读红蓝攻防:技术与策略13攻击方式上
https://img2024.cnblogs.com/blog/3076680/202505/3076680-20250528152219870-1405334204.png1. 危害系统
1.1. 当危害系统时,不同的黑客工具和技术被用来侵入目标系统
1.2. 从破坏关键系统到获取敏感文件的访问权限
1.3. 当前的趋势是利用系统中的漏洞
[*]1.3.1. 人们正在努力发现补丁未知的新漏洞,并利用它们来访问被认为是安全的系统
1.4. 传统上,黑客一直将注意力集中在计算机上,但现在人们发现手机正迅速成为首要目标
1.5. 有了侦察阶段的足够信息,黑客将更容易找到合适的攻击来危害系统
1.6. 漏洞主要是为了让黑客侵入其他安全系统
[*]1.6.1. 零日漏洞对许多目标特别有效
[*]1.6.1.1. 这些漏洞没有现成的补丁,因此目标系统很难得到保护
[*]1.6.1.2. 由于安全研究人员、黑客和国家机构努力发现系统中可利用的缺陷,目前已经发现了数量惊人的零日漏洞
1.7. 黑客可以使用的攻击技术的数量有所增加。非常规技术正在被观察到,例如使用加速度计记录的回声和读取校准数据来唯一识别设备,从而对通话进行间谍活动
1.8. 即使在网络攻击的背景下没有摩尔定律,但黑客技术每年都变得更加复杂
2. 勒索攻击
2.1. 以前,在大多数情况下,黑客通过出售从公司窃取的数据获得收入
2.2. 在过去几年中,使用另一种策略:直接向受害者勒索钱财
[*]2.2.1. 可能持有计算机文件以勒索赎金,或者威胁向公众发布受害者的页面信息
[*]2.2.2. 在这两种情况下,他们都要求受害者在某个最后期限到期前付款
2.3. 2017年5月发生的WannaCry勒索事件
2.4. Petya勒索软件
[*]2.4.1. 攻击了乌克兰的数万台计算机
[*]2.4.2. 俄罗斯也受到了影响,用于监控切尔诺贝利核电站的计算机遭到破坏,导致现场人员只能依靠观察等非计算机化的监控手段
2.5. 除了勒索软件,黑客还通过威胁攻击网站来勒索金钱
[*]2.5.1. Ashley Madison事件
2.6. 2021年,像Acer、Kaseya、Garmin等组织付费取回它们的数据
[*]2.6.1. 像EA Games这样的组织拒绝付费并丢失了780 GB的敏感游戏数据,黑客试图在暗网上出售这些数据
2.7. 虽然政府和教育是受高级持续威胁攻击最多的领域,但几乎每个行业都受到过攻击
2.8. 黑客进入系统的目的是复制尽可能多的数据,然后成功地获取大量的金钱
[*]2.8.1. 比试图将窃取的数据卖给第三方更简单
[*]2.8.2. 也能够谈判获得更多的钱,因为他们持有的数据对所有者来说比对第三方更有价值
2.9. 勒索软件等勒索攻击也变得很有效,因为几乎没有任何解密的变通办法
3. 数据篡改攻击
3.1. 黑客破坏系统的另一个明显趋势是篡改数据,而不是删除或公布数据,这是因为这种攻击损害了数据的完整性
3.2. 黑客给目标造成的最大痛苦莫过于让他们怀疑自己数据的完整性
[*]3.2.1. 数据篡改可能微不足道,有时仅仅改变一个值,但影响可能是深远的
[*]3.2.2. 数据篡改通常难以检测,黑客甚至可能篡改备份中的数据,以确保数据无法恢复
3.3. 数据篡改被认为是网络犯罪的下一个阶段,预计在不久的将来会有更多此类案件
3.4. 网络安全专家一直在针对医疗保健、金融和政府数据的篡改攻击向人们发出警告
3.5. 不仅会给用户带来痛苦,还会让黑客索要更多的钱来换取将数据恢复正确状态
3.6. 数据篡改攻击也可用于向大众提供错误信息
[*]3.6.1. 一种可以影响任何公司并损害其利益的攻击
[*]3.6.2. 尤其是竞争对手,有动机以任何可能的方式搞垮其他公司
3.7. 大多数组织依赖自动备份,但没有采取额外措施来确保存储的数据没有被篡改
[*]3.7.1. 小小的懒惰行为很容易被黑客利用
[*]3.7.2. 除非组织重视其数据的完整性,否则数据篡改攻击将会迅速增多
3.8. 对抗数据篡改攻击
[*]3.8.1. 完整性检查:组织可以通过执行一个称为完整性检查的过程来防止数据篡改产生的影响
[*]3.8.1.1. 大型组织可以通过完整性检查或散列方法来执行数据检查过程
[*]3.8.1.2. IT安全专家建议更多地使用数据备份作为确保数据完整性的主要方式,因为通过从安全备份数据中心恢复数据,总是可以复原主数据服务器中被篡改的数据
[*]3.8.1.3. 完整性检查在数据恢复阶段至关重要,因为完整性检查可以确保数据在存储或恢复期间可能出现的错误得以修复,从而确保数据的完整性
[*]3.8.2. 文件完整性监控:该系统通常缩写为FIM(File Integrity Monitoring),用于在出现数据操作事件时提醒安全团队
[*]3.8.2.1. 传统的数据处理系统不会向安全团队发出任何数据操作活动的警告
[*]3.8.2.2. FIM系统还通知安全团队被篡改的具体数据
[*]3.8.2.3. 不必花费大量资源检查系统中的所有数据是否有错误
[*]3.8.3. 端点可见性:需要安全团队在整个数据环境中寻找易受攻击的数据点
[*]3.8.3.1. 目标是在攻击者能够访问和篡改易受攻击的数据之前找到它们
[*]3.8.3.2. 安全团队在收到黑客成功进入网络的告警后,会跟踪攻击者的取证足迹,以确定攻击者在系统中的所有活动以及对数据的操作,从而确定受损的数据
[*]3.8.4. 记录活动:记录在数据服务器中进行的所有活动是帮助防止数据篡改的基本程序
[*]3.8.4.1. 不一定能防止攻击者操控数据,但有助于识别系统中的黑客行为和数据篡改活动
[*]3.8.4.2. 需要进一步完善内部监督程序,以帮助验证系统中的信息
[*]3.8.4.3. 为了确保日志记录过程对组织更加有效和有用,保持对这些日志的监控是至关重要的
[*]3.8.5. 使用数据加密:使用加密来保护数据被认为是数据完整性过程的一部分
[*]3.8.5.1. 加密过程旨在确保提高存储数据的机密性
[*]3.8.5.2. 意味着更多的公司需要采用这种方法来帮助保护自身免受危险的数据篡改的影响
[*]3.8.6. 输入验证:为了缓解众所周知的数据库漏洞(如SQL注入攻击,这仍然是十大最危险的攻击之一),网站管理员可以根据上下文配置用户数据的输入,以最大限度地降低风险
4. 物联网设备攻击
4.1. 物联网(Internet of Things,IoT)是一项快速发展的技术,因此黑客正在瞄准物联网设备—从智能家电到婴儿监视器
4.2. 在物联网领域,联网汽车、传感器、医疗设备、灯、房屋、电网和监控摄像头等设备的数量将会增加
4.3. 攻击的目的是控制由这些设备组成的大型网络来执行更大的攻击
[*]4.3.1. 闭路电视摄像头和物联网灯网络已经被用来对银行甚至学校发起分布式拒绝服务(Distributed Denial of Service,DDoS)攻击
[*]4.3.2. 黑客正在利用这些设备的巨大数量,不遗余力地产生大量的非法流量,这些流量能够让组织提供在线服务的服务器瘫痪
[*]4.3.3. 将淘汰由普通用户计算机组成的僵尸网络,因为物联网设备更容易访问,已经大量可用,并且没有得到足够的保护
4.4. 在急于利用这项新技术带来的利润时,许多物联网产品制造商并没有优先考虑其设备的安全性
[*]4.4.1. 大多数用户将物联网设备保留为默认的安全配置
[*]4.4.2. 随着世界通过物联网设备实现许多任务的自动化,网络攻击者将有许多棋子可玩,这意味着与物联网相关的攻击可能会迅速增加
4.5. 组织必须参与有助于提高其物联网设备安全性的活动,因为当今这些设备的使用越来越多,设备与互联网的连接越来越多,从而增加了攻击面
[*]4.5.1. 确保收集的所有数据的可靠性:物联网网络庞大,涉及各种数据的流通
[*]4.5.1.1. 组织应该确保在系统中流通的每一条数据都被考虑在内
[*]4.5.1.2. 这一要求适用于服务器收集的数据以及物联网应用程序保存和使用的所有凭据信息
[*]4.5.1.3. 映射流通中的每一条数据可确保系统知道系统内发生的数据更改,并能说明系统中生成和存储的数据
[*]4.5.2. 考虑安全性的配置:每当物联网设备在连接到网络之前进行配置时,都应该考虑所有安全方面
[*]4.5.2.1. 包括使用强密码、使用强用户名、不容易破解的密码组合、使用多因素身份验证和使用加密程序
[*]4.5.2.2. 安全细节必须在设备连接到物联网网络之前应用
[*]4.5.3. 每个设备的物理安全性:每个设备都应受到物理保护
[*]4.5.3.1. 不应该让攻击者轻易访问这些物联网设备,以确保没有物理篡改
[*]4.5.3.2. 可以放在只有授权人员才能使用的锁定区域,或者放在受限制的位置
[*]4.5.4. 假设任何时候都会受到危害:每当组织建立一个安全策略时,它应该总是假设系统或网络可能会受到危害
[*]4.5.4.1. 安全系统的构建应该非常谨慎,以指导策略的制定
[*]4.5.4.2. 完美的系统是不存在的,系统总是会被破坏,这意味着安全协议应该始终到位,以确保能随时处理安全事件的后果
[*]4.5.4.3. 可以确保在制定策略时考虑到所有可能的情况,从而大大降低安全事件(如果发生的话)的影响
5. 后门
5.1. 2016年,领先的网络设备制造商之一Juniper Networks发现,其一些防火墙的固件包含黑客安装的后门
[*]5.1.1. 后门使黑客能够解密通过防火墙的流量
[*]5.1.2. Juniper Networks表示,只有拥有足够资源来处理进出许多网络的流量的政府机构才能实施这样的黑客攻击
[*]5.1.2.1. 美国国家安全局(NSA)
5.2. 黑客一直通过向合法软件中插入代码来创建后门,这意味着后门将更难被发现
5.3. 通过危害供应链中向消费者提供网络相关产品的一家公司来实现的
[*]5.3.1. 后门是在制造商的厂房被植入的,因此从他们那里购买防火墙的组织都被黑客渗透了
5.4. 防范后门
[*]5.4.1. 使用最佳安全实践快速行动:许多后门攻击将使用网络钓鱼手段,目标是员工,并鼓励站点管理员下载某些插件和软件,最终将恶意软件代码交付到系统中
[*]5.4.1.1. 只要对员工进行正确的培训,就有可能识别出此类网络钓鱼策略
[*]5.4.2. 常规网络扫描:确保定期扫描网络,将有助于你全面了解网络面临的潜在风险
[*]5.4.2.1. 建议你不要依赖系统所用应用程序和软件供应商生成的报告
[*]5.4.2.2. 依赖供应商自行报告的安全更新是有风险的,这会将你的组织置于后门攻击的风险中
[*]5.4.2.3. 可以使用自动化技术持续监控你的系统,从而在系统中发现影响某些供应商的漏洞时向你发出告警
[*]5.4.3. 准备好行动计划:仅仅监控系统中可能被黑客利用的风险和威胁是远远不够的
[*]5.4.3.1. 建立一些补救策略,帮助你以有效的方式修补系统,这将阻止潜在的系统攻击者
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]