如今每天都會針對企業發起網絡攻擊:根據調研機構CheckPoint Research公司發布的調查數據,在2021年第四季度,每周的網絡攻擊達到了歷史最高水平,每個企業遭到900多次攻擊,根據一份IT治理報告,僅在2022年6月就有3490萬條記錄被泄露。
RiskIQ公司的一項研究估計,網絡犯罪每分鐘給企業造成179萬美元的損失。這些成本既有有形的也有無形的,不僅包括資產、收入和生產力的直接損失,還包括商業信心、信任和聲譽的損失。
網絡犯罪建立在有效利用漏洞的基礎上,安全團隊總是處于劣勢,因為他們必須保護所有可能的入口點,而網絡攻擊者只需要找到并利用一個弱點或多個漏洞。這種不對稱性非常有利于網絡攻擊者,因此即使是大型企業也難以阻止網絡犯罪分子通過訪問其網絡獲利——這些網絡通常必須保持開放訪問和連接,同時試圖保護企業資源。
不僅大型企業面臨網絡攻擊的風險;網絡犯罪分子將使用任何連接互聯網的設備作為武器、目標或兩者兼而有之,而中小企業往往會部署不太復雜的網絡安全措施。
那么,哪些是最具破壞性的網絡攻擊,它們是如何運作的?以下是13種最具破壞性的網絡攻擊類型。
1.惡意軟件攻擊
惡意軟件是惡意或侵入性程序或文件的總稱,旨在以損害用戶利益來利用設備進行攻擊,并使網絡攻擊者受益。如今有各種類型的惡意軟件,它們都使用規避和混淆技術,不僅可以欺騙用戶,還可以規避安全控制,以便他們可以在未經許可的情況下秘密安裝在系統或設備上。以下是一些最常見的惡意軟件類型:
·勒索軟件。目前,最令人恐懼的惡意軟件形式是勒索軟件——這是一種旨在加密受害者文件,然后勒索贖金以接收解密密鑰的程序;與2020年相比,2021年與勒索軟件相關的攻擊事件增加了82%,其中一些歷史上規模最大的網絡攻擊襲擊了關鍵的基礎設施。
·rootkit。與其他惡意軟件不同,rootkit是一組用于在受害者設備上開放后門的軟件工具,允許網絡攻擊者安裝額外的惡意軟件,例如勒索軟件和鍵盤記錄程序,或獲得對網絡上其他設備的控制和遠程訪問。為避免檢測,rootkit通常會禁用安全軟件。一旦rootkit控制了設備,它就可以用來發送垃圾郵件、加入僵尸網絡或收集敏感數據并將其發送回網絡攻擊者。
·特洛伊木馬。特洛伊木馬是下載并安裝在計算機上的程序,看似無害,但實際上是惡意的。通常情況下,這一惡意軟件隱藏在看似無害的電子郵件附件中或免費下載。當用戶點擊電子郵件附件或下載免費程序時,隱藏的惡意軟件會被傳送到用戶的計算設備。一旦進入,惡意代碼就會執行攻擊者設計的任何任務。通常這是為了立即發起攻擊,但也可能為黑客在未來的網絡攻擊中提供后門。
·間諜軟件。一旦安裝,間諜軟件會監控受害者的互聯網活動,跟蹤登錄憑據并監視敏感信息——所有這些都是在用戶不知情的情況下進行的。網絡犯罪分子使用間諜軟件獲取信用卡號、銀行信息和密碼,并將其發送回網絡攻擊者。最近的受害者包括南亞和東南亞的Google Play用戶,間諜軟件也被許多國家的政府機構使用。Pegasus間諜軟件被用來監視活動家、政治家、外交官、博客作者、研究實驗室和盟友。
2.密碼攻擊
盡管存在許多已知的弱點,但密碼仍然是用于基于計算機的服務的最常見的身份驗證方法,因此獲取目標的密碼是繞過安全控制并獲得對關鍵數據和系統的訪問權限的簡單方法。網絡攻擊者使用多種方法獲取用戶密碼:
·暴力攻擊。網絡攻擊者可以嘗試眾所周知的密碼,例如password123,或基于從目標社交媒體帖子中收集的信息(例如寵物的名字),通過反復試驗來猜測用戶的登錄憑據的密碼,而其他人則部署自動密碼破解工具嘗試所有可能的字符組合。
·字典攻擊。與暴力攻擊類似,字典攻擊使用預先選擇的常用單詞和短語庫,具體取決于受害者所在的地區或國籍。
·社交工程。黑客很容易通過從社交媒體帖子中收集有關某人的信息來制作對某人來說看起來很真實的個性化電子郵件或消息。這些消息,特別是如果它們是從冒充受害者認識的人的虛假帳戶發送的,可以用于以虛假借口獲取登錄憑據。
·密碼嗅探器。這是一個安裝在網絡上的小程序,用于提取以明文形式通過網絡發送的用戶名和密碼。它不再是一種嚴重的威脅,因為大多數網絡流量現在都已加密。
·鍵盤記錄器。這會秘密監控并記錄用戶的每一次擊鍵,以捕獲通過鍵盤輸入的密碼、PIN碼和其他機密信息。這一信息通過互聯網發送回網絡攻擊者。
·竊取或購買密碼數據庫。黑客可以嘗試突破企業的網絡防御,竊取其用戶憑據數據庫,將數據出售給他人或自己使用。
非營利性組織身份定義安全聯盟2022年的一項調查發現,84%的受訪者經歷過與身份相關的違規行為。最近備受矚目的例子是針對SolarWinds和Colonial Pipeline公司的成功的基于身份的攻擊。Verizon公司的“2022年數據泄露調查報告”發現,61%的泄露涉及利用憑據。
3.勒索軟件
勒索軟件現在是最突出的惡意軟件類型。它通常在用戶訪問惡意網站或打開篡改的電子郵件附件時安裝。它利用設備上的漏洞對重要文件進行加密,例如Word文檔、Excel電子表格、PDF文件、數據庫和關鍵系統文件,使其無法使用。然后網絡攻擊者要求贖金以換取恢復鎖定文件所需的解密密鑰。勒索軟件攻擊可能針對關鍵任務服務器,或者在激活加密過程之前嘗試在連接到網絡的其他設備上安裝勒索軟件,這樣它們就會同時受到網絡攻擊。為了增加受害者支付的壓力,網絡攻擊者經常威脅如果不支付贖金,就會出售或泄露攻擊期間泄露的數據。
從個人和小型企業到主要組織和政府機構,每個人都可能成為目標。這些網絡攻擊會對受害者及其客戶產生嚴重的破壞性影響。2017年的WannaCry勒索軟件攻擊影響了150多個國家/地區的組織,僅對醫院造成的破壞就使英國國家衛生服務機構損失了約1.11億美元。最近,肉類零售商JBS Foods公司于2021年遭到網絡攻擊,導致美國各地的肉類供應短缺。為避免持續中斷,該公司支付了1100萬美元的贖金,而Colonial Pipeline公司在遭到勒索軟件攻擊之后關閉了美國主要的一條輸油管道,最后不得不支付了500萬美元的贖金。勒索軟件是一個非常嚴重的問題,以至于有一個名為Stop Ransomware的美國政府官方網站提供了幫助企業防止勒索軟件攻擊的資源,以及如何應對勒索軟件攻擊的清單。
4.DDoS
分布式拒絕服務(DDoS)是一種攻擊,其中多個受感染的計算機系統攻擊目標,例如服務器、網站或其他網絡資源,并導致目標資源的用戶拒絕服務。傳入目標系統的大量消息、連接請求或格式錯誤的數據包迫使目標系統減速,甚至崩潰和關閉,從而拒絕為合法用戶或系統提供服務。
2021年,DDoS攻擊的數量再次大幅上升,其中許多DDoS攻擊破壞了全球的關鍵基礎設施;勒索DDoS攻擊增加了29%。DDoS攻擊者還利用人工智能的力量來了解哪種攻擊技術最有效,并相應地引導他們的僵尸網絡——用于執行DDoS攻擊的從屬機器。令人擔憂的是,人工智能正被用來增強各種形式的網絡攻擊。
5.網絡釣魚
網絡釣魚攻擊是一種欺詐形式,其中網絡攻擊者偽裝成信譽良好的實體,例如銀行、稅務部門或電子郵件或其他形式的通信人員,以分發惡意鏈接或附件,以誘騙毫無戒心的受害者交出有價值的信息,例如密碼、信用卡詳細信息、知識產權等。發起網絡釣魚活動很容易,而且效果驚人。網絡釣魚攻擊也可以通過電話(語音網絡釣魚)和短信(短信網絡釣魚)進行。
魚叉式網絡釣魚攻擊針對特定的個人或企業,而捕鯨攻擊是一種魚叉式網絡釣魚攻擊,專門針對企業的高級管理人員。一種類型的捕鯨攻擊是商業電子郵件泄露(BEC),其中網絡攻擊者針對能夠授權金融交易的特定員工,以誘騙他們將資金轉移到攻擊者控制的賬戶中。美國聯邦調查局的互聯網犯罪投訴中心表示,商業電子郵件泄露(BEC)攻擊事件占2021年報告的事件的大部分,高達19954起,損失約24億美元。
6.SQL注入攻擊
任何由數據庫驅動的網站(大多數網站)都容易受到SQL注入攻擊。SQL查詢是對數據庫執行某種操作的請求,精心構建的惡意請求可以創建、修改或刪除數據庫中存儲的數據,以及讀取和提取知識產權、個人信息等數據。客戶、管理憑證或私人??業務詳細信息。SQL注入在常見弱點枚舉(CWE)Top25編制的2022年最危險的弱點列表中排名第三,并且仍然是常見的攻擊媒介。PrestaShop是一家被約30萬家在線零售商使用的電子商務軟件開發商,它最近警告用戶立即更新到其最新軟件版本,因為某些早期版本容易受到SQL注入攻擊,使網絡攻擊者能夠竊取客戶信用卡數據。
7.跨站腳本
這是另一種類型的注入攻擊,其中網絡攻擊者將數據(例如惡意腳本)注入到來自其他受信任網站的內容中。當允許不受信任的來源將其自己的代碼注入Web應用程序并且惡意代碼包含在傳遞到受害者瀏覽器的動態內容中時,可能會發生跨站點腳本(XSS)攻擊。這允許網絡攻擊者在另一個用戶的瀏覽器中執行以各種語言編寫的惡意腳本,例如JavaScript、Java、Ajax、Flash和HTML。
跨站腳本攻擊(XSS)使網絡攻擊者能夠竊取會話cookie,允許網絡攻擊者偽裝成用戶,它也可用于傳播惡意軟件、破壞網站、在社交網絡上造成嚴重破壞、網絡釣魚以獲取憑據以及與社交工程技術結合使用,實施更具破壞性的攻擊。跨站腳本攻擊(XSS)一直是黑客經常使用的攻擊向量,在2022年的CWETop25中排名第二。
8.中間人攻擊
中間人(MiTM)攻擊是網絡攻擊者秘密攔截并在自認為彼此直接通信的兩方之間中繼消息,但實際上,網絡攻擊者已將自己插入在線對話的中間。可以實時閱讀、復制或更改消息,然后將它們轉發給毫無戒心的接收者。成功的中間人(MiTM)攻擊可以讓黑客捕獲或操縱敏感的個人信息,例如登錄憑據、交易詳細信息和信用卡號。
9.URL解釋/URL中毒
URL是用于在互聯網上定位資源的唯一標識符,并告訴Web瀏覽器如何以及在何處檢索它。黑客很容易修改URL以嘗試訪問他們不應訪問的信息或資源。例如,如果黑客在awebsite.com上登錄他們的帳戶,并且可以在https://www.awebsite.com/acount?user=2748 上查看他們的帳戶設置,他們可以輕松地將這個URL更改為https://www.awebsite.com/acount?user=1733查看他們是否可以訪問用戶1733的帳戶設置。如果awebsite.com網絡服務器沒有檢查每個用戶是否有正確的權限來訪問所請求的資源,特別是如果它包括用戶提供的輸入,然后黑客能夠查看用戶1733以及其他用戶的帳戶設置。
這種類型的攻擊用于收集機密信息,例如用戶名、文件和數據庫數據,或訪問用于管理整個站點的管理頁面。如果網絡攻擊者確實設法通過URL操作訪問特權資源,則稱為不安全的直接對象引用。
10.DNS欺騙
長期以來,黑客一直利用DNS的不安全特性,用虛假條目覆蓋DNS服務器和解析器上存儲的IP地址,從而將受害者定向到黑客控制的網站,而不是合法網站。這些虛假網站的設計與用戶期望訪問的網站完全一樣,因此當被要求輸入他們認為是真實網站的登錄憑據時,他們不會產生懷疑。
11.僵尸網絡
僵尸網絡由一組聯網的計算機和設備組成,這些計算機和設備被網絡犯罪分子遠程感染和控制。易受攻擊的物聯網設備也被用于增加僵尸網絡的規模和力量。它們通常用于發送垃圾郵件、參與點擊欺詐活動以及為DDoS攻擊生成惡意流量。例如,Meris僵尸網絡每天對大約50個不同的網站和應用程序發起DDoS攻擊,發起了一些有記錄以來最大規模的HTTP攻擊。創建僵尸網絡的目的是感染盡可能多的連接設備,并利用這些設備的計算能力和資源來自動化和放大惡意活動。
12.水坑攻擊
在水坑攻擊中,網絡攻擊者將惡意代碼嵌入到合法但不安全的網站中,因此,當任何人訪問該網站時,代碼會自動執行并感染他們的設備,而無需訪問者進行任何交互。由于用戶很難識別這種類型的受感染網站,因此這是在設備上安裝惡意軟件的一種非常有效的方法。網絡攻擊者通過識別他們希望定位的用戶經常訪問的網站來巧妙地利用這種隨機攻擊,例如,特定組織的員工甚至整個行業,如國防、金融或醫療保健。這稱之為水坑攻擊。由于該網站受到受害者的信任,惡意軟件甚至可能隱藏在他們有意從該網站下載的文件中。該惡意軟件通常是一種遠程訪問木馬,使網絡攻擊者可以遠程訪問目標系統。
13.內部威脅
員工和承包商可以合法訪問企業的系統,其中一些人對其網絡安全防御有深入的了解。這可用于訪問受限資源、更改系統配置或安裝惡意軟件。人們普遍認為,惡意內部人員的攻擊數量超過了其他來源造成的攻擊,Verizon公司的“2022年數據泄露調查報告”中的研究表明,80%的泄露是由企業外部的攻擊造成的。然而,一些最大的數據泄露事件是由有權訪問特權賬戶的內部人員實施的。例如,擁有行政賬戶訪問權限的美國國家安全局承包商愛德華·斯諾登是美國歷史上最大的機密信息泄露事件之一。
如何防止常見類型的網絡攻擊
網絡連接的人員和設備越多,網絡的價值就越大,這使得網絡攻擊成本提高到黑客放棄的程度變得更加困難。根據梅特卡夫的定律,網絡的價值與其連接用戶的平方成正比。因此,安全團隊必須接受他們的網絡將不斷受到攻擊,但通過了解不同類型的網絡攻擊的工作原理,可以實施減輕控制和策略,以最大限度地減少他們可以造成的損害。以下是要記住的要點:
·當然,黑客首先需要在網絡中站穩腳跟,然后才能實現他們所擁有的任何目標,因此他們需要找到并利用受害者IT基礎設施中的一個或多個漏洞或弱點。
·漏洞或者是基于人為的,或者基于技術的,根據IBM公司最近的“網絡安全情報指數報告”,人為錯誤是95%的所有漏洞的主要原因。從下載受惡意軟件感染的附件到未能使用強密碼,錯誤可能是無意的操作,也可能是缺乏操作。這使得安全意識培訓成為打擊網絡攻擊的重中之重,并且隨著網絡攻擊技術的不斷發展,培訓也需要不斷更新,以確保用戶了解最新類型的攻擊。網絡攻擊模擬活動可以通過額外培訓評估員工的網絡意識水平,其中存在明顯缺陷。
·有安全意識的用戶可以降低大多數網絡攻擊的成功率,同時深度防御策略也很重要。這些應通過漏洞評估和滲透測試定期進行測試,以檢查操作系統及其運行的應用程序中可利用的安全漏洞。
·整個網絡的端到端加密阻止了許多網絡攻擊能夠成功提取有價值的數據,即使它們設法突破外圍防御。
·為了應對零日攻擊,網絡犯罪分子在修復可用之前發現并利用以前未知的漏洞,企業需要考慮在其威脅預防控制中添加內容解除和重建,因為它假定所有內容都是惡意的,所以它不會需要嘗試檢測不斷發展的惡意軟件功能。
·最后,安全團隊需要主動監控整個IT環境中的可疑或不適當活動的跡象,以盡早檢測網絡攻擊——網絡分段創建了一個更有彈性的網絡,能夠檢測、隔離和破壞攻擊。當然,如果檢測到網絡攻擊,應該有一個經過充分演練的響應計劃。
如果互聯世界要在無休止的網絡攻擊戰斗中幸存下來,安全戰略和預算需要建立適應和部署新安全控制的能力。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號