所有组织都很容易受到来自组织内外的网络威胁。这些威胁可能是故意所为，例如在网络犯罪分子的情况下，也可能是无心之失，例如员工或承包商不小心点击恶意链接或下载恶意软件。

IT 安全旨在解决广泛的安全风险，并考虑所有类型的威胁行为者及其不同的动机、策略和技能水平。

恶意软件是一种流氓软件，可使受感染的系统无法运行、破坏数据、窃取信息，甚至擦除对操作系统至关重要的文件。

众所周知的恶意软件类型包括：

• 勒索软件是一种锁定受害者的数据或设备并威胁将其保持锁定（或更糟）的恶意软件，除非受害者向攻击者支付赎金。根据 2023 年 IBM Security X-Force Threat Intelligence 指数，勒索软件攻击占 2022 年所有网络攻击的 17%。
   

• 特洛伊木马是一种恶意软件，它伪装成有用的程序或隐藏在合法软件中，诱使人们下载。远程访问特洛伊木马 (RAT) 会在受害者的设备上创建秘密后门，而植入式特洛伊木马一旦站稳脚跟，就会安装其他恶意软件。
  

• 间谍软件秘密收集敏感信息，如用户名、密码、信用卡号码和其他个人数据，并将此类信息传输给黑客。
   

• 蠕虫病毒是一种可在应用程序和设备之间自动传播的自我复制恶意软件。

社交操纵手段通常被称为“人为操控”，即通过操纵受害者的行为，迫使受害者暴露敏感信息、破坏组织安全或威胁组织财务状况。

网络钓鱼是最常见和最臭名昭著的社交操纵手段。网络钓鱼攻击使用欺诈性电子邮件、短信或电话，诱骗人们共享个人数据或访问凭证、下载恶意软件、向网络罪犯汇款或采取其他可能遭受网络犯罪攻击的行动。特殊类型的网络钓鱼包括

• 鱼叉式网络钓鱼 — 一种针对性很强的网络钓鱼攻击，旨在操纵特定个人，通常使用受害者公共社交媒体资料中的详细信息来使骗术更具说服力。
   

• 鲸钓 – 以公司高管或富裕人群为目标的鱼叉式网络钓鱼。
   

• 商业电子邮件泄露 (BEC) — 一种网络犯罪分子冒充高管、供应商或可信业务伙伴的骗局，旨在诱骗受害者进行汇款或泄露敏感数据。

尾随是另一种攻击方式，虽然技术含量不高，但对 IT 安全的威胁并不小：尾随是指跟踪（或“尾随”）有权进入数据中心的人（例如持有通行证的人），并在门关闭之前从他们身后潜入。

DoS 攻击通过大量欺诈性流量淹没网站、应用程序或系统，使其速度太慢而无法使用，甚至无法向合法用户提供服务。分布式拒绝服务 (DDoS) 攻击是使用僵尸网络，即由连接互联网、受恶意软件感染的设备组成的网络，使目标应用程序或系统瘫痪或崩溃。

零日攻击会利用计算机软件、硬件或固件中未知或尚未解决的安全漏洞。“零日”是指软件或设备供应商有零日或没有时间来修复漏洞，因为恶意行为者已经可以使用这个漏洞来访问易受攻击的系统。

内部威胁来自员工、合作伙伴和其他有权访问网络的用户。无论是无意的（如第三方供应商被诱骗启动恶意软件）还是恶意的（如心怀不满的员工一心想要报复），内部威胁都具有隐患。Verizon（ibm.com 外部链接）最近的一份报告显示，虽然外部威胁平均会破坏约 2 亿条记录，但涉及内部威胁参与者的威胁却暴露了多达 10 亿条记录。

在中间人 (MITM) 攻击中，网络罪犯通过网络连接进行窃听，并拦截和中继转发双方之间的消息以窃取数据。不安全的 Wi-Fi 网络是黑客发起 MITM 攻击的理想“狩猎场”。

随着网络安全威胁的严重性和复杂性不断升级，组织正在部署结合了一系列安全系统、程序和技术的 IT 安全策略。

在经验丰富的安全团队的监督下，这些 IT 安全实践和技术可帮助保护组织的整个 IT 基础架构，避免或减轻已知和未知网络威胁的影响。

由于许多网络攻击（如网络钓鱼攻击）利用了人的弱点，因此员工培训已成为抵御内部威胁的重要防线。

安全意识培训有助于员工发现安全威胁，保持安全的工作场所习惯。培训主题通常包括网络钓鱼意识、密码安全、定期更新软件的重要性以及隐私问题，例如如何保护客户数据和其他敏感信息。

除了用户名和密码外，多因素身份验证还需要一个或多个凭证。实施多因素身份验证，即使黑客能够窃取或获取合法用户的用户名和密码，也可以防止黑客访问网络上的应用程序或数据。单点登录使用户一次登入会话，在会话期间无需再次登录，即可安全访问多个相关的应用程序和服务，因此，多因素身份验证对于使用单点登录的组织至关重要。

事件响应（有时称为网络安全事件响应）是指组织用于检测和响应网络威胁、安全漏洞或网络攻击的流程和技术。事件响应的目标是防患于未然，以及最大程度减少任何网络攻击造成的成本和业务中断。

许多组织制定了正式的事件响应计划 (IRP)，规定了用于发现、遏制和解决不同类型的网络攻击的流程和安全软件（见下文）。根据《2003 年数据泄露成本报告》，在制定并定期测试正式 IRP 的组织中，数据泄露成本比平均水平（445 万美元）低 232,008 美元。

没有任何一种安全工具可以完全防止网络攻击。尽管如此，有几种工具可以发挥作用，降低网络风险、防止网络攻击以及在发生攻击时最大程度地减少损失。

帮助检测和转移网络攻击的常见安全软件包括：

• 电子邮件安全工具，包括基于 AI 的反网络钓鱼软件、垃圾邮件过滤器和安全电子邮件网关

• 防病毒软件可以帮助消除间谍软件或恶意软件攻击者可能采取的一些行为，防止其侵入目标网络进行研究、窃听对话或控制电子邮件帐户

• 系统和软件补丁可以弥补黑客经常利用的技术漏洞

• 安全 Web 网关和其他网络过滤工具可以阻止通常与网络钓鱼电子邮件相关联的恶意网站

• 威胁检测和响应解决方案使用分析、人工智能 (AI) 和自动化来帮助安全团队检测已知威胁和可疑活动，并采取措施消除威胁或最大限度地降低影响。这些技术包括安全协调、自动化和响应 (SOAR)、安全事故和事件管理 (SIEM)、端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR)。

进攻性安全 (OffSec) 是指一系列主动安全战略，使用的策略与恶意行为者在现实世界攻击中所用对抗策略相同，但目的是加强而不是危害网络安全。

进攻性安全行动通常由道德黑客和网络安全专家执行，他们利用自己的黑客技能来发现和修复 IT 系统漏洞。常见的进攻性安全方法包括

• 漏洞扫描 – 使用与网络罪犯相同的工具来检测和发现组织的 IT 基础架构和应用程序中可被利用的安全漏洞和薄弱环节。

• 渗透测试 – 发起模拟网络攻击，发现计算机系统、响应工作流程和用户安全意识的漏洞和薄弱环节。《支付卡行业数据安全标准》(PCI-DSS) 等数据隐私法规要求定期进行渗透测试。
   

• 红色测试 – 授权有道德的黑客对组织发起模拟的、以目标为导向的网络攻击。

进攻性安全强化了安全软件和其他防御性安全措施，可以发现其他安全措施可能忽略的未知网络攻击途径或载体，并为安全团队提供可以用来加强防御性安全措施的信息。