一个网络攻击 也称为网络安全攻击,是针对IT系统和/或攻击者或威胁行为者的任何形式的恶意活动,目的是未经授权访问其包含的系统和数据.
犯罪分子通常希望利用攻击来获取经济利益, 但在其他情况下,其目的是通过禁止访问IT系统来破坏运营. 威胁行为者可以是任何人,从试图获取被盗凭证并持有它们以勒索赎金的单个人到 国家资助的 特遣队想要破坏外国领土上的行动.
不管是什么动机, 大多数IT网络——以及维护它们的人——在其生命周期中都会经历某种类型的攻击,因此必须做好准备.
在深入研究特定类型的网络攻击之前, 让我们首先讨论为什么威胁参与者会对安全组织造成严重破坏背后的一些动机.
这一类别包括威胁行为者从恶意攻击中获利的努力, 并且可以细分为直接财务盗窃等行为, 使用偷来的信用卡信息, 暗网 通过数据泄露获取信息的市场, 甚至劫持计算资源,进行加密劫持等活动,以开采加密货币.
这类攻击包括试图通过攻击IT和操作技术(OT)基础设施来破坏组织的运营, 暂时关闭, 或者拿着它索要赎金.
这一类别包括由国家机构支持的网络攻击,这些机构是更广泛的情报和/或军事活动的一部分. 这可以包括监视外国政府以窃取机密数据以进一步获得战略或财务优势等行动.
根据网络安全 & 基建保安局(CISA),此类别包括:
通常在这些顶级类别之间存在相当大的重叠. 例如, 国家特工经常将新获得的文件或发现的漏洞交给网络犯罪分子用于恶意软件, ransomware, 以及其他网络攻击.
当一个罪犯试图入侵一个组织时, 除非绝对必要,否则他们不会尝试新鲜事物. 他们利用了众所周知非常有效的普通黑客技术, 比如恶意软件或网络钓鱼.
无论您是试图理解新闻中最新的数据泄露标题,还是分析您自己组织中的事件, 它有助于理解不同的网络攻击媒介.
恶意软件 指各种形式的有害软件,如病毒和勒索软件. 一旦它进入你的电脑, 它可以造成各种各样的破坏, 控制你的机器, 监视您的操作和击键, 无声地从你的电脑或网络发送各种机密数据到攻击者的基地.
攻击者将使用各种方法将恶意软件植入您的计算机, 但在某些阶段,它通常需要用户采取操作来安装恶意软件. 这可以包括单击链接下载文件, 或者打开一个看起来无害的电子邮件附件(比如文档或PDF), 但实际上包含一个隐藏的恶意软件安装程序.
Ransomware 是一种加密受感染IT系统数据的恶意软件. 它要求支付赎金,以换取能够解密受感染系统的代码. 赎金通常用比特币支付给一个匿名地址.
广告软件是一种恶意软件,它在终端用户设备上显示不想要的广告,以从广告商那里获得收入. 它通常会在诱骗人们点击链接后安装在用户设备上. 然后,广告软件显示广告并模拟用户点击,以欺骗广告商,使其认为合法用户正在与他们的广告互动. 然后他们为这些点击付钱给网络犯罪分子.
加密劫持是一种恶意软件,它利用受感染IT系统的资源来“挖掘”加密货币. 通过高负荷运行窃取被攻击系统的计算资源,为远程攻击者创造收入. 然后,他们将通过出售受感染系统上生成的加密货币来赚钱.
在一个 钓鱼攻击, 攻击者可能会向您发送一封看似来自您信任的人的电子邮件, 比如你的老板或与你做生意的公司. 这封邮件看起来是合法的,而且有一些紧迫性.g. 在您的账户上检测到欺诈活动). 在电子邮件中,可能有一个附件要打开或链接要点击.
打开恶意附件后,您将不知不觉地在计算机中安装恶意软件. 如果你点击链接, 它可能会将您发送到一个看起来合法的网站,要求您登录以访问重要文件-除非该网站实际上是用于捕获您凭据的陷阱.
鱼叉式网络钓鱼 是一种高度针对性的网络钓鱼变体,使用来自被认为是重要人物的假电子邮件或消息来欺骗同一组织或合作伙伴组织中的人员. 鱼叉式网络钓鱼企图利用发件人的额外真实性(尽管是冒名者的真实性)来诱骗人们提供他们不应该提供的信息.
A 结构化查询语言注入攻击 专门针对存储关键网站和服务数据的服务器. 它使用恶意代码让服务器泄露它通常不会泄露的信息. SQL是一种用于与数据库通信的编程语言, 并可用于存储私人客户信息,如信用卡号码, 用户名和密码(凭证), 或其他个人身份信息(PII)——这些都是攻击者诱人且有利可图的目标.
跨站点脚本(XSS)攻击 还包括向网站注入恶意代码, 但在这种情况下,网站本身并没有受到攻击. 而不是, 当用户访问受攻击的网站时,恶意代码才会在用户的浏览器中运行, 它在哪里直接针对访问者.
攻击者部署XSS攻击的最常见方法之一是将恶意代码注入可以自动运行的注释或脚本中.
僵尸网络是指被网络罪犯入侵和劫持的广泛存在的设备群. 威胁参与者使用它们来针对IT系统进行分布式DoS攻击或其他攻击类型.
拒绝服务(DoS)攻击 用超出网站承载能力的流量淹没网站, 因此,网站的服务器超载,使其几乎不可能向访问者提供内容. 出于非恶意原因拒绝服务是可能的. 例如, 如果一个巨大的新闻故事爆发了,一个新闻机构的网站因为人们想要了解更多关于这个故事的信息而超载.
A 中间人攻击(MITM 当网络犯罪分子拦截并改变IT系统之间的网络流量时,就会发生这种情况. MITM攻击同时模拟网络上的发送方和接收方. 它的目的是诱骗双方发送未加密的数据,攻击者可以拦截这些数据,并利用这些数据进行进一步的攻击或获取经济利益.
会话劫持发生在攻击者通过捕获唯一和私有会话ID劫持会话并冒充发出请求的计算机时, 允许他们以毫无戒心的用户身份登录,并访问web服务器上未经授权的信息. 如果在任何互联网会话中一切正常, Web服务器应该通过向您提供您试图访问的信息来响应您的各种请求.
当有人在多个网站上使用相同的凭据时,就会发生凭据重用. 它可以让用户的生活在当下变得更轻松,但可能会在以后困扰用户. 尽管安全最佳实践普遍建议所有应用程序和网站使用唯一密码, 许多人仍然重复使用他们的密码. 这是一个攻击者很容易利用的事实,从而将这些重用的密码变成 妥协的凭证.
并非所有的网络威胁都来自外部. 数据和其他敏感信息(如登录凭据)可能从组织内部泄露. 这可以通过恶意的员工活动发生,或者更频繁的是由于意外的操作. 此类错误的一个例子可能是将包含未加密附件的电子邮件发送给错误的收件人.
我们可以涵盖成千上万的战术和技巧,以防止大规模的网络攻击, 但让我们放大来看一些关键的例子:
教育员工为什么网络钓鱼是有害的,并授权他们检测和报告网络钓鱼企图. 这种类型的培训包括电子邮件 模拟网络钓鱼活动 对员工,监测结果,加强培训,改进模拟结果. 对员工进行持续的安全意识培训也至关重要, 所以他们知道如何发现最新版本的可疑邮件, 消息, 或网站.
服务器或设备上的所有静态数据以及通过网络传输的所有数据都应该加密. 如果攻击者能够访问或拦截数据, 强加密应该使其不可读.
利用 用户和实体行为分析 为网络上的正常活动创建基线. 然后, 监视管理员和服务帐户的使用情况, 哪些用户不恰当地共享凭据, 以及攻击者是否已经从最初的网络入侵扩展到四处移动和渗透其他系统.
为所有系统实现多因素身份验证(MFA)是一个关键的最佳实践. 如果登录信息暴露给网络罪犯,则需要在用户名和密码的同时提供额外的信息来保护系统. 额外的标记, 具体设备要求, 和生物识别技术都是MFA的例子,可以在登录IT系统时加以利用.
制定一个三点计划来 防止勒索软件攻击. 这包括最小化 攻击表面, 一旦检测到暴露,减轻潜在影响, 并进行汇报,以查明现有计划的差距. 从那里, 团队可以重建系统, 检疫端点, 更改凭证, 锁定受损账户.
终端用户经常成为网络罪犯的目标, 无论是在他们的设备上还是通过社会工程攻击. 所有终端用户设备都应该有 终端安全 部署的防护软件. 这应该与一个更宽的集成 安全信息和事件管理(SIEM) 允许在组织范围内监视和分析威胁的工具.
建立一个过滤策略,外部数据将通过该策略. 这将有助于在恶意脚本成为问题之前捕获它们. 这将导致创建更广泛的内容安全策略,该策略可以利用能够访问web应用程序的可信源列表.
创建一个中心枢纽,为所有安全组织功能提供有关最高优先级威胁的知识和数据. 组织严重依赖自动化来帮助扩展a 威胁情报计划 通过不断地将数据输入安全设备和过程, 不需要人为干预.
欺骗技术 在网络上实现“虚拟”应用程序、数据库和其他IT系统. 任何突破外部防火墙的网络攻击者都会被欺骗,以为他们可以访问内部系统. 实际上,虚拟系统的目的是 “粘蜜罐” 允许安全团队监视攻击者的活动并在不暴露生产系统的情况下收集数据.
现在很多商业活动都是在笔记本电脑、智能手机和平板电脑上进行的. 此外,许多人在工作中使用笔记本电脑. 所有这些设备的移动特性意味着它们丢失和/或被盗的风险很高. 所有移动设备(包括笔记本电脑)都应该在移动设备管理(MDM)解决方案中注册和管理. 如果设备丢失或被盗, 它可以快速擦除,使未经授权的用户无法访问任何数据.