这个问题曾经是那些“40,000 英尺以上”的问题之一——它更多的是一种心理测试,而不是一个实际的安全问题。因为当我们听到“网络攻击”这个词时,普通人的头脑会立即跳到黑暗房间里的侦探身上,一边啄食他们的键盘,一边对他们的目标受害者进行致命的软件打击。长期以来,这正是我们行业的运作方式。,对于小型企业来说,一个基本的防火墙和一些安全调整可能就足够了。对于较大的公司,也许有一个 CDN 可以帮助减轻软件对内部系统的访问,甚至防止 DDoS 攻击。但这真的足够吗?您真的受到以软件为中心的方法的严格保护吗?,, 什么是硬件漏洞?,硬件漏洞是硬件中的一个缺陷,允许恶意用户攻击、更改或以其他方式影响设备超出其预期用途。这可能导致黑客征用许多不同类型的硬件,从计算机和智能手机到连接互联网的智能设备,如恒温器和婴儿监视器。,虽然大多数企业在大多数情况下可能没有婴儿监视器,但每天进入市场的物联网设备数量呈指数级增长。Statista估计,到 2018 年底,物联网设备的数量约为 2200 万台。到 2025 年,这一数字预计将达到令人瞠目结舌的 386 亿,并且这一增长将继续呈上升趋势。虽然这一估计包括智能冰箱等消费产品,但也包括门控制器和安全开关等关键业务设备。,有了这种认识,很容易看出有大量新设备被添加到我们的网络中。根据CISA的说法,大多数小企业没有能力处理不断增长的网络威胁,因为许多小企业没有在晚上运行基本的防病毒扫描。, 防止硬件漏洞的 4 种方法, 1.更改默认密码,希望这不仅适用于企业实体,还适用于小型企业,但它是我们可以采取的最容易被忽视和最基本的网络安全程序之一。现在有一些网站列出了当今市场上大多数路由器的默认凭据。如果有人真的想从内部或外部访问您的网络,假设您从未更改过默认管理密码,只需几分钟。这尤其令人不安,因为 ISP 通常向小企业提供与消费者相同的设备。我们的建议:更改所有密码并继续经常这样做。, 2.限制或完全消除 USB 的使用,这个利用网络安全的例子以高风险动作片最为著名。一名特工潜入目标的办公室,另一名特工指导他们如何插入U 盘以窃取他们的所有数据。虽然这会带来更多好的娱乐,但现实世界的后果可能是毁灭性的。,,卡巴斯基还报告说,没有任何防病毒软件可以在USB控制器级别检测恶意软件等,现在甚至可以利用设备的充电端口。我们的建议:严格限制或完全禁止使用 USB 设备。安全联网的云解决方案可提供更高的安全性,并且可由您公司的 IT 团队轻松管理。, 3.更新所有硬件固件,很少被认为是一个漏洞点,所有硬件组件(如主板、处理器甚至智能手机)的固件都可能成为攻击者故意瞄准核心级入口点的瞬间突破点。NIST不断更新国家漏洞数据库 (NVD) 以帮助阻止传入的攻击,但攻击者使用的复杂方法的数量继续增长。,BBC报道的最近一次名为 RobbinHood的勒索软件攻击针对巴尔的摩市政府职能部门,导致 10,000 台市政府计算机被锁定并中断了全市范围的支付。我们的建议:随时了解直接或间接连接到您的网络的任何系统的关键安全更新。, 4.带外管理您的网络,带外 (OoB) 网络管理是一种从网络外部管理关键网络基础设施以减轻内部和本地网络利用的方法。OoB 的好处很多,包括在主网络出现故障或无法访问的情况下紧急访问远程设备。它还允许公司关闭特定的数据集,同时仍然允许访问网络设备。来自NSA的一篇论文描述了 OoB 的好处,指出最有益的实施成功地为运营流量中的网络流量创建了备用路径。如果发生网络攻击,这可能会限制攻击者获得的访问权限,并有助于保持用户操作整体不受影响。我们的建议:如果不考虑您的整体网络运营,至少部分考虑关键系统的 OoB 实施。, ,这个问题曾经是那些“40,000 英尺以上”的问题之一——它更多的是一种心理测试,而不是一个实际的安全问题。因为当我们听到“网络攻击”这个词时,普通人的头脑会立即跳到黑暗房间里的侦探身上,一边啄食他们的键盘,一边对他们的目标受害者进行致命的软件打击。长期以来,这正是我们行业的运作方式。,虽然大多数企业在大多数情况下可能没有婴儿监视器,但每天进入市场的物联网设备数量呈指数级增长。Statista估计,到 2018 年底,物联网设备的数量约为 2200 万台。到 2025 年,这一数字预计将达到令人瞠目结舌的 386 亿,并且这一增长将继续呈上升趋势。虽然这一估计包括智能冰箱等消费产品,但也包括门控制器和安全开关等关键业务设备。,
随着智能汽车、智能家居设备和联网工业设备的数量和普及程度都在增长,它们几乎在任何地方都会生成数据。事实上,2022 年全球有超过 164 亿台联网 IoT(物联网)设备,预计到2025 年这一数字将飙升至 309 亿台。届时,IDC 预测这些设备将在全球产生 73.1 ZB 的数据,与不久的 2019 年相比增长 300%。,,快速有效地分类和分析这些数据是优化应用程序用户体验和更好的业务决策的关键。边缘计算是实现这一目标的技术。但是,在边缘附近部署现代工作负载(例如微服务、机器学习应用程序和 AI)会给组织的基础架构带来许多需要解决的挑战。为了从边缘计算中受益,企业需要在其 IT 基础架构和最终用户需求之间找到完美平衡。, 边缘计算的挑战,为了获得最佳性能,边缘工作负载需要以下条件:,远程和集中式公共云计算模型的数据传输延迟不能满足现代边缘工作负载的需求。另一方面,构建去中心化网络来支持边缘工作负载会带来一系列令人生畏的挑战。, 物流复杂性,管理不同的边缘计算、网络和存储系统很复杂,需要同时在多个地理位置提供经验丰富的 IT 人员。这需要时间并给组织带来巨大的财务压力,尤其是在运行数百个容器集群时,在不同的时间从不同的边缘位置提供不同的微服务。, 带宽瓶颈,根据摩根士丹利的一份报告,仅自动驾驶汽车的雷达、传感器和摄像头预计每小时就会产生高达 40 TB 的数据。为了快速做出挽救生命的决定,这些四轮超级计算机创建的数据需要在几分之一秒内传输和分析。同样,许多边缘设备同时收集和处理数据。将此类原始数据发送到云端可能会危及安全性,而且通常效率低下且成本过高。,,为了优化带宽成本,组织通常将较高的带宽分配给数据中心,而将较低的带宽分配给端点。这使得上行链路速度成为应用程序将数据从云端推送到边缘的瓶颈,而边缘数据同时反过来。随着边缘基础设施的增长,物联网流量增加,带宽不足会导致大量延迟。, 有限的能力和扩展的复杂性,边缘设备较小的外形尺寸通常会导致高级分析或数据密集型工作负载所需的电力和计算资源不足。此外,边缘计算的远程和异构性质使物理基础设施的扩展成为一项重大挑战。边缘扩展不仅仅意味着在数据源处添加更多硬件。相反,它扩展到扩展人员、数据管理、安全性、许可和监控资源。如果没有正确计划和执行,这种水平扩展可能会由于过度配置而导致成本增加,或者由于资源不足而导致应用程序性能欠佳。, 数据安全,随着计算向边缘移动,基础设施超越了集中计算模型提供的多个物理和虚拟网络安全层。如果没有得到充分保护,边缘就会成为各种网络威胁的目标。,恶意行为者可以注入未经授权的代码,甚至复制整个节点,窃取数据并在不为人知的情况下对其进行篡改。它们还可以通过路由信息攻击干扰通过网络传输的数据,这些攻击通过数据删除和替换影响吞吐量、延迟和数据路径。另一个常见的边缘数据安全威胁是DDoS 攻击,旨在压倒节点,导致电池耗尽或耗尽通信、计算和存储资源。在物联网设备收集的所有数据中,只有最关键的数据需要分析。如果没有安全且合规的长期数据保留和归档解决方案,这通常会导致数据过度积累和数据在边缘蔓延,从而进一步增加脆弱性。, 数据访问控制,边缘设备在物理上是隔离的,这意味着在这个分布式计算系统中,数据由不同的设备处理,这增加了安全风险,使得数据访问难以监控、验证和授权。,,最终用户或终端设备的隐私是另一个需要维护的关键方面。需要多层次的政策来确保每个最终用户都得到考虑。在满足实时数据延迟要求的同时实现这一点是一项重大挑战,尤其是在从头开始构建边缘基础设施时。,拥有由合作伙伴生态系统构建的物理上接近、预配置的解决方案,提供优化的硬件和基础设施管理工具,可以缓解边缘计算挑战。边缘数据中心是一种新兴的解决方案,通过在安全、快速的网络上为组织提供高性能数据存储和处理资源来解决这个问题。, 边缘基础设施的救援,与云相比,边缘基础设施位于靠近最终用户网络的较小设施中。通过使计算、存储和网络资源更接近数据源,边缘数据中心为组织及其工作负载提供了各种好处。,这些包括:,作为一家全球 IaaS 提供商,phoenixNAP 认识到将强大的计算和存储资源靠近边缘并使其在全球范围内易于访问和扩展的重要性。为了进一步扩大我们的裸机云平台的可用性,我们与American Tower合作,在德克萨斯州奥斯汀推出了我们的第一个边缘站点。这使美国西南部的用户可以访问以下功能:,,通过作为服务提供的高性能硬件和软件技术,Bare Metal Cloud 等平台可帮助企业缩短行动时间并避免数据传输瓶颈。边缘工作负载受益于自动化驱动的基础设施配置和对容器化应用程序和微服务的支持。同时,安全的单租户资源以及单一管理平台监控和访问允许对基础架构进行全面控制。最后,利用预配置的服务器消除了对机架、电源、冷却、安全或其他基础设施维护因素的需求,让内部团队专注于应用程序优化。, 结论,无线通信技术、物联网设备和边缘计算不断发展,相互呼唤着新的突破,同时也创造了新的挑战。随着越来越多的数据在整个物联网生态系统中生成和分布,计算、存储和网络技术需要遵循并适应未来工作负载的需求。通过不同 IT 供应商和服务提供商之间的合作,边缘数据中心等解决方案应运而生。通过在数据的发源地提供安全、高性能的数据传输、存储和分析,它们可以帮助组织克服边缘计算难题。, ,随着智能汽车、智能家居设备和联网工业设备的数量和普及程度都在增长,它们几乎在任何地方都会生成数据。事实上,2022 年全球有超过 164 亿台联网 IoT(物联网)设备,预计到2025 年这一数字将飙升至 309 亿台。届时,IDC 预测这些设备将在全球产生 73.1 ZB 的数据,与不久的 2019 年相比增长 300%。,远程和集中式公共云计算模型的数据传输延迟不能满足现代边缘工作负载的需求。另一方面,构建去中心化网络来支持边缘工作负载会带来一系列令人生畏的挑战。,
美国Linux服务器系统有字符设备跟块设备的区分,但因为名称很接近,所以不熟悉的美国Linux服务器用户们对这两个概念不是很理解,所以小编就来介绍下美国Linux服务器系统的字符设备和块设备以及它们之间的区别。, 1、块设备, 美国Linux服务器系统中能够随机,不需要按顺序访问固定大小数据片chunks的设备被称作块设备,这些数据片就称作块。最常见的块设备是硬盘,除此以外,还有软盘驱动器、CD-ROM驱动器和闪存等等许多其他块设备。注意,它们都是以安装文件系统的方式使用的,这也是块设备的一般访问方式。, 2、字符设备, 另一种基本的设备类型是字符设备。字符设备按照字符流的方式被有序访问,像串口和键盘就都属于字符设备。如果一个硬件设备是以字符流的方式被访问的话,那就应该将它归于字符设备;反过来,如果一个设备是随机无序访问的,那么它就属于块设备。, 美国Linux服务器这两种类型的设备的根本区别在于,它们是否可以被随机访问,也就是说能否在访问设备时随意地从一个位置跳转到另一个位置。举个例子,键盘这种设备提供的就是一个数据流,当你敲入“mfy” 这个字符串时,键盘驱动程序会按照和输入完全相同的顺序返回这个由三个字符组成的数据流。如果让键盘驱动程序打乱顺序来读字符串,或读取其他字符,都是没有意义的。所以键盘就是一种典型的字符设备,它提供的就是用户从键盘输入的字符流。对键盘进行读操作会得到一个字符流,首先是“m”,然后是“f”,最后是“y”,最终是文件的结束。, 而当没敲键盘时,字符流就是空的。硬盘设备的情况就不大一样了。硬盘设备的驱动可能要求读取磁盘上任意块的内容,然后又转去读取别的块的内容,而被读取的块在磁盘上位置不一定要连续,所以说硬盘可以被随机访问,而不是以流的方式被访问,显然它是一个块设备。, 美国Linux服务器内核管理块设备要比管理字符设备细致得多,需要考虑的问题和完成的工作相比字符设备来说也要复杂许多。这是因为字符设备仅仅需要控制一个位置,就是当前位置,而块设备访问的位置必须能够在介质的不同区间前后移动。所以事实上内核不必提供一个专门的子系统来管理字符设备,但是对块设备的管理却必须要有一个专门的提供服务的子系统。, 不仅仅是因为块设备的复杂性远远高于字符设备,更重要的原因是块设备对执行性能的要求很高,对硬盘每多一分利用都会对整个系统的性能带来提升,其效果要远远比键盘吞吐速度成倍的提高大得多。另外,美国服务器用户将会看到,块设备的复杂性会为这种优化留下很大的施展空间。, 简单来讲,美国Linux服务器系统的块设备可以随机存取,而字符设备不能随机存取,块设备通过系统缓存进行读取,不是直接和物理磁盘读取;字符设备可以直接物理磁盘读取,不经过系统缓存。, 现在梦飞科技合作的美国VM机房的美国Linux服务器所有配置都免费赠送防御值 ,可以有效防护网站的安全,以下是部分配置介绍:,, 美国Linux服务器系统有字符设备跟块设备的区分,但因为名称很接近,所以不熟悉的美国Linux服务器用户们对这两个概念不是很理解,所以小编就来介绍下美国Linux服务器系统的字符设备和块设备以及它们之间的区别。, 美国Linux服务器这两种类型的设备的根本区别在于,它们是否可以被随机访问,也就是说能否在访问设备时随意地从一个位置跳转到另一个位置。举个例子,键盘这种设备提供的就是一个数据流,当你敲入“mfy” 这个字符串时,键盘驱动程序会按照和输入完全相同的顺序返回这个由三个字符组成的数据流。如果让键盘驱动程序打乱顺序来读字符串,或读取其他字符,都是没有意义的。所以键盘就是一种典型的字符设备,它提供的就是用户从键盘输入的字符流。对键盘进行读操作会得到一个字符流,首先是“m”,然后是“f”,最后是“y”,最终是文件的结束。,
随着充满活力的劳动力的兴起,IT 团队被迫比以往任何时候都更加依赖远程访问。现在有近 500 万台远程桌面协议 (RDP) 服务器暴露在互联网上,比大流行之前增加了约 200 万台。远程桌面是大多数公司的基本功能,但经常被网络犯罪分子利用。攻击者试图操纵整个城市供水中的化学物质浓度的佛罗里达水厂事件等事件表明,这种网络威胁的后果是多么致命。,上个月,在亚太地区的一家科技公司检测到服务器端攻击。黑客暴力破解了 RDP 服务器,并试图在整个组织中传播。及早发现此漏洞对于阻止网络犯罪分子创建僵尸网络并使用它造成严重破坏至关重要,可能会发起勒索软件或分布式拒绝服务 (DDoS) 攻击。,, 如何制作僵尸网络,只需要一个易受攻击的 RDP 服务器,威胁行为者就可以在组织中获得初步立足点并横向传播以建立他们的僵尸网络军队。僵尸程序只是受感染的设备,可以由恶意第三方控制;一旦积累了这些主机的网络,黑客就可以执行一系列操作,包括:,事实上,一旦攻击者获得了对这些设备的远程访问权限,几乎没有什么是做不到的。僵尸网络恶意软件往往包含自我更新功能,允许所有者添加或删除功能。而且由于攻击者使用合法的管理 RDP 凭据,传统安全工具很难检测到这种恶意活动,直到为时已晚。, 出租 DDoS:一家网络犯罪企业,近年来,网络犯罪的交易蓬勃发展,使事情进一步复杂化。现在,在暗网上可以轻松获得基于订阅和租赁的模型,用于从勒索软件即服务到私人数据拍卖等一系列非法活动。因此,攻击者感染服务器并在线销售这些机器人的使用变得越来越普遍。租用 DDoS 服务以每小时 20 美元的价格提供对僵尸网络的访问。事实上,其中一些工具包甚至是合法的,并将自己作为“IP 压力源”或“引导程序”进行营销,可以合法地用于测试网站的弹性,但经常被利用并用于关闭网站和网络。,这些发展引发了 DDoS 和僵尸网络恶意软件攻击的新浪潮,因为黑客利用额外的经济激励来创建僵尸网络并在暗网上出租它们。“僵尸网络构建器”工具通过提供僵尸网络恶意软件并协助初始感染来帮助低技能攻击者创建机器人。由于这些工具包的出现,复杂的 RDP 攻击蓬勃发展,降低了此类攻击的技能门槛,从而使其广泛可用。, 显微镜下的自动 RDP 攻击,一家托管在线游戏网站的面向 Internet 的 RDP 服务器最近在一家拥有大约 500 台设备的网络上的技术公司遭到入侵。攻击者使用蛮力收集正确的密码并获得对桌面的远程访问。正是在这一点上,Cyber AI开始从罕见的外部位置检测到异常的管理 RDP 连接。,,在许多方面,此事件是典型的 RDP 妥协。凭证暴力破解是服务器端攻击的常见初始载体,此外还有凭证填充和漏洞利用。在这种情况下,攻击者可能计划利用暴露的服务器作为感染其他内部和外部设备的支点,可能会创建一个僵尸网络以供雇佣或泄露敏感信息。,在此攻击后大约 14 小时,攻击者从稀有域下载了多个文件。在接下来的 18 小时内,攻击者使用易受攻击的 SMBv1 协议在端口 445 上进行了超过 440 万次内部和外部连接尝试。这些尝试中的大多数是使用凭据“管理员”的 SMB 会话失败。服务器与超过 270 个内部和外部 IP 地址成功地进行了 SMB 会话。,与通常内部使用的端口上的罕见但良性位置的传出连接可能与特定的攻击配置文件不匹配,这意味着它们会被基于签名的安全工具遗漏。然而,尽管缺乏对多个文件下载源的威胁情报,人工智能还是能够观察到活动的极不寻常的性质,从而实现高可信度的检测。, 僵尸网络恶意软件和自动化,此事件中的移动速度和缺乏数据泄露表明攻击是自动化的,可能是在僵尸网络构建器工具的帮助下进行的。如果在初始阶段没有提醒安全团队,使用自动化来加速和掩盖漏洞可能会导致严重后果。,针对面向 Internet 的 RDP 服务器的攻击仍然是最常见的初始感染媒介之一。随着自动扫描服务和僵尸网络恶意软件工具的兴起,入侵的难易程度猛增。暴露的服务器被利用只是时间问题。此外,高度自动化的攻击会不断运行,并且可以在整个组织中迅速传播。在这种情况下,让安全团队尽快了解设备上的恶意活动至关重要。,AI 不仅可以自行确定感染源自特定 RDP 服务器,它还实时检测到攻击的每一步,尽管缺乏明确的现有签名。自学习 AI 检测数字环境中用户和设备的异常活动,因此对于以机器速度关闭威胁至关重要。此外,企业免疫系统提供的可见性极大地减少了攻击面并识别维护不善的影子 IT,为数字业务提供了额外的安全层。, ,随着充满活力的劳动力的兴起,IT 团队被迫比以往任何时候都更加依赖远程访问。现在有近 500 万台远程桌面协议 (RDP) 服务器暴露在互联网上,比大流行之前增加了约 200 万台。远程桌面是大多数公司的基本功能,但经常被网络犯罪分子利用。攻击者试图操纵整个城市供水中的化学物质浓度的佛罗里达水厂事件等事件表明,这种网络威胁的后果是多么致命。,事实上,一旦攻击者获得了对这些设备的远程访问权限,几乎没有什么是做不到的。僵尸网络恶意软件往往包含自我更新功能,允许所有者添加或删除功能。而且由于攻击者使用合法的管理 RDP 凭据,传统安全工具很难检测到这种恶意活动,直到为时已晚。,
虽然 UPnP 在将新设备添加到本地网络时无需进行大量设置,但此协议可能会给您的数据和操作带来相当大的风险。快速连接设备的能力很方便,但 UPnP 的速度往往是以网络安全为代价的。本文介绍了 UPnP(通用即插即用)以及与此网络协议相关的安全风险。继续阅读以了解此协议的工作原理,并了解黑客如何利用 UPnP 绕过防火墙并创建进入目标网络的入口点。,UPnP(通用即插即用)是一种网络协议,它使设备能够相互发现并连接,而无需手动配置或用户干预。该协议自动化了同一网络上设备之间识别和通信所需的所有步骤。,UPnP 的主要目标是提供一种将新硬件添加和连接到本地网络的自动化方式。该协议使设备能够通过以下方式加入网络:,UPnP 的一些最常见用例包括:,虽然方便,但 UPnP 协议并非没有风险。如果该协议允许具有严重漏洞或恶意软件的设备加入,则熟练的黑客可以创建进入本地网络的永久入口点。这种安全风险就是为什么 UPnP 通常仅在住宅设置而不是小型企业或企业网络上启用的原因。,UPnP 使应用程序和设备能够自动打开和关闭端口以连接到 LAN 网络。此过程(称为端口转发或端口映射)发生在路由器上,并且可以允许 Web 流量从外部源通过内部网络。,UPnP 通过四个标准实现自动的设备到设备端口转发:,由于该协议依赖于通用网络标准,UPnP 不需要任何额外的驱动程序或技术即可工作。市场上的大多数设备都可以参与 UPnP,无论其操作系统、编程语言或制造商如何。,从用户的角度来看,UPnP 是一个简单的过程。您将新设备带回家,将其连接到网络,您的其他设备可以立即与最新的硬件进行通信。但是,该过程在后台要复杂得多,每当您设置新设备时,UPnP 都会经历六个阶段:,该协议依赖于客户端-服务器模型,其中 UPnP 控制点(客户端)搜索提供服务的 UPnP 服务器(设备)。下面是对 UPnP 协议每个阶段发生的情况的详细介绍。,新设备必须具有唯一的 IP 地址才能成为网络的一部分,因此 UPnP 可以:,如果设备在 DHCP 事务期间(例如,通过DNS 服务器或通过 DNS 转发)获得域名,则设备将在网络操作中使用该名称。,并非所有物联网设备都需要 IP 地址,例如联网咖啡壶、恒温器和灯泡。相反,这些设备通过蓝牙或射频识别 (RFID) 等技术与网络进行通信。,该设备使用简单服务发现协议 (SSDP) 将其详细信息呈现给网络控制点。新设备发送 SSDP 活动消息,其中包含以下基本细节:,根据 UPnP 设置,网络控制点可以主动搜索感兴趣的设备或被动收听 SSDP 消息。,一旦控制点发现设备,网络必须在与新硬件交互之前了解其功能。设备发送详细描述,其中包括:,设备以 XML 格式发送这些消息,网络创建一个设备描述文档,其中列出了用于控制、事件和服务描述的 URL。每个服务描述还包括服务可以响应的命令和每个操作的参数。,在控制点开始与发现的设备交互之前,网络会发送消息以调用服务上的操作。这些控制消息也是 XML 格式并使用简单对象访问协议 (SOAP)。,UPnP 有一个称为通用事件通知架构 (GENA) 的协议,该协议使控制点能够将自己注册为服务以获取设备状态更改的通知。,每当状态变量发生变化时,该服务都会向所有已注册的控制点发送事件通知。这些简单的事件消息采用 XML 格式,仅包含状态变量及其当前值。,如果新设备在描述阶段提供了一个演示 URL,控制点可以从这个 URL 中检索一个页面并将其加载到 Web 浏览器中。在某些情况下,用户可以通过浏览器控制设备或查看其状态。,用户可以通过演示 URL 与设备交互的程度取决于网页和设备的特定功能。,尽管 UPnP 有很多好处,但该协议有两个主要的安全风险:,由于 UPnP 使流量能够绕过安全屏障,因此如果受恶意软件感染的设备设法连接到网络,该协议可能会导致各种安全问题。,另一个安全问题是 UPnP没有正式实施。不同的路由器有不同的应用程序,许多部署都带有黑客可以利用的独特的 UPnP 相关错误。,不幸的是,许多路由器制造商默认启用 UPnP,使基于 LAN 的设备可以从 WAN 中发现。由于端口转发中与路由器相关的缺陷,发生了几起引人注目的基于 UPnP 的攻击,例如:,黑客以不同方式利用过度信任的 UPnP 协议。大多数漏洞利用需要黑客首先以某种方式(例如,通过暴力破解或网络钓鱼电子邮件)破坏网络,以便在系统上安装恶意软件。在恶意软件注入之后,攻击可能如下所示:,来自 UPnP 缺陷的后门可能会在几个月内未被发现,因此犯罪分子有足够的时间来实现他们的目标。最常见的目标是:,如果安全是您的首要任务,则没有真正的理由让 UPnP 处于开启状态。区分恶意和合法 UPnP 请求太困难了,这就是为什么具有安全意识的用户通常将协议作为网络安全最佳实践保持关闭。,如果端口转发是您的用例的基本要求(例如,如果您有 VoIP 程序、点对点应用程序、游戏服务器等),比 UPnP 更安全的选择是手动转发每个端口。手动端口转发可确保您控制每个连接,并且不会冒着恶意行为者或程序利用 UPnP 幕后自动化的风险。,依赖 UPnP 是明智选择的唯一方案是运行没有敏感数据或系统的简单家庭网络。但是,仍然存在风险,您需要保持与 UPnP 相关的整个攻击面为最新状态,包括:,如果您关闭 UPnP,请记住您的网络将不再自动打开 LAN 上的端口。路由器甚至会忽略合法请求,因此您需要手动为每个连接设置端口转发规则。,另一个更安全的选择是使用称为UPnP-UP(通用即插即用 – 用户配置文件)的非标准解决方案。此版本具有原始协议缺少的用户身份验证扩展。不幸的是,虽然 UPnP-UP 比协议的标准版本安全得多,但并非所有设备都支持 UPnP-UP。,虽然 UPnP 满足了真正的需求,但该协议存在严重的设计缺陷,可能会危及网络上的每台设备。除非 UPnP 对您的操作至关重要,否则您应该关闭该协议。路由器将忽略所有传入请求,您需要手动设置新设备,但您的安全值得付出额外努力。,,虽然 UPnP 在将新设备添加到本地网络时无需进行大量设置,但此协议可能会给您的数据和操作带来相当大的风险。快速连接设备的能力很方便,但 UPnP 的速度往往是以网络安全为代价的。本文介绍了 UPnP(通用即插即用)以及与此网络协议相关的安全风险。继续阅读以了解此协议的工作原理,并了解黑客如何利用 UPnP 绕过防火墙并创建进入目标网络的入口点。,UPnP...
恶意软件是一个大问题已不是什么秘密,无论是用于家庭银行业务和观看 Netflix 的受感染笔记本电脑,还是存储客户信用卡和银行详细信息的数百万英镑的组织。但是一旦机器感染了恶意软件会发生什么?该问题的答案取决于感染了设备的恶意软件类型,因为存在不同类型的恶意软件,每种恶意软件都有自己的恶意特征。本文将概述各种类型的恶意软件并解释它们的设计目的。,, 病毒和蠕虫,病毒是一种常见的恶意软件,通常会影响受感染设备的性能。病毒是能够在文件系统中自我复制的恶意软件的总称。病毒需要由用户手动启动,或者通过感染设备上正在运行的应用程序来启动。,病毒需要用户交互才能开始运行,而蠕虫的问题可能更大,因为它能够自动传播到其他计算机和网络,而无需用户交互。这可能是公司网络中的一个问题,因为蠕虫会枚举网络共享并使用这些共享在网络中横向移动,因此多个服务器和关键设备可能会受到感染。, 蠕虫示例 – WannaCry,Wannacry 恶意软件在发布时产生了巨大影响,因为它能够通过搜索面向公众的 SMB 端口自动传播。这对世界各地的许多组织构成了巨大威胁,因为 SMB 共享被用于合法共享文件和数据。, 广告软件,恶意软件将在很大程度上试图逃避检测,因为它不希望用户知道他们的设备已被感染。但是,如果您已经感染了广告软件,那么您就会知道它,因为您会在设备上看到大量广告。这些将显示在您的浏览器上并通过烦人的弹出窗口显示。, 广告软件示例 – DeskAd,DeskAd 是一种广告软件,一旦它在设备上站稳脚跟,就会逐渐增加它显示的浏览器广告数量,并将您的网络流量重定向到恶意网站。, 间谍软件,间谍软件将从您的设备中整理私人数据,例如您的浏览历史记录、位置、密码和购买。然后可以将这些信息出售给第三方广告商或使用已泄露的数据进行银行欺诈, 间谍软件示例 – Pegasus,Pegasus 间谍软件是由以色列公司 NSO Group 开发的,该公司的间谍软件据报道以 iPhone 为目标。这种间谍软件特别具有侵入性的原因在于,它的设计目的是允许访问设备的摄像头和麦克风。,, 勒索软件,近年来,勒索软件已成为一个巨大的问题,并为编写和设计此类恶意软件的团体带来了数百万英镑的收入。与大多数恶意软件一样,勒索软件通常通过伪装成诸如 Word 文档或 PDF 文件之类的无辜内容的电子邮件进行分发。该文件然后由不知情的用户启动,没有意识到附件的真实意图。,与大多数试图逃避检测的恶意软件不同,勒索软件希望用户知道设备已被入侵。由于备份已被删除,勒索软件将显示一条消息,建议所有文件都已加密,检索数据的唯一方法是向坏人支付赎金。这通常在比特币中,将包括有关如何使用 Tor 浏览器访问暗网的说明,并提供有关如何进行所需付款的详细信息。如果付款,那么坏人建议他们将提供解密密钥,以便可以解密数据。, 勒索软件示例 – BlackMatter、Netwalker、Cerber,Blackmatter Ransomware似乎是REvil和 Darkside 团体的合并,这些团体是 2020 年和 2021 年最多产的两个勒索软件团体。它们被归因于针对 Colonial Pipeline 和 JBS 的具有里程碑意义的攻击,以及臭名昭著的 Travelex 事件。该组织及其客户遭受数月的中断。,Netwalker Ransomware由名为“Circus Spider”的网络犯罪组织于 2019 年创建。Circus Spider 是“Mummy Spider”网络犯罪组织的新成员之一。从表面上看,Netwalker 的行为与大多数其他勒索软件变体一样,通过网络钓鱼电子邮件建立最初的立足点,然后窃取和加密敏感数据以获取巨额赎金。,不幸的是,Netwalker 不仅仅是将受害者的数据作为人质。为了表明他们是认真的,Circus Spider 会在网上泄露一份被盗数据的样本,声称如果受害者没有及时满足他们的要求,他们会将其余的数据发布到暗网上。Circus Spider 将一名受害者的敏感数据泄露到暗网上的一个受密码保护的文件夹中,并在线发布了密钥。, 键盘记录器,键盘记录功能对恶意软件作者特别有价值,因为它会记录任何击键。因此,如果输入密码或输入银行详细信息进行购买,则恶意软件将捕获此信息并将其传输给坏人,以便他们可以重复使用此信息。, 木马和老鼠,特洛伊木马的名字来源于历史上的特洛伊木马。原因是木马恶意软件通常会伪装成可能吸引用户的软件,例如游戏,在某些情况下甚至是防病毒软件!这增加了恶意软件安装在设备上的可能性,该软件通常看起来合法,但恶意软件将在后台运行。这通常会导致坏人远程访问受感染的设备,这些类型的木马被称为 RAT(远程访问木马)。这使攻击者可以远程访问它已经破坏的设备并泄露他们在文件系统上找到的任何数据。, 木马和老鼠例子 – Emotet, Zeus,在著名的欧洲刑警组织关闭其基础设施之后,Emotet恶意软件最近的活动激增,表明该恶意软件背后的组织并未完全消失。这种臭名昭著的 RAT 已经存在多年,并且一直是世界各地组织的普遍问题。多年来,该恶意软件已被开发出来,并经常用于提供额外的有效负载,例如Trickbot恶意软件。,尽管它经过多年的发展和发展,但 Zeus 银行木马将针对存储在已安装的 Web 浏览器中的数据,例如银行信息和存储的凭据。然后这些将被恶意软件窃取,以便可以通过暗网使用或出售。, Rootkit,我之前介绍的恶意软件类型都针对设备的操作系统。然而 Rootkit 的一个共同特点是它会针对操作系统的底层内核,这使得 Rootkits 特别聪明。通过针对内核,即操作系统和设备硬件之间的层,它可以高度规避并且很难被防病毒解决方案检测到,因为 AV 解决方案将在总体操作系统而不是底层内核上运行。, Rootkit 示例 – Necurs,Necurs rootkit 自 2012 年以来一直存在,并且是一种流行的力量,用于分发恶意软件的大规模电子邮件活动。, 机器人/僵尸网络,被称为机器人的受感染设备用于自动执行命令和任务。一旦感染了这种类型的恶意软件,该设备(现在称为机器人)将自动调用坏人的基础设施,即 C2。这是命令和控制的缩写,因为攻击者现在可以控制该设备并且能够发出将在该设备上执行的命令。,部署此类恶意软件的攻击者将寻求将其部署到数以千计的设备上,这些设备统称为僵尸网络。然后,这允许攻击者从每个设备生成流量,并使用他们积累的僵尸网络基础设施创建有针对性的DDoS 攻击。, 僵尸网络示例 – Mirai,Mirai 恶意软件是一个著名的僵尸网络,用于感染物联网设备(物联网)。当冰箱和咖啡机等家用物品在几乎没有身份验证的情况下获得 WiFi 功能时,这成为一个问题。安全性最初并不是这些产品的优先事项,这意味着任何人都可以验证并连接到这些设备。Mirai 背后的恶意软件作者利用了这一安全漏洞,这些设备感染了 Mirai 并用于 DDoS 攻击等恶意活动。,无文件恶意软件最常使用 PowerShell 对您的系统执行攻击而不会留下任何痕迹。这种类型的攻击也称为零足迹攻击,并且特别难以检测,因为它不依赖于将外部恶意(和可检测)二进制文件渗透到您的系统中。, 无文件恶意软件示例 – PowerSploit,基于 PowerShell 的攻击者工具很容易被攻击者使用和使用。PowerSploit 是 PowerShell 模块的集合,每个模块都包含一组独特的脚本,可用于攻击的多个阶段,以执行侦察、提升权限和横向移动。, 预防与缓解,要保护组织免受最新的恶意软件威胁,传统的 AV 解决方案已不足以保护组织。原因是这些类型的安全解决方案依赖于基于签名的恶意软件检测。这意味着反病毒供应商依赖于拥有他们已识别并可以检测到的恶意软件样本的最新数据库。如果新样本出现并且没有签名,则 AV...
僵尸网络(botnet)是指一组受到恶意软件感染并遭到恶意用户控制的计算机。术语“僵尸网络”由“机器人(bot)”和“网络(network)”两个词组合而成,每台受感染设备被称为“机器人”。僵尸网络可用于完成非法或恶意的任务,包括发送垃圾邮件、窃取数据、投放勒索软件、欺诈性点击广告或发动分布式拒绝服务(DDoS)攻击。,虽然某些恶意软件(如勒索软件)会对设备所有者产生直接影响,但 DDoS 僵尸网络恶意软件的可见性可能各不相同;一些恶意软件用于完全控制设备,另一些恶意软件则以后台进程的形式偷偷运行,同时默默等待攻击者或“僵尸牧人”发出指令。,自我传播的僵尸网络通过各种不同的渠道招募额外的机器人。感染途径包括利用网站漏洞、木马恶意软件和破解弱身份验证以获得远程访问。一旦获得访问权限,所有这些感染方法都会导致在目标设备上安装恶意软件,从而允许僵尸网络的操作员进行远程控制。一旦设备被感染,它可能会尝试通过在周围网络中招募其他硬件设备来自我传播僵尸网络恶意软件。,虽然无法确定特定僵尸网络中机器人的确切数量,但根据估算,复杂僵尸网络的机器人总数从几千一直延伸到百万以上。,, 僵尸网络因为什么原因而诞生?,使用僵尸网络的原因多种多样,包括激进主义和国家赞助的破坏活动,许多攻击纯粹是为了牟利。在线招募僵尸网络服务所需的费用相对较低;特别是,对比可能造成的损失,价格优势尤为显着。另外,创建僵尸网络的门槛也足够低,因而成为某些软件开发人员的牟利手段,在监管和执法力度有限的地区应用尤其广泛。综合以上,提供招募出租的在线服务迅速风靡全球。, 如何控制僵尸网络?,僵尸网络的核心特征是能够接收僵尸牧人(bot herder)发出的更新指令。由于能够与网络中每个机器人进行通讯,攻击者可改变攻击手段、更改目标IP 地址、终止攻击或进行其他自定义行动。僵尸网络设计各不相同,但控制结构可分为两大类:, 客户端/服务器僵尸网络模型,客户端/服务器模型模拟传统远程工作站的工作流程,其中每台机器都连接到集中式服务器(或少数集中式服务器),以便访问信息。在这种模型中,每个机器人将连接到命令和控制中心(CnC)资源(例如 Web 域或 IRC 通道),以便接收指令。通过使用这些集中式存储库向僵尸网络传达新命令,攻击者只需修改每个僵尸网络从命令中心获取的原始资源,即可向受感染机器传达最新指令。控制僵尸网络的集中式服务器可以是攻击者自有及操控的设备,也可以是一台受感染的设备。,目前已发现大量流传甚广的集中式僵尸网络拓扑,包括:,星形网络拓扑,,多服务器网络拓扑,,分层网络拓扑,,在以上各类客户端/服务器模型中,每个机器人均连接命令中心资源(如 Web 域或 IRC 通道)以接收指令。鉴于使用这些集中式存储库向僵尸网络传达新命令,攻击者只需从一个命令中心修改各个僵尸网络占用的原始资源,即可向受感染机器传达最新指令。,同时,利用有限数量的集中来源即可向僵尸网络发送最新指令,这种简便性成为此类机器的又一漏洞;若要移除使用集中式服务器的僵尸网络,只需中断这台服务器便可。在这一漏洞的驱使下,僵尸网络恶意软件创建者不断发展,探索出一种不易受到单一或少量故障点干扰的新模型。, 点对点僵尸网络模型,为规避客户端/服务器模型漏洞,最近恶意用户一直使用分散式对等文件共享组件设计僵尸网络。在僵尸网络中嵌入控制结构,消除采用集中式服务器的僵尸网络的单点故障,缓解攻击的难度随之提高。P2P 机器人可以同时是客户端和命令中心,协同相邻节点传播数据。,点对点僵尸网络会维护受信任的计算机列表,僵尸网络可根据列表往来通信并更新其恶意软件。限制机器人连接的其他机器数量,使每个机器人仅对相邻设备公开,这使得跟踪和缓解难度相应增高。由于缺乏集中式命令服务器,点对点僵尸网络更容易受到僵尸网络创建者以外的其他用户的控制。为防止失控,分散式僵尸网络通常经过加密以限制访问。,,没有人会通过后院用来观察喂鸟器的无线 CCTV 摄像头操作网上银行业务,但这并不意味着此类设备无法发出必要的网络请求。IoT 设备的强大能力,加上安全防护薄弱或配置不当,为僵尸网络恶意软件招募新机器人加入攻击队伍创造了机会。IoT 设备持续增长,DDoS 攻击随之掀开新篇章,因为很多设备配置不当,很容易受到攻击。,如果 IoT 设备漏洞硬编码到了固件中,更新难度将进一步加大。为降低风险,应更新装有过期固件的 IoT 设备,因为自初始安装设备开始默认凭证通常保持不变。很多廉价硬件制造商并不会因提高设备安全性而获得奖励,因而僵尸网络恶意软件用于攻击 IoT 设备的漏洞始终存在,这项安全风险仍未消除。, 禁用僵尸网络的控制中心:,如果可以识别控制中心,禁用按照命令和控制模式设计的僵尸网络也会变得更加轻松。切断故障点的头节点可以使整个僵尸网络进入离线状态。因此,系统管理员和执法人员可集中精力关闭这些僵尸网络的控制中心。如果命令中心所在的国家/地区执法力度较弱或不愿做出干预,实施难度将进一步加大。, 避免个人设备感染:,对于个人计算机,若要重新获得对计算机的控制权,可以采用以下策略:运行防病毒软件、使用安全备份重新安装软件,或者在重新格式化系统后使用初始状态的计算机重新启动。对于 IoT 设备,则可采用以下策略:刷新固件、恢复出厂设置或以其他方式格式化设备。如果这些方案不可行,设备制造商或系统管理员有可能提供其他策略。, 创建安全密码:,对于许多易受攻击的设备,减少对僵尸网络漏洞的暴露可以像将管理凭据更改为默认用户名和密码以外的其他内容一样简单。创建一个安全密码会使暴力破解变得困难,创建一个非常安全的密码会使暴力破解几乎不可能。例如,感染Mirai恶意软件的设备将扫描 IP 地址以寻找响应设备。一旦设备响应 ping 请求,机器人将尝试使用预设的默认凭据列表登录找到的设备。如果更改了默认密码并实施了安全密码,机器人将放弃并继续寻找更易受攻击的设备。, 仅允许通过可信方式执行第三方代码:,如果采用手机的软件执行模式,则仅允许的应用可以运行,赋予更多控制来终止被认定为恶意的软件(包括僵尸网络)。只有管理软件(如内核)被利用才会导致设备被利用。这取决于首先具有安全内核,而大多数 IoT 设备并没有安全内核,此方法更适用于运行第三方软件的机器。, 定期擦除/还原系统:,在过了设定的时间后还原为已知良好状态,从而删除系统收集的各种垃圾,包括僵尸网络软件。如果用作预防措施,此策略可确保即使恶意软件静默运行也会遭到丢弃。, 实施良好的入口和出口过滤实践:,其他更高级的策略包括网络路由器和防火墙的过滤实践。安全网络设计的一个原则是分层:您对可公开访问的资源的限制最少,同时不断加强您认为敏感的事物的安全性。此外,任何跨越这些边界的东西都必须受到审查:网络流量、USB 驱动器等。质量过滤实践增加了 DDoS 恶意软件及其传播和通信方法在进入或离开网络之前被捕获的可能性。, ,僵尸网络(botnet)是指一组受到恶意软件感染并遭到恶意用户控制的计算机。术语“僵尸网络”由“机器人(bot)”和“网络(network)”两个词组合而成,每台受感染设备被称为“机器人”。僵尸网络可用于完成非法或恶意的任务,包括发送垃圾邮件、窃取数据、投放勒索软件、欺诈性点击广告或发动分布式拒绝服务(DDoS)攻击。, 僵尸网络因为什么原因而诞生?,
美国Linux服务器系统里有字符设备跟块设备,两者是有所区分的,而对于系统不太熟悉的美国Linux服务器用户对这两个概念自然就不太理解,所以下面小编就来介绍下美国Linux服务器系统的字符设备和块设备的原理,以及它们之间的区别。, 1:块设备, 美国Linux服务器系统中不需要按顺序访问固定大小数据片chunks,能够随机的设备被称作块设备,这些数据片就称作块。美国Linux服务器最常见的块设备是硬盘,除此以外还有软盘驱动器、CD-ROM驱动器和闪存等等许多其他块设备。注意它们都是以安装文件系统的方式使用的,这也是块设备的一般访问方式。, 2:字符设备, 另一种美国Linux服务器基本的设备类型是字符设备,字符设备需要按照字符流的方式被有序访问,像串口和键盘就都属于字符设备。如果一个硬件设备是以字符流的方式被访问的话,那就应该将它归于字符设备;反过来如果一个设备是随机无序访问的,那么它就属于块设备。, 3:块设备与字符设备的区别, 这两种类型的设备最根本区别在于否可以被随机访问,也就是说能否在访问设备时随意地从一个位置跳转到另一个位置。举个例子,键盘这种设备提供的就是一个数据流,当你敲入“mfy” 这个字符串时,键盘驱动程序会按照和输入完全相同的顺序返回这个由三个字符组成的数据流。如果让键盘驱动程序打乱顺序来读字符串,或读取其他字符,都是没有意义的。所以键盘就是一种典型的字符设备,它提供的就是美国Linux服务器用户从键盘输入的字符流。对键盘进行读操作会得到一个字符流,首先是“m”,然后是“f”,最后是“y”,最终是文件的结束。, 而当没敲键盘时字符流就是空的,而盘设备的情况就不大一样,硬盘设备的驱动可以要求读取磁盘上任意块的内容,然后又转去读取别的块的内容,而被读取的块在磁盘上位置不一定要连续,所以说美国Linux服务器硬盘可以被随机访问,而不是以流的方式被访问,显然就是一个块设备。, 美国Linux服务器内核管理块设备要比管理字符设备细致得多,需要考虑的问题和完成的工作相比字符设备来说也要复杂许多,这是因为字符设备仅仅需要控制一个位置,就是当前位置,而块设备访问的位置必须能够在介质的不同区间前后移动。所以事实上美国Linux服务器内核不必提供一个专门的子系统来管理字符设备,但是对块设备的管理却必须要有一个专门的提供服务的子系统。, 不仅仅是因为块设备的复杂性远远高于字符设备,更重要的原因是块设备对执行性能的要求很高,对硬盘每多一分利用都会对整个美国Linux服务器系统的性能带来提升,其效果要远远比键盘吞吐速度成倍的提高大得多。另外美国Linux服务器用户将会看到,块设备的复杂性会为这种优化留下很大的施展空间。, 简单来讲美国Linux服务器系统的块设备可以随机存取,而字符设备不能随机存取,块设备通过系统缓存进行读取,不是直接和物理磁盘读取;字符设备可以直接物理磁盘读取,不经过系统缓存,希望能帮助有需要的美国Linux服务器用户更好的了解相关知识。, 现在梦飞科技合作的美国VM机房的美国Linux服务器所有配置都免费赠送防御值 ,可以有效防护网站的安全,以下是部分配置介绍:, , 梦飞科技已与全球多个国家的顶级数据中心达成战略合作关系,为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、电商行业等企业客户等提供一站式安全解决方案。持续关注梦飞科技官网,获取更多IDC资讯!,, , 美国Linux服务器系统里有字符设备跟块设备,两者是有所区分的,而对于系统不太熟悉的美国Linux服务器用户对这两个概念自然就不太理解,所以下面小编就来介绍下美国Linux服务器系统的字符设备和块设备的原理,以及它们之间的区别。, 3:块设备与字符设备的区别,