脆弱水印:通常用于数据完整性保护,当数据内容发生改变时,脆弱水印会发生相应的改变。哪怕是一个像素改变,都会破坏水印本身,从而达到验证保护的目的,鉴定数据是否完整。
鲁棒水印:通常用于数字化图像、视频、音频或电子文档的版权保护。将代表版权人身份的特定信息,如一段文字、标识、序列号等按某种方式嵌入在数字产品中,在发生版权纠纷时,通过相应的算法提取出数字水印,从而验证版权的归属。
脆弱水印主要用于保护图像的完整性,而鲁棒水印除了被用于多媒体数据的版权保护外,因其特性还可以用于电子文件的追踪溯源。通过特定的程序设计,在电子文件产生的同时,也将文件创建人、时间、地点等必要信息通过鲁棒水印的方式嵌入到电子文件中。鲁棒水印具备承受大量的、不同的物理和几何失真。不论是有意的,如恶意攻击、修改;或是无意的,如图像压缩、滤波、噪声污染和尺寸变化等等,鲁棒水印中的信息都会尽可能地保存下来。
数字水印是把一些标识信息(即数字水印)直接嵌入数字载体中如多媒体、文档、软件等,或是通过修改载体特定区域的结构来实现间接嵌入。这两种嵌入方式不影响原载体的使用价值,也不容易被探知和再次修改。数字水印可以被生产方识别和辨认,通过隐藏在载体中的信息,可以达到确认内容创建者、传送隐秘信息等目的,是追踪溯源、文件保护的有效办法。
传统方法是一次只允许一个程序使用内存控制器,但这会大大降低计算速度。新方法是将程序的内存请求“塑造”成预定义的模式,并混淆程序实际需要使用内存控制器的时间,从而扰乱攻击者的视线。在一个程序可以访问内存控制器之前,它必须通过一个“请求塑造器”(request shaper)来“塑造”内存请求。这种“请求塑造器”使用图形结构来处理请求并按照固定的时间表将它们发送到内存控制器。这种类型的图称为有向无环图(DAG),而这种创新安全方案称为 DAGguise。使用这种严格的时间表,有时DAGguise会将程序的请求延迟到下一次允许访问内存,或者有时如果程序不需要访问内存,它会提交一个假请求调度间隔。总之,通过这种非常结构化的模式,用户可以向攻击者隐藏实际行为。DAGguise会将程序的内存访问请求表现为一个图,其中每个请求都存储在一个“节点”中,连接节点的“边”是请求之间的时间依赖关系,节点之间的边——每个请求之间的时间是固定的。
如果有许多程序试图一次使用内存,DAGguise可以适应并相应地调整固定时间表,从而更有效地使用共享内存硬件,同时仍然保持安全性。研究表明,解决方案就是将受害者对内存控制器的访问请求转移到动态随机存取存储器(Dynamic Random Access Memory,简称DRAM),然后‘塑造’请求。这样一来,无论攻击者通过何种方式,都很难窃取到隐私数据。
(1)电子邮件安全培训:如果企业员工点击恶意攻击者发送的链接就有可能破坏企业网络,解决方案是向员工播放电子邮件安全培训视频,然后每隔一段时间通过向团队发送虚假电子邮件进行模拟。
(2)数据划分:通过与IT团队合作,确保只有需要数据的人员才能访问数据,可以极大地提高企业的数据安全性。
(3)物联网管理:注意哪些员工能够连接到办公网络。智能手表和其他来源可疑的设备可能包含恶意软件或后门,使不法分子更容易访问企业网络,或者它们可能有实现同样功能的软件漏洞。
(4)U盘管理:将未知的U盘连接到业务工作站可能会对业务数据和网络造成巨大破坏。
(5)双因素身份验证:在商业环境中实现双因素身份验证的方法有很多,从要求生物特征数据访问企业云,到推出随身携带的物理密钥以访问企业数据。无论企业决定采用何种方法,启用双因素身份验证都可以让企业的网络更加安全。双重身份验证也可以解决弱密码问题,这是一个很大的问题。
如今有很多方法可以对网络攻击进行分类,通常的方法是根据其目标对其进行分类。随着近年来网络攻击变得更加肆无忌惮,企业采用一些预防措施阻止数据泄露比以往任何时候都更加重要。数据安全的重要性怎么强调都不为过。企业根据其经营的业务类型,网络攻击不仅仅意味着消费者数据被泄露,也会显著地降低企业的运营能力。
数据验证:数据验证的工作原理是,移动网络运营商在用户使用移动数据时分配给其电话号码的IP地址之间的相互作用。验证的工作原理是,确认与试图执行验证的最终用户的身份相关联的电话号码与最终用户移动数据会话相关联的号码相同。该服务非常快(不到两秒)并且非常安全,因为不可能通过“中间人攻击”或社交工程进行拦截,因为它不依赖于用户在某些时候必须记住的任何信息。
Flash呼叫验证:在最终用户设备上发起和终止语音通话。主叫方号码是从与服务相关联的专用号码池中随机选择的。智能手机会自动接听电话,并使用主叫方号码作为身份验证,而不是通常通过短信发送的一次性密码进行验证。
与数据验证类似,Flash呼叫比短信更快、通常更安全且更便宜,因为移动网络运营商只是将连接确认为未应答呼叫。研究机构估计,采用Flash呼叫可以节省高达25%的身份验证成本,并且可以将交付速度提高70%。
在按需经济中,很多用户希望能够与他们的服务提供商互动(无论是流媒体服务、在线零售商还是其他等),并且只需点击键盘和鼠标就可以轻松完成。而新冠疫情带来的远程工作加速了这种需求。Flash呼叫验证和数据验证身份验证技术的最重要的一点:它们都在后台发生,无需用户干预。因此,它们不仅安全且便宜得多,而且是无缝的。
(1)公司优先考虑供应链弹性和可信赖的采购:
越来越多的攻击者将目标对准对较小的供应商,使供应链或第三方的违规行为几乎不可避免。越来越多的报道显示,关于第三方违规的事件困扰着企业。
(2)隐私立法将在全球范围内加速
根据预测报告,由于数据驻留仍然是安全最重要的组成部分之一,预计现代隐私法规将覆盖全球75%人口的个人信息。“ GDPR、LGPD(巴西的通用数据保护法)和CCPA(加州消费者隐私法)等法律覆盖的范围表明,合规官将管理不同司法管辖区的多项数据保护立法,客户则希望了解会被收集什么样的数据以及这些数据如何被使用。
(3)聘请常驻合规官将被提上议程
随着各组织不断面临新的法规,组织将需要常驻合规官来帮忙应对复杂且不断变化的指令。他们可以成为组织内部和跨组织的值得信赖的声音和领导者,他们能够为从CEO到收发室的每个人,将新的且不断变化的全球法规的复杂性转化为真正的商业价值。”
全球经济都在寻求摆脱疫情导致的混乱局面,新常态下充满了不确定性。如今很多企业都在大力宣传加速数字化转型,但对于企业中的安全领导者来说,快速部署新技术这件事也存在着不利的一面。远程办公、虚拟会议、混合云网络和SaaS的采用带来了复杂的 IT 基础设施,这些基础设施也带来了新的威胁路径,以及系统架构设计和数据处理。
攻击:
(1)通过鱼叉钓鱼、水坑、供应链攻击等方式,初始攻击某台暴露在公网的主机。(2)横向渗透到某台做为中转的机器上,下发感染文件(包括文档文件、可执行文件等)、收集信息等恶意插件模块。(3)在中转机器上监视可移动磁盘并感染可移动磁盘上的文件。(4)可移动磁盘进入隔离网络。(5)可移动磁盘再次插入中转机器上时,中转机器上的其他的恶意插件,对可移动磁盘特定扇区存储的机密信息进行收集,再回传到攻击者控制的服务器中。
防御:
(1)通过官方渠道或者正规的软件分发渠道下载相关软件,隔离网络安装使用的软件及文档须确保其来源可靠。(2)严禁连接公用网络。(3)可能连接隔离网络的系统,切勿轻易打开不明来源的邮件附件。(4)需要在隔离网络环境使用的移动存储设备,需要特别注意安全检查, 避免恶意程序通过插入移动介质传播。(5)漏洞扫描及修复系统必须十分可靠,及时安装系统补丁和重要软件的补丁。(6)杀毒软件要及时升级,防御病毒木马攻击。
互联网受制于体系、架构以及各种复杂环境因素的影响,存在太多的不安全因素,为此可以营造一个封闭的专用或私有“内网”,逻辑方式的虚拟专网VPN、实体方式的物理隔离内网。内网—特别是物理隔离的内网其安全体系与外网安全体系相比,可以做得更加全面和细致,它可以采用各种技术手段和行政管理措施来进行强监管、强认证、强加密。
攻击面是指所有通过互联网访问处理或存储数据的硬件、软件、SaaS 和云资产,也可以将其视为可被网络犯罪分子利用来操纵网络或系统以提取数据的攻击向总和。攻击面包括,已知资产:库存和管理的资产;未知资产:影子IT或孤立的IT基础设施,这些基础设施超出了安全团队的权限范围;流氓资产:由威胁行为者启动的恶意基础设施;供应商:第三方和第四方供应商同样会引入重大的第三方风险和第四方风险。
ASM 是一种挖掘互联网数据集和证书数据库,或模拟攻击者侦察手段的技术。这两种方式都旨在对排查过程中发现的组织资产进行全面分析,排查面向互联网的资产,然后对其进行分析以找出漏洞和安全隐患。高级ASM包括针对每个暴露的安全隐患提供可行解决建议,或对个人提出警告。ASM 亦包括就开放源情报(OSINT)进行报告,这些情报包括公开在社交媒体,甚至视频、网络研讨会、公开演讲和会议等材料上的个人信息,可能会被用于社会工程攻击或网络钓鱼活动。
云设施的广泛采用、组织网络的迅速发展,以及工作方式转向远程,直接导致了组织攻击面大幅扩展,连接架构中盲点增多。攻击面扩展,加之监控分散,带来了人们不愿见到的结果。发现攻击是问题所在。要迎头赶上而对所有过去和现有资产进行编目,这一任务常被认为徒劳无益,十分复杂且耗费资源。这也就是攻击面管理(ASM)等新兴技术的用武之地。