13種常見的網(wǎng)絡(luò)攻擊類型以及如何預(yù)防
如今的網(wǎng)絡(luò)犯罪分子并不是業(yè)余愛好者或“腳本小子”,而是得到民族國家資助的黑客和致力于竊取信息的網(wǎng)絡(luò)犯罪分子。網(wǎng)絡(luò)攻擊和破壞行為仍然普遍存在,同時間諜活動已經(jīng)取代黑客行為成為網(wǎng)絡(luò)攻擊背后的第二個主要驅(qū)動力,僅次于經(jīng)濟(jì)利益。無論出于何種動機,許多安全團(tuán)隊都在努力確保其IT系統(tǒng)的安全。
如今每天都會針對企業(yè)發(fā)起網(wǎng)絡(luò)攻擊:根據(jù)調(diào)研機構(gòu)CheckPoint Research公司發(fā)布的調(diào)查數(shù)據(jù),在2021年第四季度,每周的網(wǎng)絡(luò)攻擊達(dá)到了歷史最高水平,每個企業(yè)遭到900多次攻擊,根據(jù)一份IT治理報告,僅在2022年6月就有3490萬條記錄被泄露。
RiskIQ公司的一項研究估計,網(wǎng)絡(luò)犯罪每分鐘給企業(yè)造成179萬美元的損失。這些成本既有有形的也有無形的,不僅包括資產(chǎn)、收入和生產(chǎn)力的直接損失,還包括商業(yè)信心、信任和聲譽的損失。
網(wǎng)絡(luò)犯罪建立在有效利用漏洞的基礎(chǔ)上,安全團(tuán)隊總是處于劣勢,因為他們必須保護(hù)所有可能的入口點,而網(wǎng)絡(luò)攻擊者只需要找到并利用一個弱點或多個漏洞。這種不對稱性非常有利于網(wǎng)絡(luò)攻擊者,因此即使是大型企業(yè)也難以阻止網(wǎng)絡(luò)犯罪分子通過訪問其網(wǎng)絡(luò)獲利——這些網(wǎng)絡(luò)通常必須保持開放訪問和連接,同時試圖保護(hù)企業(yè)資源。
不僅大型企業(yè)面臨網(wǎng)絡(luò)攻擊的風(fēng)險;網(wǎng)絡(luò)犯罪分子將使用任何連接互聯(lián)網(wǎng)的設(shè)備作為武器、目標(biāo)或兩者兼而有之,而中小企業(yè)往往會部署不太復(fù)雜的網(wǎng)絡(luò)安全措施。
那么,哪些是最具破壞性的網(wǎng)絡(luò)攻擊,它們是如何運作的?以下是13種最具破壞性的網(wǎng)絡(luò)攻擊類型。
1.惡意軟件攻擊
惡意軟件是惡意或侵入性程序或文件的總稱,旨在以損害用戶利益來利用設(shè)備進(jìn)行攻擊,并使網(wǎng)絡(luò)攻擊者受益。如今有各種類型的惡意軟件,它們都使用規(guī)避和混淆技術(shù),不僅可以欺騙用戶,還可以規(guī)避安全控制,以便他們可以在未經(jīng)許可的情況下秘密安裝在系統(tǒng)或設(shè)備上。以下是一些最常見的惡意軟件類型:
·勒索軟件。目前,最令人恐懼的惡意軟件形式是勒索軟件——這是一種旨在加密受害者文件,然后勒索贖金以接收解密密鑰的程序;與2020年相比,2021年與勒索軟件相關(guān)的攻擊事件增加了82%,其中一些歷史上規(guī)模最大的網(wǎng)絡(luò)攻擊襲擊了關(guān)鍵的基礎(chǔ)設(shè)施。
·rootkit。與其他惡意軟件不同,rootkit是一組用于在受害者設(shè)備上開放后門的軟件工具,允許網(wǎng)絡(luò)攻擊者安裝額外的惡意軟件,例如勒索軟件和鍵盤記錄程序,或獲得對網(wǎng)絡(luò)上其他設(shè)備的控制和遠(yuǎn)程訪問。為避免檢測,rootkit通常會禁用安全軟件。一旦rootkit控制了設(shè)備,它就可以用來發(fā)送垃圾郵件、加入僵尸網(wǎng)絡(luò)或收集敏感數(shù)據(jù)并將其發(fā)送回網(wǎng)絡(luò)攻擊者。
·特洛伊木馬。特洛伊木馬是下載并安裝在計算機上的程序,看似無害,但實際上是惡意的。通常情況下,這一惡意軟件隱藏在看似無害的電子郵件附件中或免費下載。當(dāng)用戶點擊電子郵件附件或下載免費程序時,隱藏的惡意軟件會被傳送到用戶的計算設(shè)備。一旦進(jìn)入,惡意代碼就會執(zhí)行攻擊者設(shè)計的任何任務(wù)。通常這是為了立即發(fā)起攻擊,但也可能為黑客在未來的網(wǎng)絡(luò)攻擊中提供后門。
·間諜軟件。一旦安裝,間諜軟件會監(jiān)控受害者的互聯(lián)網(wǎng)活動,跟蹤登錄憑據(jù)并監(jiān)視敏感信息——所有這些都是在用戶不知情的情況下進(jìn)行的。網(wǎng)絡(luò)犯罪分子使用間諜軟件獲取信用卡號、銀行信息和密碼,并將其發(fā)送回網(wǎng)絡(luò)攻擊者。最近的受害者包括南亞和東南亞的Google Play用戶,間諜軟件也被許多國家的政府機構(gòu)使用。Pegasus間諜軟件被用來監(jiān)視活動家、政治家、外交官、博客作者、研究實驗室和盟友。
2.密碼攻擊
盡管存在許多已知的弱點,但密碼仍然是用于基于計算機的服務(wù)的最常見的身份驗證方法,因此獲取目標(biāo)的密碼是繞過安全控制并獲得對關(guān)鍵數(shù)據(jù)和系統(tǒng)的訪問權(quán)限的簡單方法。網(wǎng)絡(luò)攻擊者使用多種方法獲取用戶密碼:
- 暴力攻擊。網(wǎng)絡(luò)攻擊者可以嘗試眾所周知的密碼,例如password123,或基于從目標(biāo)社交媒體帖子中收集的信息(例如寵物的名字),通過反復(fù)試驗來猜測用戶的登錄憑據(jù)的密碼,而其他人則部署自動密碼破解工具嘗試所有可能的字符組合。
- 字典攻擊。與暴力攻擊類似,字典攻擊使用預(yù)先選擇的常用單詞和短語庫,具體取決于受害者所在的地區(qū)或國籍。
- 社交工程。黑客很容易通過從社交媒體帖子中收集有關(guān)某人的信息來制作對某人來說看起來很真實的個性化電子郵件或消息。這些消息,特別是如果它們是從冒充受害者認(rèn)識的人的虛假帳戶發(fā)送的,可以用于以虛假借口獲取登錄憑據(jù)。
- 密碼嗅探器。這是一個安裝在網(wǎng)絡(luò)上的小程序,用于提取以明文形式通過網(wǎng)絡(luò)發(fā)送的用戶名和密碼。它不再是一種嚴(yán)重的威脅,因為大多數(shù)網(wǎng)絡(luò)流量現(xiàn)在都已加密。
- 鍵盤記錄器。這會秘密監(jiān)控并記錄用戶的每一次擊鍵,以捕獲通過鍵盤輸入的密碼、PIN碼和其他機密信息。這一信息通過互聯(lián)網(wǎng)發(fā)送回網(wǎng)絡(luò)攻擊者。
- 竊取或購買密碼數(shù)據(jù)庫。黑客可以嘗試突破企業(yè)的網(wǎng)絡(luò)防御,竊取其用戶憑據(jù)數(shù)據(jù)庫,將數(shù)據(jù)出售給他人或自己使用。
非營利性組織身份定義安全聯(lián)盟2022年的一項調(diào)查發(fā)現(xiàn),84%的受訪者經(jīng)歷過與身份相關(guān)的違規(guī)行為。最近備受矚目的例子是針對SolarWinds和Colonial Pipeline公司的成功的基于身份的攻擊。Verizon公司的“2022年數(shù)據(jù)泄露調(diào)查報告”發(fā)現(xiàn),61%的泄露涉及利用憑據(jù)。
3.勒索軟件
勒索軟件現(xiàn)在是最突出的惡意軟件類型。它通常在用戶訪問惡意網(wǎng)站或打開篡改的電子郵件附件時安裝。它利用設(shè)備上的漏洞對重要文件進(jìn)行加密,例如Word文檔、Excel電子表格、PDF文件、數(shù)據(jù)庫和關(guān)鍵系統(tǒng)文件,使其無法使用。然后網(wǎng)絡(luò)攻擊者要求贖金以換取恢復(fù)鎖定文件所需的解密密鑰。勒索軟件攻擊可能針對關(guān)鍵任務(wù)服務(wù)器,或者在激活加密過程之前嘗試在連接到網(wǎng)絡(luò)的其他設(shè)備上安裝勒索軟件,這樣它們就會同時受到網(wǎng)絡(luò)攻擊。為了增加受害者支付的壓力,網(wǎng)絡(luò)攻擊者經(jīng)常威脅如果不支付贖金,就會出售或泄露攻擊期間泄露的數(shù)據(jù)。
從個人和小型企業(yè)到主要組織和政府機構(gòu),每個人都可能成為目標(biāo)。這些網(wǎng)絡(luò)攻擊會對受害者及其客戶產(chǎn)生嚴(yán)重的破壞性影響。2017年的WannaCry勒索軟件攻擊影響了150多個國家/地區(qū)的組織,僅對醫(yī)院造成的破壞就使英國國家衛(wèi)生服務(wù)機構(gòu)損失了約1.11億美元。最近,肉類零售商JBS Foods公司于2021年遭到網(wǎng)絡(luò)攻擊,導(dǎo)致美國各地的肉類供應(yīng)短缺。為避免持續(xù)中斷,該公司支付了1100萬美元的贖金,而Colonial Pipeline公司在遭到勒索軟件攻擊之后關(guān)閉了美國主要的一條輸油管道,最后不得不支付了500萬美元的贖金。勒索軟件是一個非常嚴(yán)重的問題,以至于有一個名為Stop Ransomware的美國政府官方網(wǎng)站提供了幫助企業(yè)防止勒索軟件攻擊的資源,以及如何應(yīng)對勒索軟件攻擊的清單。
4.DDoS
分布式拒絕服務(wù)(DDoS)是一種攻擊,其中多個受感染的計算機系統(tǒng)攻擊目標(biāo),例如服務(wù)器、網(wǎng)站或其他網(wǎng)絡(luò)資源,并導(dǎo)致目標(biāo)資源的用戶拒絕服務(wù)。傳入目標(biāo)系統(tǒng)的大量消息、連接請求或格式錯誤的數(shù)據(jù)包迫使目標(biāo)系統(tǒng)減速,甚至崩潰和關(guān)閉,從而拒絕為合法用戶或系統(tǒng)提供服務(wù)。
2021年,DDoS攻擊的數(shù)量再次大幅上升,其中許多DDoS攻擊破壞了全球的關(guān)鍵基礎(chǔ)設(shè)施;勒索DDoS攻擊增加了29%。DDoS攻擊者還利用人工智能的力量來了解哪種攻擊技術(shù)最有效,并相應(yīng)地引導(dǎo)他們的僵尸網(wǎng)絡(luò)——用于執(zhí)行DDoS攻擊的從屬機器。令人擔(dān)憂的是,人工智能正被用來增強各種形式的網(wǎng)絡(luò)攻擊。
5.網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚攻擊是一種欺詐形式,其中網(wǎng)絡(luò)攻擊者偽裝成信譽良好的實體,例如銀行、稅務(wù)部門或電子郵件或其他形式的通信人員,以分發(fā)惡意鏈接或附件,以誘騙毫無戒心的受害者交出有價值的信息,例如密碼、信用卡詳細(xì)信息、知識產(chǎn)權(quán)等。發(fā)起網(wǎng)絡(luò)釣魚活動很容易,而且效果驚人。網(wǎng)絡(luò)釣魚攻擊也可以通過電話(語音網(wǎng)絡(luò)釣魚)和短信(短信網(wǎng)絡(luò)釣魚)進(jìn)行。
魚叉式網(wǎng)絡(luò)釣魚攻擊針對特定的個人或企業(yè),而捕鯨攻擊是一種魚叉式網(wǎng)絡(luò)釣魚攻擊,專門針對企業(yè)的高級管理人員。一種類型的捕鯨攻擊是商業(yè)電子郵件泄露(BEC),其中網(wǎng)絡(luò)攻擊者針對能夠授權(quán)金融交易的特定員工,以誘騙他們將資金轉(zhuǎn)移到攻擊者控制的賬戶中。美國聯(lián)邦調(diào)查局的互聯(lián)網(wǎng)犯罪投訴中心表示,商業(yè)電子郵件泄露(BEC)攻擊事件占2021年報告的事件的大部分,高達(dá)19954起,損失約24億美元。
6.SQL注入攻擊
任何由數(shù)據(jù)庫驅(qū)動的網(wǎng)站(大多數(shù)網(wǎng)站)都容易受到SQL注入攻擊。SQL查詢是對數(shù)據(jù)庫執(zhí)行某種操作的請求,精心構(gòu)建的惡意請求可以創(chuàng)建、修改或刪除數(shù)據(jù)庫中存儲的數(shù)據(jù),以及讀取和提取知識產(chǎn)權(quán)、個人信息等數(shù)據(jù)。客戶、管理憑證或私人業(yè)務(wù)詳細(xì)信息。SQL注入在常見弱點枚舉(CWE)Top25編制的2022年最危險的弱點列表中排名第三,并且仍然是常見的攻擊媒介。PrestaShop是一家被約30萬家在線零售商使用的電子商務(wù)軟件開發(fā)商,它最近警告用戶立即更新到其最新軟件版本,因為某些早期版本容易受到SQL注入攻擊,使網(wǎng)絡(luò)攻擊者能夠竊取客戶信用卡數(shù)據(jù)。
7.跨站腳本
這是另一種類型的注入攻擊,其中網(wǎng)絡(luò)攻擊者將數(shù)據(jù)(例如惡意腳本)注入到來自其他受信任網(wǎng)站的內(nèi)容中。當(dāng)允許不受信任的來源將其自己的代碼注入Web應(yīng)用程序并且惡意代碼包含在傳遞到受害者瀏覽器的動態(tài)內(nèi)容中時,可能會發(fā)生跨站點腳本(XSS)攻擊。這允許網(wǎng)絡(luò)攻擊者在另一個用戶的瀏覽器中執(zhí)行以各種語言編寫的惡意腳本,例如JavaScript、Java、Ajax、Flash和HTML。
跨站腳本攻擊(XSS)使網(wǎng)絡(luò)攻擊者能夠竊取會話cookie,允許網(wǎng)絡(luò)攻擊者偽裝成用戶,它也可用于傳播惡意軟件、破壞網(wǎng)站、在社交網(wǎng)絡(luò)上造成嚴(yán)重破壞、網(wǎng)絡(luò)釣魚以獲取憑據(jù)以及與社交工程技術(shù)結(jié)合使用,實施更具破壞性的攻擊。跨站腳本攻擊(XSS)一直是黑客經(jīng)常使用的攻擊向量,在2022年的CWETop25中排名第二。
8.中間人攻擊
中間人(MiTM)攻擊是網(wǎng)絡(luò)攻擊者秘密攔截并在自認(rèn)為彼此直接通信的兩方之間中繼消息,但實際上,網(wǎng)絡(luò)攻擊者已將自己插入在線對話的中間。可以實時閱讀、復(fù)制或更改消息,然后將它們轉(zhuǎn)發(fā)給毫無戒心的接收者。成功的中間人(MiTM)攻擊可以讓黑客捕獲或操縱敏感的個人信息,例如登錄憑據(jù)、交易詳細(xì)信息和信用卡號。
9.URL解釋/URL中毒
URL是用于在互聯(lián)網(wǎng)上定位資源的唯一標(biāo)識符,并告訴Web瀏覽器如何以及在何處檢索它。黑客很容易修改URL以嘗試訪問他們不應(yīng)訪問的信息或資源。例如,如果黑客在awebsite.com上登錄他們的帳戶,并且可以在https://www.awebsite.com/acount?user=2748 上查看他們的帳戶設(shè)置,他們可以輕松地將這個URL更改為https://www.awebsite.com/acount?user=1733查看他們是否可以訪問用戶1733的帳戶設(shè)置。如果awebsite.com網(wǎng)絡(luò)服務(wù)器沒有檢查每個用戶是否有正確的權(quán)限來訪問所請求的資源,特別是如果它包括用戶提供的輸入,然后黑客能夠查看用戶1733以及其他用戶的帳戶設(shè)置。
這種類型的攻擊用于收集機密信息,例如用戶名、文件和數(shù)據(jù)庫數(shù)據(jù),或訪問用于管理整個站點的管理頁面。如果網(wǎng)絡(luò)攻擊者確實設(shè)法通過URL操作訪問特權(quán)資源,則稱為不安全的直接對象引用。
10.DNS欺騙
長期以來,黑客一直利用DNS的不安全特性,用虛假條目覆蓋DNS服務(wù)器和解析器上存儲的IP地址,從而將受害者定向到黑客控制的網(wǎng)站,而不是合法網(wǎng)站。這些虛假網(wǎng)站的設(shè)計與用戶期望訪問的網(wǎng)站完全一樣,因此當(dāng)被要求輸入他們認(rèn)為是真實網(wǎng)站的登錄憑據(jù)時,他們不會產(chǎn)生懷疑。
11.僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)由一組聯(lián)網(wǎng)的計算機和設(shè)備組成,這些計算機和設(shè)備被網(wǎng)絡(luò)犯罪分子遠(yuǎn)程感染和控制。易受攻擊的物聯(lián)網(wǎng)設(shè)備也被用于增加僵尸網(wǎng)絡(luò)的規(guī)模和力量。它們通常用于發(fā)送垃圾郵件、參與點擊欺詐活動以及為DDoS攻擊生成惡意流量。例如,Meris僵尸網(wǎng)絡(luò)每天對大約50個不同的網(wǎng)站和應(yīng)用程序發(fā)起DDoS攻擊,發(fā)起了一些有記錄以來最大規(guī)模的HTTP攻擊。創(chuàng)建僵尸網(wǎng)絡(luò)的目的是感染盡可能多的連接設(shè)備,并利用這些設(shè)備的計算能力和資源來自動化和放大惡意活動。
12.水坑攻擊
在水坑攻擊中,網(wǎng)絡(luò)攻擊者將惡意代碼嵌入到合法但不安全的網(wǎng)站中,因此,當(dāng)任何人訪問該網(wǎng)站時,代碼會自動執(zhí)行并感染他們的設(shè)備,而無需訪問者進(jìn)行任何交互。由于用戶很難識別這種類型的受感染網(wǎng)站,因此這是在設(shè)備上安裝惡意軟件的一種非常有效的方法。網(wǎng)絡(luò)攻擊者通過識別他們希望定位的用戶經(jīng)常訪問的網(wǎng)站來巧妙地利用這種隨機攻擊,例如,特定組織的員工甚至整個行業(yè),如國防、金融或醫(yī)療保健。這稱之為水坑攻擊。由于該網(wǎng)站受到受害者的信任,惡意軟件甚至可能隱藏在他們有意從該網(wǎng)站下載的文件中。該惡意軟件通常是一種遠(yuǎn)程訪問木馬,使網(wǎng)絡(luò)攻擊者可以遠(yuǎn)程訪問目標(biāo)系統(tǒng)。
13.內(nèi)部威脅
員工和承包商可以合法訪問企業(yè)的系統(tǒng),其中一些人對其網(wǎng)絡(luò)安全防御有深入的了解。這可用于訪問受限資源、更改系統(tǒng)配置或安裝惡意軟件。人們普遍認(rèn)為,惡意內(nèi)部人員的攻擊數(shù)量超過了其他來源造成的攻擊,Verizon公司的“2022年數(shù)據(jù)泄露調(diào)查報告”中的研究表明,80%的泄露是由企業(yè)外部的攻擊造成的。然而,一些最大的數(shù)據(jù)泄露事件是由有權(quán)訪問特權(quán)賬戶的內(nèi)部人員實施的。例如,擁有行政賬戶訪問權(quán)限的美國國家安全局承包商愛德華·斯諾登是美國歷史上最大的機密信息泄露事件之一。
如何防止常見類型的網(wǎng)絡(luò)攻擊
網(wǎng)絡(luò)連接的人員和設(shè)備越多,網(wǎng)絡(luò)的價值就越大,這使得網(wǎng)絡(luò)攻擊成本提高到黑客放棄的程度變得更加困難。根據(jù)梅特卡夫的定律,網(wǎng)絡(luò)的價值與其連接用戶的平方成正比。因此,安全團(tuán)隊必須接受他們的網(wǎng)絡(luò)將不斷受到攻擊,但通過了解不同類型的網(wǎng)絡(luò)攻擊的工作原理,可以實施減輕控制和策略,以最大限度地減少他們可以造成的損害。以下是要記住的要點:
- 當(dāng)然,黑客首先需要在網(wǎng)絡(luò)中站穩(wěn)腳跟,然后才能實現(xiàn)他們所擁有的任何目標(biāo),因此他們需要找到并利用受害者IT基礎(chǔ)設(shè)施中的一個或多個漏洞或弱點。
- 漏洞或者是基于人為的,或者基于技術(shù)的,根據(jù)IBM公司最近的“網(wǎng)絡(luò)安全情報指數(shù)報告”,人為錯誤是95%的所有漏洞的主要原因。從下載受惡意軟件感染的附件到未能使用強密碼,錯誤可能是無意的操作,也可能是缺乏操作。這使得安全意識培訓(xùn)成為打擊網(wǎng)絡(luò)攻擊的重中之重,并且隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展,培訓(xùn)也需要不斷更新,以確保用戶了解最新類型的攻擊。網(wǎng)絡(luò)攻擊模擬活動可以通過額外培訓(xùn)評估員工的網(wǎng)絡(luò)意識水平,其中存在明顯缺陷。
- 有安全意識的用戶可以降低大多數(shù)網(wǎng)絡(luò)攻擊的成功率,同時深度防御策略也很重要。這些應(yīng)通過漏洞評估和滲透測試定期進(jìn)行測試,以檢查操作系統(tǒng)及其運行的應(yīng)用程序中可利用的安全漏洞。
- 整個網(wǎng)絡(luò)的端到端加密阻止了許多網(wǎng)絡(luò)攻擊能夠成功提取有價值的數(shù)據(jù),即使它們設(shè)法突破外圍防御。
- 為了應(yīng)對零日攻擊,網(wǎng)絡(luò)犯罪分子在修復(fù)可用之前發(fā)現(xiàn)并利用以前未知的漏洞,企業(yè)需要考慮在其威脅預(yù)防控制中添加內(nèi)容解除和重建,因為它假定所有內(nèi)容都是惡意的,所以它不會需要嘗試檢測不斷發(fā)展的惡意軟件功能。
- 最后,安全團(tuán)隊需要主動監(jiān)控整個IT環(huán)境中的可疑或不適當(dāng)活動的跡象,以盡早檢測網(wǎng)絡(luò)攻擊——網(wǎng)絡(luò)分段創(chuàng)建了一個更有彈性的網(wǎng)絡(luò),能夠檢測、隔離和破壞攻擊。當(dāng)然,如果檢測到網(wǎng)絡(luò)攻擊,應(yīng)該有一個經(jīng)過充分演練的響應(yīng)計劃。
如果互聯(lián)世界要在無休止的網(wǎng)絡(luò)攻擊戰(zhàn)斗中幸存下來,安全戰(zhàn)略和預(yù)算需要建立適應(yīng)和部署新安全控制的能力。
