常是用戶名和密碼組合。然而，它們可以與更安全的身份驗證工具和生物特征因素相結合，實現用戶身份更大程度的確定性。

    登錄憑證的常見例子是登錄社交媒體服務以及業務系統時使用的用戶名和密碼組合。電腦、筆記本電腦和手機等設備也需要用戶使用用戶名和密碼或個人識別號碼(PIN)代碼登錄，通常還需要指紋等生物識別驗證。

    其他通常需要登錄憑證的服務是在線銀行服務，它通常需要用戶名和密碼的組合以及雙因素身份驗證(2FA)來確認用戶的身份。

用戶名

    用戶名是用戶標識(用戶ID)，人們在計算機、網絡或服務上使用它作為自己的唯一標識。大多數網站和在線服務，允許用戶選擇他們的用戶名，通常與電子郵件地址或電話號碼相關聯。用戶名并不總是專有的，因此不應該單獨使用用戶名來識別個人。這就是服務將這些用戶名與密碼配對以形成登錄憑證的原因。

密碼

    密碼是一個秘密的字符組合，用來識別用戶并授予對設備或網站的訪問權限。密碼保護應用或網站用戶選擇的用戶名，以保護他們的賬戶和數據的隱私和安全。密碼可以包括字母、數字和特殊字符，現在大多數安全的在線服務都要求用戶選擇這三者的組合。

為什么強壯用戶名和密碼很重要

    包含個人數據的在線賬戶，需要用安全的登錄憑證進行保護。從銀行賬戶和社交媒體網站到在線零售商、協作工具和游戲網站。這些賬戶通常保存高度敏感的用戶信息，包括他們的姓名、出生日期、電子郵件地址、郵寄地址和銀行詳細信息。

    使用強大的登錄憑證來保護這些信息不落入壞人之手至關重要，因為網絡犯罪分子可以利用它訪問用戶的賬戶，竊取他們的詳細信息。

如何創建安全登錄憑證

    安全的登錄憑證對于保護用戶的身份和防止他們成為身份盜竊的受害者至關重要。在創建強大的用戶名和密碼以保證用戶及其數據的安全時，用戶需要遵循許多最佳實踐。

設置長而復雜的密碼

    確保登錄憑證安全的最佳方法之一是創建至少8個字符的長密碼。密碼還應該包含小寫字母和大寫字母、數字和特殊字符的混合。簡短、單一的密碼更容易被黑客利用技術猜出或破解，而唯一、復雜、不使用常見字符組合的密碼提供了更大的保護。

避免個人信息

    人們通常使用容易記住的信息，如出生日期、姓氏、最喜歡的運動隊或電話號碼作為密碼的一部分。然而，黑客可以利用社會工程技術找到個人信息，然后猜測或破解密碼。因此，重要的是不要在登錄憑證中包含您的個人信息。

不要使用明顯的用戶名

    黑客還可以針對容易識別的用戶名，如用戶的姓名和電子郵件地址，發動社會工程攻擊。黑客使用用戶名的一種方式是反向暴力破解攻擊，到他們使用常見密碼，并對用戶名進行嘗試。

重要賬戶使用唯一的密碼

    密碼不應該在多個賬戶之間共享，因為黑客獲得其中一個賬戶的登錄憑證后，就能夠侵入使用該密碼的任何其他服務。例如，電子郵件賬戶的密碼不應該與銀行密碼相同，網上銀行的密碼不應該與信用卡PIN碼相同。對于重要的賬戶，使用唯一的、復雜的密碼是必要的。

不要共享憑證

    登錄憑證不應該與任何人共享，即使是與同事或信任的家庭成員，這嚴重違反合規。內部威脅指的是一名員工竊取公司數據，并將其提供或出售給第三方。因此，如果非法或未經授權的活動源自與同事共享的憑證，則該賬戶將被追溯到原始員工。

    當電腦在工作日結束時不用時，退出到登錄界面甚至關閉電腦。

加強登錄過程的可選操作

    用戶名和密碼本身只能提供有限的安全級別，而且相對容易被黑客攔截或用戶忘記或丟失。用加強身份驗證過程和防止未經授權的網絡訪問的技術補充登錄憑證很有必要。

雙因素身份驗證

    雙因素身份驗證(2FA)通過提供額外級別的確定性來確保用戶就是他們所聲稱的身份，從而強化了登錄憑證。當用戶使用用戶名和密碼登錄時，系統會提示他們輸入驗證身份的第二條信息。這些信息通常是他們知道的，比如個人識別碼或密碼；他們擁有的東西，比如認證應用程序或移動設備上的代碼；或者別的什么，通常是生物特征因素。

生物識別技術

    生物識別是指用戶的個人屬性或身份，如指紋、面孔或聲音。它們還包括行為生物識別，如用戶的擊鍵特征或語音特點。生物特征認證通常用于保護電腦和手機等設備，防止未經授權的訪問。這增加了一層用傳統登錄憑證很難獲得的安全層。

單點登錄

    單點登錄是一種允許用戶使用一組登錄憑證登錄多個系統和網站的技術。它使用身份驗證令牌在不同的應用程序中驗證用戶的身份，并向連接的服務提供者驗證用戶的身份。用戶只需記住一組登錄憑證，這鼓勵使用強大的、唯一的密碼，并減少密碼重復。

對用戶憑證的威脅

    用戶的登錄憑證是黑客非常有價值的目標，他們使用各種技術試圖竊取這些數據。這給用戶的敏感信息帶來了巨大的風險，這些信息可能被用于身份盜竊或對組織進行更廣泛的攻擊。有幾種特定的攻擊以登錄憑證為目標。

暴力攻擊

    暴力攻擊包括黑客使用試錯方法來破解用戶登錄憑證、密碼和加密密鑰。這是一種簡單、可靠和流行的策略，黑客使用它來未經授權地訪問賬戶、網絡和計算機系統。

網絡釣魚

    網絡釣魚攻擊涉及黑客使用登錄憑證從看似合法公司的可信發件人發送電子郵件。黑客通常會在郵件中嵌入惡意鏈接或附件，或要求目標受害者進行金融交易。

惡意軟件

    惡意軟件指勒索軟件、間諜軟件和病毒，黑客用來控制設備、訪問網絡或破壞數據和系統。

間諜軟件

    間諜軟件是一種惡意軟件，它從用戶的設備上收集數據，并在未經用戶同意的情況下將其發送給第三方，黑客可以利用它進行身份欺騙。有些間諜軟件被設計用來破壞設備。黑客還可以使用間諜軟件查看或竊取用戶的瀏覽活動和登錄憑證。

使用無密碼認證提高登錄安全性

    雖然使用強大的、唯一的密碼保護用戶賬戶非常必要，但對于組織來說，擺脫登錄憑證和無密碼的做法越來越重要。人們不僅傾向于使用他們能記住的弱密碼，而且他們還會在多個賬戶之間重復使用這些登錄。因此，根據Verizon 2021年數據泄露調查報告(DBIR)的結果，超過61%的數據泄露是由憑證漏洞造成的。

    網絡犯罪分子也越來越多地使用更復雜的攻擊手段。這包括強力攻擊和憑證填充等技術，其中攻擊者使用來自其他數據泄露的被破壞的登錄憑證來訪問企業系統。他們還可以從暗網購買密碼，或者通過惡意軟件獲取密碼。

    組織可以通過消除密碼的風險來加強他們的防御。不使用密碼可以消除黑客部署惡意策略訪問企業賬戶和竊取敏感數據的能力。

什么是無密碼身份驗證?

    無密碼身份驗證是一種賬戶登錄過程，允許用戶使用傳統的用戶名和密碼組合以外的方法驗證自己的身份。最流行的形式包括使用第二個設備或生物識別技術來驗證用戶的身份。

    不同類型的無密碼身份驗證包括:

1. 生物特征認證：驗證一個人的身份最安全的方法之一是使用他們本身具有的特征，這對每個人都是獨一無二的。生物特征認證依靠獨特的身體特征，通常是指紋、虹膜或面部識別，來驗證用戶是他們自稱的那個人。
2. 一次性代碼：這種無密碼身份驗證方法依賴于用戶在試圖登錄賬戶時輸入發送給他們的唯一代碼。一次性代碼(OTC)或一次性密碼(OTP)將被發送到他們的電子郵箱或移動設備上，他們必須在原始設備上輸入相同的代碼來驗證他們的身份。
3. 鏈接確認：這種類型的無密碼認證需要用戶在應用程序或服務的登錄框中輸入他們的電子郵件地址。然后他們會收到一封電子郵件，其中包含一個他們需要點擊確認身份的鏈接。
4. 推送通知：這個無密碼身份驗證過程涉及使用身份驗證程序應用程序，如谷歌authenticator。用戶會收到一個推送通知，將他們引導至應用程序，在那里他們可以驗證自己是否試圖訪問連接到應用程序的服務。

它如何幫助加強登錄過程?

    生物密碼認證通過提供更大程度的確定性，用戶就是他們聲稱的人，加強了登錄過程。例如，指紋掃描或虹膜識別等生物特征認證過程比簡單地輸入登錄憑證更能確保用戶的真實。

    無密碼身份驗證方法消除了對用戶記憶密碼的依賴。人們經常忘記各種在線賬戶的密碼，或者在不同的服務中重復使用相同的密碼。這帶來了重大的安全風險，因此消除對密碼的需求對于加強登錄非常關鍵。

    無密碼身份驗證系統還使用現代身份驗證方法，如符合FIDO（Fast IDentity Online）要求的設備，減少了組織受到惡意軟件和網絡釣魚攻擊的脆弱性。

廠商如何提供幫助

    登錄憑證落入壞人之手的后果可能對用戶和組織造成極大的破壞。用戶必須使用復雜的、強大的和唯一的登錄憑證來保護他們的賬戶和數據，必須使用像2FA這樣的安全身份驗證來加強登錄憑證。

    組織必須引入零信任網絡訪問，使其能夠識別訪問其系統和連接到其網絡的設備的所有用戶。通過保證只有具有正確訪問權限的正確人員才能在正確的時間訪問敏感數據和網絡，從而改進了身份驗證過程。

（完）