如今的网络犯罪分子并不是业余爱好者或“脚本小子”,而是得到民族国家资助的黑客和致力于窃取信息的网络犯罪分子。网络攻击和破坏行为仍然普遍存在,同时间谍活动已经取代黑客行为成为网络攻击背后的第二个主要驱动力,仅次于经济利益。无论出于何种动机,许多安全团队都在努力确保其it系统的安全。
如今每天都会针对企业发起网络攻击:根据调研机构checkpoint research公司发布的调查数据,在2021年第四季度,每周的网络攻击达到了历史最高水平,每个企业遭到900多次攻击,根据一份it治理报告,仅在2022年6月就有3490万条记录被泄露。
riskiq公司的一项研究估计,网络犯罪每分钟给企业造成179万美元的损失。这些成本既有有形的也有无形的,不仅包括资产、收入和生产力的直接损失,还包括商业信心、信任和声誉的损失。
网络犯罪建立在有效利用漏洞的基础上,安全团队总是处于劣势,因为他们必须保护所有可能的入口点,而网络攻击者只需要找到并利用一个弱点或多个漏洞。这种不对称性非常有利于网络攻击者,因此即使是大型企业也难以阻止网络犯罪分子通过访问其网络获利——这些网络通常必须保持开放访问和连接,同时试图保护企业资源。
不仅大型企业面临网络攻击的风险;网络犯罪分子将使用任何连接互联网的设备作为武器、目标或两者兼而有之,而中小企业往往会部署不太复杂的网络安全措施。
那么,哪些是最具破坏性的网络攻击,它们是如何运作的?以下是13种最具破坏性的网络攻击类型。
1.恶意软件攻击
恶意软件是恶意或侵入性程序或文件的总称,旨在以损害用户利益来利用设备进行攻击,并使网络攻击者受益。如今有各种类型的恶意软件,它们都使用规避和混淆技术,不仅可以欺骗用户,还可以规避安全控制,以便他们可以在未经许可的情况下秘密安装在系统或设备上。以下是一些最常见的恶意软件类型:
·勒索软件。目前,最令人恐惧的恶意软件形式是勒索软件——这是一种旨在加密受害者文件,然后勒索赎金以接收解密密钥的程序;与2020年相比,2021年与勒索软件相关的攻击事件增加了82%,其中一些历史上规模最大的网络攻击袭击了关键的基础设施。
·rootkit。与其他恶意软件不同,rootkit是一组用于在受害者设备上开放后门的软件工具,允许网络攻击者安装额外的恶意软件,例如勒索软件和键盘记录程序,或获得对网络上其他设备的控制和远程访问。为避免检测,rootkit通常会禁用安全软件。一旦rootkit控制了设备,它就可以用来发送垃圾邮件、加入僵尸网络或收集敏感数据并将其发送回网络攻击者。
·特洛伊木马。特洛伊木马是下载并安装在计算机上的程序,看似无害,但实际上是恶意的。通常情况下,这一恶意软件隐藏在看似无害的电子邮件附件中或免费下载。当用户点击电子邮件附件或下载免费程序时,隐藏的恶意软件会被传送到用户的计算设备。一旦进入,恶意代码就会执行攻击者设计的任何任务。通常这是为了立即发起攻击,但也可能为黑客在未来的网络攻击中提供后门。
·间谍软件。一旦安装,间谍软件会监控受害者的互联网活动,跟踪登录凭据并监视敏感信息——所有这些都是在用户不知情的情况下进行的。网络犯罪分子使用间谍软件获取信用卡号、银行信息和密码,并将其发送回网络攻击者。最近的受害者包括南亚和东南亚的google play用户,间谍软件也被许多国家的政府机构使用。pegasus间谍软件被用来监视活动家、政治家、外交官、博客作者、研究实验室和盟友。
2.密码攻击
尽管存在许多已知的弱点,但密码仍然是用于基于计算机的服务的最常见的身份验证方法,因此获取目标的密码是绕过安全控制并获得对关键数据和系统的访问权限的简单方法。网络攻击者使用多种方法获取用户密码:
·暴力攻击。网络攻击者可以尝试众所周知的密码,例如password123,或基于从目标社交媒体帖子中收集的信息(例如宠物的名字),通过反复试验来猜测用户的登录凭据的密码,而其他人则部署自动密码破解工具尝试所有可能的字符组合。
·字典攻击。与暴力攻击类似,字典攻击使用预先选择的常用单词和短语库,具体取决于受害者所在的地区或国籍。
·社交工程。黑客很容易通过从社交媒体帖子中收集有关某人的信息来制作对某人来说看起来很真实的个性化电子邮件或消息。这些消息,特别是如果它们是从冒充受害者认识的人的虚假帐户发送的,可以用于以虚假借口获取登录凭据。
·密码嗅探器。这是一个安装在网络上的小程序,用于提取以明文形式通过网络发送的用户名和密码。它不再是一种严重的威胁,因为大多数网络流量现在都已加密。
·键盘记录器。这会秘密监控并记录用户的每一次击键,以捕获通过键盘输入的密码、pin码和其他机密信息。这一信息通过互联网发送回网络攻击者。
·窃取或购买密码数据库。黑客可以尝试突破企业的网络防御,窃取其用户凭据数据库,将数据出售给他人或自己使用。
非营利性组织身份定义安全联盟2022年的一项调查发现,84%的受访者经历过与身份相关的违规行为。最近备受瞩目的例子是针对solarwinds和colonial pipeline公司的成功的基于身份的攻击。verizon公司的“2022年数据泄露调查报告”发现,61%的泄露涉及利用凭据。
3.勒索软件
勒索软件现在是最突出的恶意软件类型。它通常在用户访问恶意网站或打开篡改的电子邮件附件时安装。它利用设备上的漏洞对重要文件进行加密,例如word文档、excel电子表格、pdf文件、数据库和关键系统文件,使其无法使用。然后网络攻击者要求赎金以换取恢复锁定文件所需的解密密钥。勒索软件攻击可能针对关键任务服务器,或者在激活加密过程之前尝试在连接到网络的其他设备上安装勒索软件,这样它们就会同时受到网络攻击。为了增加受害者支付的压力,网络攻击者经常威胁如果不支付赎金,就会出售或泄露攻击期间泄露的数据。
从个人和小型企业到主要组织和政府机构,每个人都可能成为目标。这些网络攻击会对受害者及其客户产生严重的破坏性影响。2017年的wannacry勒索软件攻击影响了150多个国家/地区的组织,仅对医院造成的破坏就使英国国家卫生服务机构损失了约1.11亿美元。最近,肉类零售商jbs foods公司于2021年遭到网络攻击,导致美国各地的肉类供应短缺。为避免持续中断,该公司支付了1100万美元的赎金,而colonial pipeline公司在遭到勒索软件攻击之后关闭了美国主要的一条输油管道,最后不得不支付了500万美元的赎金。勒索软件是一个非常严重的问题,以至于有一个名为stop ransomware的美国政府官方网站提供了帮助企业防止勒索软件攻击的资源,以及如何应对勒索软件攻击的清单。
4.ddos
分布式拒绝服务(ddos)是一种攻击,其中多个受感染的计算机系统攻击目标,例如服务器、网站或其他网络资源,并导致目标资源的用户拒绝服务。传入目标系统的大量消息、连接请求或格式错误的数据包迫使目标系统减速,甚至崩溃和关闭,从而拒绝为合法用户或系统提供服务。
2021年,ddos攻击的数量再次大幅上升,其中许多ddos攻击破坏了全球的关键基础设施;勒索ddos攻击增加了29%。ddos攻击者还利用人工智能的力量来了解哪种攻击技术最有效,并相应地引导他们的僵尸网络——用于执行ddos攻击的从属机器。令人担忧的是,人工智能正被用来增强各种形式的网络攻击。
5.网络钓鱼
网络钓鱼攻击是一种欺诈形式,其中网络攻击者伪装成信誉良好的实体,例如银行、税务部门或电子邮件或其他形式的通信人员,以分发恶意链接或附件,以诱骗毫无戒心的受害者交出有价值的信息,例如密码、信用卡详细信息、知识产权等。发起网络钓鱼活动很容易,而且效果惊人。网络钓鱼攻击也可以通过电话(语音网络钓鱼)和短信(短信网络钓鱼)进行。
鱼叉式网络钓鱼攻击针对特定的个人或企业,而捕鲸攻击是一种鱼叉式网络钓鱼攻击,专门针对企业的高级管理人员。一种类型的捕鲸攻击是商业电子邮件泄露(bec),其中网络攻击者针对能够授权金融交易的特定员工,以诱骗他们将资金转移到攻击者控制的账户中。美国联邦调查局的互联网犯罪投诉中心表示,商业电子邮件泄露(bec)攻击事件占2021年报告的事件的大部分,高达19954起,损失约24亿美元。
6.sql注入攻击
任何由数据库驱动的网站(大多数网站)都容易受到sql注入攻击。sql查询是对数据库执行某种操作的请求,精心构建的恶意请求可以创建、修改或删除数据库中存储的数据,以及读取和提取知识产权、个人信息等数据。客户、管理凭证或私人业务详细信息。sql注入在常见弱点枚举(cwe)top25编制的2022年最危险的弱点列表中排名第三,并且仍然是常见的攻击媒介。prestashop是一家被约30万家在线零售商使用的电子商务软件开发商,它最近警告用户立即更新到其最新软件版本,因为某些早期版本容易受到sql注入攻击,使网络攻击者能够窃取客户信用卡数据。
7.跨站脚本
这是另一种类型的注入攻击,其中网络攻击者将数据(例如恶意脚本)注入到来自其他受信任网站的内容中。当允许不受信任的来源将其自己的代码注入web应用程序并且恶意代码包含在传递到受害者浏览器的动态内容中时,可能会发生跨站点脚本(xss)攻击。这允许网络攻击者在另一个用户的浏览器中执行以各种语言编写的恶意脚本,例如javascript、java、ajax、flash和html。
跨站脚本攻击(xss)使网络攻击者能够窃取会话cookie,允许网络攻击者伪装成用户,它也可用于传播恶意软件、破坏网站、在社交网络上造成严重破坏、网络钓鱼以获取凭据以及与社交工程技术结合使用,实施更具破坏性的攻击。跨站脚本攻击(xss)一直是黑客经常使用的攻击向量,在2022年的cwetop25中排名第二。
8.中间人攻击
中间人(mitm)攻击是网络攻击者秘密拦截并在自认为彼此直接通信的两方之间中继消息,但实际上,网络攻击者已将自己插入在线对话的中间。可以实时阅读、复制或更改消息,然后将它们转发给毫无戒心的接收者。成功的中间人(mitm)攻击可以让黑客捕获或操纵敏感的个人信息,例如登录凭据、交易详细信息和信用卡号。
9.url解释/url中毒
url是用于在互联网上定位资源的唯一标识符,并告诉web浏览器如何以及在何处检索它。黑客很容易修改url以尝试访问他们不应访问的信息或资源。例如,如果黑客在awebsite.com上登录他们的帐户,并且可以在https://www.awebsite.com/acount?user=2748 上查看他们的帐户设置,他们可以轻松地将这个url更改为https://www.awebsite.com/acount?user=1733查看他们是否可以访问用户1733的帐户设置。如果awebsite.com网络服务器没有检查每个用户是否有正确的权限来访问所请求的资源,特别是如果它包括用户提供的输入,然后黑客能够查看用户1733以及其他用户的帐户设置。
这种类型的攻击用于收集机密信息,例如用户名、文件和数据库数据,或访问用于管理整个站点的管理页面。如果网络攻击者确实设法通过url操作访问特权资源,则称为不安全的直接对象引用。
10.dns欺骗
长期以来,黑客一直利用dns的不安全特性,用虚假条目覆盖dns服务器和解析器上存储的ip地址,从而将受害者定向到黑客控制的网站,而不是合法网站。这些虚假网站的设计与用户期望访问的网站完全一样,因此当被要求输入他们认为是真实网站的登录凭据时,他们不会产生怀疑。
11.僵尸网络
僵尸网络由一组联网的计算机和设备组成,这些计算机和设备被网络犯罪分子远程感染和控制。易受攻击的物联网设备也被用于增加僵尸网络的规模和力量。它们通常用于发送垃圾邮件、参与点击欺诈活动以及为ddos攻击生成恶意流量。例如,meris僵尸网络每天对大约50个不同的网站和应用程序发起ddos攻击,发起了一些有记录以来最大规模的http攻击。创建僵尸网络的目的是感染尽可能多的连接设备,并利用这些设备的计算能力和资源来自动化和放大恶意活动。
12.水坑攻击
在水坑攻击中,网络攻击者将恶意代码嵌入到合法但不安全的网站中,因此,当任何人访问该网站时,代码会自动执行并感染他们的设备,而无需访问者进行任何交互。由于用户很难识别这种类型的受感染网站,因此这是在设备上安装恶意软件的一种非常有效的方法。网络攻击者通过识别他们希望定位的用户经常访问的网站来巧妙地利用这种随机攻击,例如,特定组织的员工甚至整个行业,如国防、金融或医疗保健。这称之为水坑攻击。由于该网站受到受害者的信任,恶意软件甚至可能隐藏在他们有意从该网站下载的文件中。该恶意软件通常是一种远程访问木马,使网络攻击者可以远程访问目标系统。
13.内部威胁
员工和承包商可以合法访问企业的系统,其中一些人对其网络安全防御有深入的了解。这可用于访问受限资源、更改系统配置或安装恶意软件。人们普遍认为,恶意内部人员的攻击数量超过了其他来源造成的攻击,verizon公司的“2022年数据泄露调查报告”中的研究表明,80%的泄露是由企业外部的攻击造成的。然而,一些最大的数据泄露事件是由有权访问特权账户的内部人员实施的。例如,拥有行政账户访问权限的美国国家安全局承包商爱德华·斯诺登是美国历史上最大的机密信息泄露事件之一。
如何防止常见类型的网络攻击
网络连接的人员和设备越多,网络的价值就越大,这使得网络攻击成本提高到黑客放弃的程度变得更加困难。根据梅特卡夫的定律,网络的价值与其连接用户的平方成正比。因此,安全团队必须接受他们的网络将不断受到攻击,但通过了解不同类型的网络攻击的工作原理,可以实施减轻控制和策略,以最大限度地减少他们可以造成的损害。以下是要记住的要点:
·当然,黑客首先需要在网络中站稳脚跟,然后才能实现他们所拥有的任何目标,因此他们需要找到并利用受害者it基础设施中的一个或多个漏洞或弱点。
·漏洞或者是基于人为的,或者基于技术的,根据ibm公司最近的“网络安全情报指数报告”,人为错误是95%的所有漏洞的主要原因。从下载受恶意软件感染的附件到未能使用强密码,错误可能是无意的操作,也可能是缺乏操作。这使得安全意识培训成为打击网络攻击的重中之重,并且随着网络攻击技术的不断发展,培训也需要不断更新,以确保用户了解最新类型的攻击。网络攻击模拟活动可以通过额外培训评估员工的网络意识水平,其中存在明显缺陷。
·有安全意识的用户可以降低大多数网络攻击的成功率,同时深度防御策略也很重要。这些应通过漏洞评估和渗透测试定期进行测试,以检查操作系统及其运行的应用程序中可利用的安全漏洞。
·整个网络的端到端加密阻止了许多网络攻击能够成功提取有价值的数据,即使它们设法突破外围防御。
·为了应对零日攻击,网络犯罪分子在修复可用之前发现并利用以前未知的漏洞,企业需要考虑在其威胁预防控制中添加内容解除和重建,因为它假定所有内容都是恶意的,所以它不会需要尝试检测不断发展的恶意软件功能。
·最后,安全团队需要主动监控整个it环境中的可疑或不适当活动的迹象,以尽早检测网络攻击——网络分段创建了一个更有弹性的网络,能够检测、隔离和破坏攻击。当然,如果检测到网络攻击,应该有一个经过充分演练的响应计划。
如果互联世界要在无休止的网络攻击战斗中幸存下来,安全战略和预算需要建立适应和部署新安全控制的能力。
关于企业网d1net(www.d1net.com):
国内主流的to b it门户,同时在运营国内最大的甲方cio专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营18个it行业公众号(微信搜索d1net即可关注)。
ag凯发旗舰厅的版权声明:本文为企业网d1net编译,转载需注明出处为:企业网d1net,如果不注明出处,企业网d1net将保留追究其法律责任的权利。