网络安全基础知识:你应该知道的一切

在数字化时代,随着设备互联程度越来越高,网络安全问题显得愈发重要。由于网络攻击频发,我们必须采取相关应对措施或事先进行防范。全新的解决方案可以帮助我们加强网络安全。但具体是哪些方案呢?我们又究竟面临怎样的网络威胁?

网络安全和网络攻击

30多年前,互联网诞生之初,首批互联网使用者几乎无人意识到网络安全问题,更未料到网络犯罪的出现。但这种情况在随后几年里发生了变化,网络安全、网络攻击等专有名词也随之诞生。

什么是网络安全?

网络安全涉及信息和通信技术安全的方方面面,涵盖了不同的措施、概念和准则。它们旨在保护接入互联网的计算机、服务器、移动设备和网络,使其免遭未经授权的访问、数据窃取、网络攻击和操纵。

什么是网络攻击?

网络攻击指的是黑客对普通用户计算机网络系统的恶意入侵,从而达到监视用户网络、使用户网络瘫痪,甚至操纵用户网络以获取个人利益的行为。网络黑客主要攻击的目标为普通个人用户、公司、政治机构、公共当局,甚至是整个国家的基础设施。

互联设备越多,遭受到的网络攻击也会越多

如今,社会公众越来越重视网络安全。德国联邦信息安全工作室(BSI)称,全球最大的汽车制造商大众汽车每天遭受的网络攻击高达6000多起。英飞凌等高科技公司也是许多黑客的攻击目标,而抵御网络攻击的工作则由英飞凌的业务连续性(BC)部门负责。

据BSI调查显示,每天针对德国政府网络的严重攻击约达20起。卡巴斯基实验室的专家每天在全球范围内可检测到的恶意文件则约有36万个。其中,电商和电子邮件供应商等存有大量客户数据的公司受到的影响尤为严重。黑客主要为窃取用户的个人资料而进行攻击,如帐户资料及密码。

虽然联网设备能为用户带来极大便利,比如在外出时,你可以用手机提前打开家里的暖气,到家时客厅就会很暖和。不过,这也为攻击者提供了趁虚而入的机会。根据Statista的数据,到2025年,全球将有约750亿台联网设备。

黑客类型和攻击目标有哪些?

网络犯罪包含不同层面:

  •  内部犯罪者与外部犯罪者
  • 个人犯罪与组织犯罪
  • 出于经济动机的犯罪者
  • 政府资助的攻击者
  • 潜藏攻击者与企图吸引公众注意力的攻击者

 

攻击目标

联网设备可以为用户提供更多样的功能,比如能够实现用户之间的远程连接。但这也使它们成为了黑客攻击的潜在目标:

  • 黑客窃取个人隐私、账户密码、银行账户信息,或进行盗刷。
  • 许多个人联网设备,如路由器、平板电脑、摄像头或个人电脑等,若没有得到妥善保护,就很有可能遭受黑客攻击。例如,黑客可进行拒绝服务(DoS)攻击,从而导致电信服务中断等。
  • 黑客窃取商业机密。据德国宪法保护联邦办公室估算,这给德国造成的损失将达到每年约500亿欧元。
  • 黑客攻击国家基础设施。这将导致电网瘫痪(如2015年乌克兰电网事件) ,甚至造成整个互联网崩溃(如2007年爱沙尼亚事件)。

网络威胁的演变

网络攻击的方法变得日益多样化,这对用户造成了极大的威胁。狡猾的攻击者不断想出新的网络攻击方式,比如,黑客通过勒索软件将用户的数据加密并锁定其电脑,并向用户索要赎金解密。即便网络攻击进行时,恶意软件也能够不断演变,变得更加专业、独立和智能。

勒索软件的定义

黑客通过勒索软件可以操纵用户的计算机使其无法正常运作,在这个过程中,用户的电脑、 服务器和数据仿佛被劫持了一般。只有受害者支付相应赎金,攻击者才会解锁用户的计算机和数据。

英飞凌网络安全市场专家 Detlef Houdeau博士表示:“钓鱼窃取数据是两年前非常普遍的问题。目前,安全专家和执法机构主要关注的是勒索软件。”

随着互联设备的增加,可能发生的网络攻击情形也随之越来越复杂。Houdeau举例说明:“医院CT(计算机断层扫描)扫描仪可以将获得的图像自动发送给患者的医生。CT扫描仪需要接入医院的信息技术(IT)系统,但扫描仪来自于医疗器械制造商,也就是说,它们是来自医院外部的,这就对医院的系统造成了潜在威胁。一旦扫描仪未受到保护,就有人可以入侵医院的IT系统。因此,仅仅保护医院的IT系统是不够的,接入此系统的设备也必须受到保护。”

量子计算机带来的新威胁

量子计算机带来的新威胁

技术的发展永不止步。如今,人工智能也发展得十分迅速。它可以帮助用户抵御黑客攻击,却也能加剧网络攻击;支持量子计算的高性能系统也是我们在数字化时代中要面临的新威胁。

加密数据是一种保护机密数据的方法,但现在使用的许多加密算法都可以被量子计算机破解。专家预计,第一台量子计算机将在10到15年后正式投入使用。被称为“后量子抗性”的新算法将在未来数年内作为一种可能的解决对策。

最常见的及最大的网络风险是什么?

黑客可以攻击用户网络防御的薄弱环节,包括家庭、企业和公共网络,甚至政府网络。这样带来的风险是非常多样的。

  • 用户本身可能是安全薄弱环节:其电脑可因多种原因感染恶意软件,如使用了携带病毒的U盘,使用过于简单的密码(如以生日做为密码),或未对敏感数据加密。
  • 宽带、路由器等网络设备也可能存在安全漏洞。 2016年秋季,德国一台路由器遭到攻击,导致100万德国人连续两天无法使用数字电视、电话和互联网。
  • 针对国家关键基础设施的网络攻击尤为危险。黑客可能入侵医院、机场、火车、管道、银行或电网网络,进而导致他人受伤或死亡,并对经济造成严重打击。而受害者却无法预测自己遭受网络攻击的时间、地点和方式。

史上重大网络攻击事件概述:

 
2007年

DoS攻击致使爱沙尼亚整个互联网瘫痪。

2010年

电脑蠕虫Stuxnet导致伊朗的铀浓缩厂停工。

2011年

日本索尼7700万用户资料被盗。

2012年

亚马逊子公司 Zappos约有2400万的客户账户资料被盗。

2013年

美国 Adobe 公司约3800万条客户资料的记录被盗。

2014年

美国雅虎10亿用户账户的数据遭黑客攻击。此次泄露的信息包括用户的电话号码、出生日期、加密密码和用于找回密码的未加密安全问题 。同年,eBay共有1.45亿用户的数据被盗。

2015年

德国国会大厦遭受网络攻击,后续需要更换计算机。

2016年

由于Mirai攻击德国电信的路由器,约100万户家庭持续24小时不能使用电视、互联网和电话。美国大选期间,社交僵尸程序曾向民主党发送虚假信息和新闻。

2017年

恶意软件WannaCry利用Windows系统的一个安全漏洞进行攻击。勒索软件NotPetya对数十万台电脑硬盘上的文件表进行了加密。

2018年

新加坡150万公民的健康资料被盗。

2019年

德国Ärzte- und Apothekerbank进行钓鱼式网络攻击,胁迫用户向其转账数百欧元。

 

 

借助新的安全理念加强网络安全

防火墙和防病毒扫描工具等常规方法已不足以抵御日益变化和复杂的攻击方式。为了确保互联网、联网汽车、智能家居、智能电网和工业互联网的安全,我们需要引入全新的安全理念,即基于“设计安全”的技术方案,它们在产品或系统开发时就被嵌入其中。现在,越来越多的物联网行业领域正在制定新的安全标准,并将其纳入新产品。

通过加密和身份验证实现网络安全

为了保护用户信息,确保只有经过授权的人员、计算机、机器或一般网络节点才能获取私密信息,我们需要两个步骤:安全的身份识别和实体机构的授权。车联网的出现就可能需要注意这些。未来,汽车将搭载更多电子设备,因此其易受攻击的外部接口将增加。

车上的软件需要定期更新,增强接口安全性。为此,我们必须确保用以更新软件的计算机以及汽车控制系统的网关能够相互认证身份,只允许这两台设备可以交换数据。此外,必须加密接口之间的通信,防止被窃听。同时,需要建立更加完善的保护机制,防止潜在风险。为避免用户需要专程外出更新软件,信息将越来越多地通过无线(OTA)方式发送,如同智能手机的软件更新。

当然,这些都需要与之相匹配的硬件,这也是为什么英飞凌通过能够进行身份验证和加密的芯片(链接到产品页面tbd)来装备控制单元。这种安全的身份识别流程在机器与机器之间的通信中至关重要。

互联互通:未来与过去

据市场分析人士预测,到2025年,约1亿辆汽车将接入互联网,汽车将变为“四轮电脑”。最重要的是,它们将接入基础设施(V2I)并彼此连接(V2V),而自动驾驶汽车将使用5G和ITS-G5等新标准。

生产机械、铁路信号系统、医疗产品、汽车和飞机等传统产品和系统正面临着真正的挑战。制造商已经停止维护这些产品,升级产品也将面临过高成本,耗费过多精力。常用的解决方法是使用安全网关和防火墙分离这些传统设备与其他系统。但是,黑客已经找到了攻破这些保护措施的方法,这种方案已经不再奏效,如乌克兰电网就曾遭到黑客攻击。

互联网安全清单

如要安全使用互联网,应始终遵照这些提示来进行操作:

  1. 及时更新软件。
  2. 使用防病毒扫描工具和防火墙。
  3. 使用强密码和安全可靠的密码管理器。使用至少10个字符作为密码,12个更佳,其中应包含数字、大小写字母和特殊字符,不同账号使用不同密码。最好的办法是,编一个无意义的密码:一种简便方法是取句子的首字母加上数字和特殊字符。“ I go to New York every May 31 and visit the Statue of Liberty!(我每年5月31日去纽约参观自由女神像!)”,密码就是IgtNYeM31&vtSoL!

    此外,对于重要的帐户,如银行账户可启用多重身份验证(MFA)。在登入这类帐户时,系统会向您发送额外的代码,以核实您是否希望登入。只是具备您密码的黑客无法获得这个额外的代码,所以他们会在这个环节就被拦截。在MFA方法中,身份验证app通常比发送到手机的短信验证码更安全,因为目前,黑客已找到了获取这类短信的方法。
  4. 以普通用户而非管理员的身份使用计算机工作,因为管理员拥有更大的系统访问权限。如果电脑感染了恶意软件,而你恰好是以管理员的身份登录,那么电脑所运行的任何恶意软件都有扩展权限,可能扩大损害。
  5. 不要点击电子邮件中的链接,打开附件时要当心,特别是在你不认识发件人的情况下更要注意。使用防病毒扫描工具检查所有的附件,确保安全无误后再打开。
  6. 定期将所有重要数据保存在另一个硬盘或云端上。(注意,即使这样,勒索软件仍可以对这些数据进行加密。若要阻止勒索软件,必须将数据刻录到DVD上或将其存储在硬盘上,并设置为只读。)
  7. 对敏感数据和电子邮件进行加密。
  8. 避免在网络泄露私人信息。
  9. 请勿接入不未受到保护的WLAN(无线局域网)。如果急需使用网络,请使用支持蜂窝数据连接的智能手机。
  10. 在上网、写电子邮件或使用电脑工作时要多加留意并保持警惕。此外,不要完全信任收到的信息,即便是由某个可信任方发出的,因为他们也有可能不小心传递错误信息或病毒。点击链接或下载文件时也应该非常小心,如果电子邮件看起来有可疑或提出特别要求,请致电发件人,确认邮件确实是他们发送的。
  11. 不同系统要尽量使用不同密码。
  12. 在购买新智能家居设备后,立即更改设备随附的标准密码。
  13. 请勿从不可信的网站下载任何app或计算机程序。

公共当局采取措施,加强网络安全

电力、医疗、金融和交通等部门是一个国家基础设施的关键组成部分。欧洲公民有权享受这些基础设施提供的基本服务。如果这些基础设施遭到攻击,将导致大规模停电和混乱,还会造成人身伤害。因此,政府当局已采取措施加强这些部门的网络安全:

  • 德国的《信息技术安全法》(IT Security Act)于2015年生效,规定德国约2500套设施的运营商有义务确保其IT系统的安全性。比如,他们必须符合更严格的安全规定,并在审计时提供证明。如果发现任何数据滥用的情况,运营商还有义务向客户发出警告。同时,他们还必须向当局报告事件。对应的欧盟法律称为NIS指令,同时适用于所有欧盟成员国。
  • 在美国,第21号总统政策指令确定了16个关键基础设施部门,指派了负责监督每个部门安全的机构。尽管有些部门是服从规定,但大多部门都是自发的。NIST网络安全框架得到广泛应用,以确保充分考虑风险并实施最佳方案。
  • 与此同时,政府当局还在支持个人用户抵御网络攻击,且在此过程中,政府当局会采纳新加入市场的在线服务提供商和硬件制造商。根据欧盟通过的《网络安全法》,有关部门将制定有关消费类设备认证的统一法规。欧盟这样做的目的是帮助提高企业对消费者(B2C)市场上消费类电子产品(CE)的安全级别。此外,企业对企业(B2B)市场上的产品、解决方案和服务也将更加体现经认证IT的安全性。公共部门(企业对政府,即B2G)的目标是最大限度提高和协调所有欧盟成员国不断完善的IT安全标准。
  • 在美国,消费者、非营利组织和小型企业通过全国网络安全月活动增强网络安全意识。此外,也会全年通过联邦贸易委员会及其他机构提供的资源来促进网络安全。
  • 欧盟委员会计划在2019年底建立一个新机构,欧盟网络安全事务中心(ECCC)。未来,此机构将汇集关于网络安全新威胁的专业知识及其应对措施。囊括600多个测验检验实验室的网络将覆盖整个欧盟。

 

僵尸程序是一种感染了恶意软件的程序,黑客可借此远程操控用户的计算机。它往往在联网的设备(如计算机)上运行。攻击者将僵尸程序组合在一起,创建庞大的“僵尸网络”,他们可以在设备用户不知情的情况下使用僵尸网络。僵尸网络通常用于DDoS攻击。

一旦诸如网站之类的服务遭受分布式拒绝服务(DDoS)攻击,它们会被大量请求所淹没,因此会遭到很大的限制。这类攻击通常是通过僵尸网络来进行的,攻击者会指示僵尸网络中的所有僵尸程序给用户发送大量请求。

对密码算法的强制攻击。为破解算法,会自动地、系统地尝试所有可能的组合。

滥用他人的个人资料。 也称之为身份滥用。

在这类攻击中,攻击者利用欺诈性电子邮件或其他消息来诱骗受害者泄露个人资料或密码。

网络钓鱼攻击针对的是单独的个人或小团队。因为这种攻击更具针对性,所以鱼叉式网络钓鱼消息专为收件人而创建,因此很难辨别是不是欺诈。

网络攻击者在电子邮件中声称自己是高级雇员或其他可信方,目的是骗取用户信任,诱使他人转账或执行其他交易。

勒索软件指的是会使计算机系统中毒,并且对系统进行拦截,通常会对有价值的数据进行加密的恶意软件。在用户的计算机加载了勒索软件后,攻击者向用户勒索钱财后才会为其解锁系统和解密数据。

这些文件隐藏在看似无害的程序中,因此进入计算机时它们往往不会被注意到。之后它们将直接对计算机造成损害,或通过从互联网下载其他恶意软件来损害用户的计算机。

在计算机之间不断传播的恶意软件,传播方式有很多种,比如以电子邮件附件的形式。

这类恶意软件会迅速自我复制,火速传播,比如会通过电子邮件程序中的地址簿来传播。

在用户发现并解决安全漏洞之前,对未被发现的安全漏洞予以利用的一种攻击。

在互联网上收集和发布个人资料。

具有恶意性质的计算机程序。

通过注入以SQL语言编写的代码来利用用户的安全漏洞进行网络攻击的技术。

一个网站将不可信的信息插入已被系统分类为可信网站的攻击技术。

未来的网络安全

然而, 电子电器行业推动网络安全的发展也有利于其自身利益。正如德国电气和电子制造商协会(ZVEI)所述:“如果个人数据和技术数据得不到保护,就不能发挥数字化的诸多优势。我们确信,网络安全对于保护消费者、确保产品质量和提高客户忠诚度而言,也会越来越重要。”

路由器制造商理应率先采取行动。毕竟,路由器不仅是每个家庭网络的核心设备,也是家庭网络和互联网之间的接口,因此它们经常会成为网络攻击者的目标。

 

更新于:2019 年10月