員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

並不是說你的員工不好,他們可能只是不了解他們在工作時上網有多麼的危險。而這就是問題所在:他們的無知,很可能會變成你的頭號網路安全威脅。這裡是五個你可以參考來解決安全問題的建議:

1.    避免員工誤觸地雷網址

網頁過濾技術能夠限制會讓人分心的正常網站(像是Facebook),但也能夠阻止你接觸到令人討厭或惡意的網站,這在粗心的使用者點到他們不該去碰的連結時很有用。網頁過濾技術可以封鎖某些網站,可能是因為藏有病毒,也可能是會讓公司產生法律問題的網站。

2.    使用強密碼

一個無知的使用者無論在哪個網站都用一樣的密碼,而且這密碼可能是一個名字、一組數字排列像是「12345」,甚或就直接用「password」。所以需要建立使用強密碼的政策:要有8-15個字元,夾雜著數字和字母以避免被人簡單的猜中。記住,密碼最好不是使用單字,而是利用某些模式產生。而且密碼應該每隔幾個月就改變一次。
參考文章:
關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

 

3.    教導員工分辨假防毒軟體

假防毒軟體彈出視窗仍然困擾著許多中小企業使用者。如果一個人不是特別了解技術,而且也不夠細心的話,當看到螢幕上突然出現一個可怕的警告訊息,很容易就會上當了。請確保員工知道公司內部使用什麼防毒軟體,而且當它進行更新時是什麼樣子。正常情況下它會自動更新,不需要使用者來手動進行。你的員工應該知道,當出現任何要更新他們安全軟體的提示都有可能來自偽造的來源。

假防毒軟掃瞄作業結束之後,還會顯示遭到哪些病毒感染

 

假防毒軟掃瞄作業結束之後,還會顯示遭到哪些病毒感染

繼續閱讀

HTML5所帶來不好的一面 3-2

這篇文章是HTML5迷你系列的第二篇。你也可以看看第一篇:探討新的HTML5標準。從那些能夠加強網站互動的新功能開始。

而在今天的文章裡,趨勢科技將帶領讀者看看這些HTML5功能可能被攻擊者如何的濫用。這裡並不打算詳盡的列舉出來,但是你如果有興趣知道更多的資訊,我們會在本系列第三篇發表關於HTML5攻擊的深入報告。

下面並沒有照特別順序的,我們要介紹五種可能會利用HTML5功能的攻擊:

點擊劫持(Clickjacking)更加容易:點擊劫持本身不是種新的攻擊。它的目的是竊取受害者的滑鼠按鈕點擊,然後導到攻擊者所指定的其他頁面。攻擊者的目的是讓使用者在不知情下點擊了隱藏的連結。目前,對於點擊劫持最好的伺服器端防禦措施之一,是被稱為Framekilling的技術。本質上來說,受到影響的網站可以利用JavaScript來看看自己是否在一個iframe中被執行,如果是的話,就拒絕顯示。這種技術已經在用在Facebook、Gmail和其他一些網站中。但是HTML5在iframe增加了一個新的沙箱屬性,這會讓網站停止執行JavaScript。在大多數情況下,這其實是比較安全的設定,但它也有缺點,就是會抵消目前對點擊劫持最好的防禦。

  • 利用跨網域請求(Cross Origin Requests)或是WebSockets的端口掃描:有了HTML5,瀏覽器現在可以連到任何IP位址或網站(幾乎)的任何端口。雖然除非這目標的網站有特別的允許,不然並無法接收到連線的回應。但是研究人員已經表示,這類請求所花的時間可以用來判斷目標端口是打開還是關閉。這允許攻擊者可以直接利用瀏覽器對受害者的區域網路作端口掃描。

利用桌面通知做社交工程攻擊:我們在HTML5 好的一面的文章內有提到HTML 5的新功能 – 桌面通知。這些出現在瀏覽器之外的彈出視窗,其實是可以用HTML程式碼來客製化的。雖然這帶來了很不錯的互動可能性,但它也是社交工程攻擊,像是網路釣魚(Phishing)或是假防毒軟體等手法的寶庫。看看下面的圖片就可以想像攻擊者可以如何的利用這一個新功能了。

利用地理定位追蹤受害者:地理定位是HTML5新功能中最受注目的之一。因為安全和隱私考量,網站必須先得到使用者的允許才能夠獲得位置訊息。然而,就跟之前出現過的其他功能一樣,像是Vista的使用者帳戶控制,Android的應用程式權限,還有無效的HTTPS憑證等,這些需要使用者作決定的安全措施很少是有用的。而一旦有了授權後,網站不僅可以知道受害者的位置,而且還可以在使用者移動時也能即時的追踪他們。

  • 表格篡改:另一個新功能讓攻擊者可以在被注入JavaScript的網站(例如XSS攻擊)改變該網頁上的表格行為。舉例來說,攻擊者可以改變一個網路商店的正常行為,不是將內容送到購買或是登入頁面,而是將使用者的身分認證送到攻擊者的網站。

這裡只列了五項 HTML5可能導致的新攻擊,趨勢科技只是概略的描述。請繼續收看這迷你系列的最後一篇 –HTML5所帶來醜惡的一面 3-3

@原文出處:HTML5 – The Bad作者:Robert(資深威脅研究員)

@延伸閱讀:

 

◎ 歡迎加入趨勢科技社群網站