2022年某寿险公司采购第三方软件产品,在网络攻防演习的过程中发现前端管理页面的JS文件明文写有管理员账号以及密码,这意味着攻击者们可以利用这个账号绕过前端认证,直接登录系统,查询包含个人敏感信息在内的所有数据,并且随时有可能泄露。而这究竟是谁在JS文件直接写了管理员账号以及密码,这也成了不少人想要知道的事情。但毫无疑问的是,一旦攻击者想要攻击某寿险公司,通过密码就能轻松登录,更让人细思极恐的是,可能寿险公司之所以没有被攻击,就是因为这些数据早就已经被人窃取了。
虽然这只是个例,大部分的企业和公司的JS文件是不会写有管理员账号和密码的,所以攻击者们还是需要通过自己的手段进行破解。而这其中,暴力破解是最有性价比的攻击手段,在腾讯安全联合腾讯研究院共同发布的《2023上半年云安全态势报告》中明确表示,暴力破解在2023年上半年依然是最主流的攻击手段,攻击次数达到了59亿次,占了上半年的47.24%的攻击频率。而这意味着目前的企业云安全意识还不够到位,攻击者们只需要用最具性价比的攻击手段就可以达到自己想要的结果。
而关于剩下的攻击手段,大部分黑客会利用系统,应用程序以及网络设备上的安全缺陷突破安全防护,实现非法访问和操作。这一直都是黑客的攻击手段之一,以RCE,XSS以及SQL注入为首的漏洞武器直到现在还依然流行。而这也是目前各大企业难以预防的攻击手段。暴力破解可以通过强密码等方式抵御,但针对网络漏洞攻击就只能找专业的安全团队寻求帮助,不然随时有可能泄露企业的机密和数据。
除开这两个攻击手段之外,黑客还有很多其他的手段,例如KPIKey攻击,社工攻击,钓鱼攻击等方式。其手段之丰富让人防不胜防。在数字化转型时代,有很多企业将自己的关键数据上传云端,这也引起了大量的攻击者进行有目的性的攻击。而如何保护自己的数据,如何让企业健康发展,这些都是目前企业最头疼的事情。
腾讯安全作为专业的安全团队,基于目前的企业安全形势,推出“3+1”一体化解决方案。3是指云防火墙、wed应用防火墙、以及主机安全三道防线,1是指通过云安全中心的一站式联防联控做到万无一失,保护企业虚拟财产安全。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
责任编辑:kj005
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com