这种类型的攻击会导致凭据被盗、数据被破坏，甚至失去对服务器的控制。它们也非常普遍，因为OWASP(开放网络应用安全项目)基金会将代码注入列为其十大应用安全风险。

防止代码注入有两种方法:避免易受攻击的代码和过滤输入。应用程序可以通过将数据与命令和查询分开来防范易受攻击的代码，例如通过对参数化查询使用安全的应用编程接口。企业还应该使用输入验证，并遵守最小特权原则，应用像SQL LIMIT函数这样的控制来减少成功攻击造成的损害。A网络应用防火墙实时更新威胁数据库是过滤应用程序输入以防止代码注入的唯一有效方法。

2.数据泄露
这数据泄露的成本是有据可查的。它们通常是由以下原因引起的泄露的凭据，但其他常见原因包括软件配置错误、硬件丢失或恶意软件(详见下文)。这违约等级指数表示2018年上半年有944起已知数据泄露事件，2017年有近2000起。

防止数据泄露需要一系列良好的实践。网站流量和交易应用SSL加密，应该为每组用户仔细设置权限，并且应该扫描服务器。员工应该接受如何避免被抓住的培训网络钓鱼攻击，以及如何练习良好的密码卫生。最小特权原则也值得注意。

如果你的生意发现潜在的数据泄露，您可能会面临通知客户或监管机构的法律或合规要求。应提前确定披露要求和策略，以便将最大数量的组织资源专门用于确保不再有数据被盗以及修复造成的损害。一旦攻击媒介被阻断，就应该进行全面的事件调查网络扫描确保所有漏洞都已被识别并关闭。

3.恶意软件感染
大多数企业在某种程度上意识到恶意软件带来的安全威胁，但许多人并不知道垃圾邮件仍然是恶意软件攻击的主要媒介。

因为恶意软件来源广泛，所以需要几种不同的工具来防止感染。A强大的电子邮件扫描和过滤系统就像恶意软件和漏洞扫描一样。像通常由恶意软件感染导致的违规一样，员工教育对于保护企业免受恶意软件的侵害至关重要。

任何被恶意软件感染的设备或系统都必须彻底清除，这意味着在复制之前识别代码的隐藏部分并删除所有被感染的文件。这用手工几乎是不可能的，所以需要一个有效的自动化工具。

4.分布式拒绝服务攻击
分布式拒绝服务攻击通常涉及黑客利用一组计算机向目标发送大量流量。

2017年有750万次DDoS攻击，因此尽管许多攻击目标是IT服务提供商，但它们仍然比许多人意识到的更普遍。对于企业来说，DDoS攻击最令人担忧的一个方面是，即使没有成为攻击目标，企业也可能因为使用相同的服务器、服务提供商甚至网络基础设施而受到影响。

如果您的企业陷入了DDoS攻击，请实施您的灾难恢复计划，并与员工和客户就中断进行沟通。诸如WAF之类的安全工具被用来关闭被饱和的端口或协议，在这个过程中，当攻击者调整他们的策略时，可能不得不重复这个过程。

5.恶意内部人员
这最后一个威胁想起来很不舒服，但是很常见，需要认真考虑，防止内部攻击造成的损害主要是限制恶意内部人员的访问量。这意味着设置逻辑访问控制策略来实现最小特权原则(但是您现在已经涵盖了这一点，对吗？)，并使用审计和事务日志监控网络。

如果检测到恶意内部攻击，应立即撤销内部人员的访问权限。完成后，应联系警方，以防止该人采取可能损害业务的进一步行动，如出售被盗数据。

概括起来
随着物联网僵尸网络、密码挖掘恶意软件和其他新兴威胁的发展，组织依靠自己的力量跟上越来越不现实。然而，做好准备对于维持业务运营和生产力仍然至关重要。通过选择全面、主动的安全和补救服务并且提前做好规划，您可以合理地确信您的企业将会应对可能面临的任何安全挑战。