如今的網絡犯罪分子并非業余愛好者或腳本小子，而是受國家支持的對手和職業罪犯，他們的目標是竊取信息并牟取暴利。破壞和破壞行為依然盛行，間諜活動已取代黑客行動主義，成為繼經濟利益之后網絡攻擊的第二大驅動力。面對這些不同的動機以及攻擊者日益精明的手段，許多安全團隊正努力維護其IT系統的安全。

每天都有各種各樣的網絡 攻擊針對組織機構。根據威脅情報提供商 Check Point Research的數據，2023年全球平均每個組織機構每周遭受 1,158次攻擊。咨詢服務和軟件提供商IT Governance報告稱，全年公開披露的攻擊共計泄露了82億條記錄。

研究和出版公司Cybersecurity Ventures預測，全球網絡犯罪造成的損失將在2023年達到8萬億美元，并在2024年增至9.5萬億美元。根據IBM每年發布的報告，截至2023年3月的12個月內，全球553家組織的數據泄露平均成本創下445萬美元的新高。網絡攻擊造成的損失既有有形的，也有無形的，不僅包括資產、收入和生產力的直接損失，還包括聲譽損害，這可能導致客戶信任和業務合作伙伴信心的喪失。

網絡犯罪的核心在于有效利用漏洞，而安全團隊總是處于劣勢，因為他們必須防御所有可能的入口點，而攻擊者只需找到并利用一個弱點或漏洞即可。這種不對稱性對攻擊者非常有利。結果就是，即使是大型企業也難以阻止網絡犯罪分子利用其網絡訪問權牟利，因為企業通常必須保持開放的訪問和連接，而安全專業人員則努力保護企業資源。

然而，面臨網絡攻擊風險的不僅僅是大型組織。網絡犯罪分子會將任何聯網設備用作武器、目標，或兩者兼而有之，而中小企業往往部署的網絡安全措施不夠完善，這也使其面臨潛在的安全事件風險。

安全經理及其團隊也需要做好準備，應對可能面臨的各種攻擊。為了幫助大家，以下列出了16種最具破壞性的網絡攻擊類型及其運作方式。

1.惡意軟件攻擊

惡意軟件（Malware ）是惡意軟件的縮寫，是一個涵蓋性術語，指旨在利用設備損害用戶利益、使攻擊者受益的惡意或侵入性程序或文件。惡意軟件有多種形式，它們都使用規避和混淆技術，不僅可以欺騙用戶，還可以繞過安全控制，從而可以在未經許可的情況下秘密安裝到系統或設備上。

目前，最令人擔憂的形式是勒索軟件，攻擊者利用該程序加密受害者的文件，然后索要贖金以獲取解密密鑰。由于勒索軟件的嚴重性，下文將在其專屬章節中進行更詳細的介紹。以下是一些其他常見的惡意軟件類型：

• Rootkit。與其他惡意軟件不同，Rootkit 是一組用于在受害者設備上打開后門的軟件工具。這使得攻擊者能夠安裝其他惡意軟件，例如勒索軟件和鍵盤記錄器，或遠程訪問和控制網絡上的其他設備。為了避免被發現，Rootkit 通常會禁用安全軟件。一旦 Rootkit 控制了設備，它就可以用來發送垃圾郵件、加入僵尸網絡或收集敏感數據并將其發回給攻擊者。
• 特洛伊木馬。特洛伊木馬是一種下載并安裝在計算機上的程序，看似無害，但實際上卻是惡意的。通常，這種惡意軟件隱藏在看似無害的電子郵件附件或免費下載中。當用戶點擊附件或下載程序時，惡意軟件就會被傳輸到他們的計算設備中。一旦進入設備，惡意代碼就會執行攻擊者設計的任何任務。這通常是為了立即發起攻擊，但它也可能為黑客創建后門，以便日后進行攻擊。
• 間諜軟件。間諜軟件一旦安裝，就會監控受害者的互聯網活動、追蹤登錄憑證并竊取敏感信息——所有這些都是在未經用戶同意或知情的情況下進行的。例如，網絡犯罪分子會使用間諜軟件獲取信用卡和銀行賬號以及密碼。許多國家的政府機構也使用間諜軟件（其中最突出的是名為Pegasus的程序）來監視活動人士、政客、外交官、博主、研究實驗室和盟友。

圖片

2.勒索軟件攻擊

勒索軟件通常在用戶訪問惡意網站或打開被篡改的電子郵件附件時安裝。傳統上，它利用受感染設備上的漏洞來加密重要文件，例如Word文檔、Excel電子表格、PDF、數據庫和系統文件，使其無法使用。然后，攻擊者索要贖金，以換取恢復鎖定文件所需的解密密鑰。攻擊可能以關鍵任務服務器為目標，或嘗試在激活加密過程之前將勒索軟件安裝在連接到網絡的其他設備上，以便所有設備同時受到攻擊。

為了給受害者施加更大壓力，攻擊者還經常威脅稱，如果不支付贖金，他們就會出售或泄露攻擊期間竊取的數據。事實上，勒索軟件策略正在發生轉變，一些攻擊者現在完全依賴數據盜竊和潛在的公開披露來勒索贖金，甚至懶得加密數據。這種變化可能是導致網絡安全供應商和研究人員報告的2023年勒索軟件攻擊數量創歷史新高的原因之一。Check Point Research表示，全球10%的組織機構曾遭受過未遂攻擊。

每個人都可能是勒索軟件的目標，從個人和小型企業到大型組織和政府機構。這些攻擊可能造成嚴重的破壞性影響。在眾所周知的事件中， 2017 年的WannaCry 勒索軟件攻擊影響了 150 多個國家的組織，醫院的中斷導致英國國家醫療服務體系 (NHS) 損失約 1.11 億美元。最近，英國皇家郵政在 2023 年成為勒索軟件攻擊的受害者，關鍵文件被加密，導致國際貨運中斷六周。皇家郵政拒絕支付最初 8000 萬美元或隨后減少的金額，但表示已花費近 1300 萬美元用于補救工作和安全改進。此外，攻擊中竊取的數據被發布到網上。

同樣在2023年，米高梅國際酒店集團（MGM Resorts International）遭受勒索軟件攻擊，這家酒店和賭場公司損失約1億美元，運營中斷，客戶個人信息被盜。據《華爾街日報》報道，凱撒娛樂公司在遭受類似攻擊后，協商支付了1500萬美元的贖金，以防止被盜數據被公開。勒索軟件問題十分嚴重，以至于美國政府在2021年創建了一個名為“StopRansomware”的網站，提供各種資源來幫助組織預防攻擊，并提供了一份應對攻擊的清單。

3.密碼攻擊

盡管密碼存在諸多已知缺陷，但它仍然是計算機服務中最常用的身份驗證方法。因此，獲取目標密碼是繞過安全控制、訪問關鍵數據和系統的簡單方法。攻擊者會使用各種方法非法獲取密碼，包括：

• 暴力攻擊。攻擊者可以嘗試一些眾所周知的密碼，例如 password123，或者根據目標社交媒體帖子收集的信息（例如寵物的名字）創建的密碼，通過反復試驗來猜測用戶的登錄憑據。在其他情況下，他們會部署自動密碼破解工具來嘗試所有可能的字符組合。
• 字典攻擊。與暴力攻擊類似，字典攻擊使用預先選定的常用單詞和短語庫，具體取決于受害者的位置或國籍。
• 社會工程學。攻擊者很容易通過從某人的社交媒體帖子和其他來源收集信息，制作看似真實的個性化電子郵件或短信。作為一種社會工程學形式，這些郵件可以通過操縱或誘騙用戶泄露信息，以虛假借口獲取登錄憑證，尤其是在這些郵件是從冒充受害者認識的人的虛假賬戶發送的情況下。
• 鍵盤記錄器。鍵盤記錄器是一種軟件程序，它會秘密監控并記錄用戶的每一次擊鍵，從而獲取通過鍵盤輸入的密碼、PIN 碼和其他機密信息。這些信息會通過互聯網發送給攻擊者。
• 密碼嗅探。密碼嗅探器是一個安裝在網絡上的小程序，可以提取通過網絡以明文形式發送的用戶名和密碼。雖然攻擊者仍在使用這種技術，但它已不再像以前那樣構成威脅，因為現在大多數網絡流量都已加密。
• 竊取或購買密碼數據庫。黑客可能會試圖突破組織的網絡防御，竊取其用戶憑證數據庫，然后自己使用這些數據或將其出售給他人。

TechTarget 企業戰略集團研究部門在 2023 年進行的一項調查中，377 名受訪者中 45% 表示，他們知道過去 12 個月內其組織中的用戶帳戶或憑證遭到泄露，32% 的受訪者懷疑這些賬戶或憑證已被泄露。在所有這些受訪者中，59% 表示此類泄露導致了成功的網絡攻擊。此外，Verizon 的《2023 年數據泄露調查報告》發現，使用被盜憑證是攻擊者訪問受入侵組織系統的主要方式，在 4,291 起記錄在案的入侵事件中，49% 涉及使用被盜憑證。

4. DDoS攻擊

分布式拒絕服務 (DDoS) 攻擊是指利用大量受感染的計算機系統或移動設備來攻擊服務器、網站或其他網絡資源。其目的是通過發送大量消息、連接請求或畸形數據包來降低其速度或使其完全崩潰，從而拒絕向合法用戶提供服務。

根據性能管理和安全軟件供應商 Netscout 的報告，2023 年上半年發生了近 790 萬次 DDoS 攻擊，同比增長 31%。許多攻擊背后都有政治或意識形態動機，但它們也被用來索要贖金——在某些情況下，攻擊者會威脅某個組織，如果該組織不滿足贖金要求，就會對其發動 DDoS 攻擊。攻擊者還利用人工智能工具的力量來改進攻擊技術，并指揮其從屬機器網絡相應地執行 DDoS 攻擊。令人擔憂的是，盡管人工智能在網絡安全方面也有潛在的用途，但它現在正被用于增強各種形式的網絡攻擊。

5. 網絡釣魚

在網絡釣魚中，攻擊者偽裝成信譽良好的組織或個人，誘騙毫無戒心的受害者交出有價值的信息，例如密碼、信用卡信息和知識產權。基于社會工程學技術，網絡釣魚活動易于發起，且效果驚人。電子郵件最常用于分發惡意鏈接或附件，但網絡釣魚攻擊也可以通過短信（短信網絡釣魚，簡稱“短信釣魚”）和電話（語音網絡釣魚，簡稱“語音釣魚”）進行。

魚叉式網絡釣魚針對特定的個人或公司，而鯨釣攻擊則是針對組織高管的一種魚叉式網絡釣魚。與之相關的攻擊是商業電子郵件入侵 (BEC)，攻擊者冒充高管或其他權威人士，要求員工轉賬、購買禮品卡或采取其他行動。美國聯邦調查局 (FBI) 互聯網犯罪投訴中心將網絡釣魚和 BEC 攻擊分為不同的類別。2022 年（即公布數據的最后一年），該中心收到了 21,832 起 BEC 攻擊投訴，總損失超過 27 億美元；網絡釣魚投訴共收到 300,497 起，造成 5,200 萬美元的損失。

6. SQL注入攻擊

任何數據庫驅動的網站（大多數網站都是如此）都容易受到SQL 注入攻擊。SQL 查詢是請求對數據庫執行某些操作，精心構造的惡意請求可以創建、修改或刪除數據庫中存儲的數據。它還可以讀取和提取知識產權、客戶或員工的個人信息、管理憑證以及私人業務信息等數據。

SQL 注入仍然是一種廣泛使用的攻擊媒介。它在Mitre 公司維護的2023 年常見漏洞枚舉 (CWE) 前 25 個最危險軟件漏洞列表中排名第三。根據CVE 詳細信息網站 (CVE.com ) 的數據，2023 年，CVE 數據庫中新增了超過 2100 個 SQL 注入漏洞。CVE 數據庫是 Mitre 管理的常見漏洞和暴露的單獨目錄。在一個備受關注的 SQL 注入攻擊案例中，攻擊者利用其中一個新漏洞訪問了 Progress Software 的 MoveIt Transfer Web 應用程序，導致數千家使用該文件傳輸軟件的組織發生數據泄露。

7. 跨站腳本

這是另一種注入攻擊，攻擊者將惡意腳本添加到合法網站的內容中。跨站腳本 ( XSS ) 攻擊是指不受信任的來源能夠將代碼注入 Web 應用程序，然后將惡意代碼包含在動態生成并傳遞給受害者瀏覽器的網頁中。這使得攻擊者能夠在毫無戒心的網站用戶的瀏覽器中執行用 JavaScript、Java 和 HTML 等語言編寫的腳本。

攻擊者可以利用 XSS 竊取會話 Cookie，從而偽裝成受害用戶。但他們也可以通過 XSS 傳播惡意軟件、破壞網站、獲取用戶憑證以及執行其他破壞性操作。在許多情況下，XSS 會與網絡釣魚等社會工程技術相結合。XSS 是常見的攻擊媒介之一，在 2023 年 CWE Top 25 榜單中排名第二。

8.中間人攻擊

在中間人 (MitM) 攻擊中，攻擊者會秘密攔截雙方之間的消息——例如，最終用戶和 Web 應用程序之間的消息。合法方認為他們正在直接通信，但實際上，攻擊者已經介入并控制了電子對話。攻擊者可以實時讀取、復制和更改消息（包括其中包含的數據），然后將其轉發給毫無戒心的收件人。

成功的中間人攻擊 (MitM) 可使攻擊者獲取或操縱敏感個人信息，例如登錄憑證、交易詳情、賬戶記錄和信用卡號。此類攻擊通常以網上銀行應用程序和電子商務網站的用戶為目標，許多攻擊會使用釣魚郵件誘騙用戶安裝惡意軟件，從而引發攻擊。

9. URL 解釋/URL 中毒

攻擊者很容易修改 URL 來獲取信息或資源。例如，如果攻擊者登錄到他們在網站上創建的用戶帳戶，并可以在 https://www.awebsite.com/acount?user=2748 查看其帳戶設置，那么他們可以輕松地將 URL 更改為 https://www.awebsite.com/acount?user=1733，看看是否可以訪問相應用戶的帳戶設置。如果網站的 Web 服務器沒有檢查每個用戶是否擁有訪問所請求資源的正確授權（尤其是在請求包含用戶提供的輸入的情況下），攻擊者很可能能夠查看網站上所有其他用戶的帳戶設置。

URL 解釋攻擊（有時也稱為URL 中毒）用于收集機密信息（例如用戶名和數據庫記錄），或訪問用于管理網站的管理頁面。如果攻擊者確實通過操縱 URL 成功訪問特權資源，通常是由于存在不安全的直接對象引用漏洞，導致網站未正確應用訪問控制檢查來驗證用戶身份。

10. DNS欺騙

DNS 通過將域名和 URL 映射到計算機用于定位站點的 IP 地址，使用戶能夠訪問網站。長期以來，黑客一直利用 DNS 的不安全性，用虛假條目覆蓋 DNS 服務器和解析器上存儲的 IP 地址，從而將受害者定向到攻擊者控制的網站，而不是合法網站。這些虛假網站被設計成與用戶預期訪問的網站完全一樣。因此，當 DNS 欺騙攻擊的受害者被要求在他們以為是真實網站上輸入帳戶登錄憑據時，他們不會產生懷疑。這些信息使攻擊者能夠登錄被欺騙網站上的用戶帳戶。

11. DNS隧道

由于 DNS 是一項受信任的服務，DNS 消息通常會雙向穿越組織的防火墻，幾乎不受監控。然而，這意味著攻擊者可以在 DNS 查詢和響應中嵌入惡意數據（例如命令與控制消息），以繞過（或繞過）安全控制。例如，據悉與伊朗有關聯的黑客組織 OilRig 就使用 DNS 隧道技術來維護其命令與控制服務器與其攻擊系統之間的連接。

DNS 隧道攻擊利用部署在注冊域名的 Web 服務器上的隧道惡意軟件程序。一旦攻擊者感染了組織防火墻后的計算機，安裝在那里的惡意軟件就會嘗試使用隧道程序連接到該服務器，這需要發送 DNS 請求來定位服務器。這為攻擊者提供了進入受保護網絡的連接。

DNS 隧道也有其實際用途——例如，殺毒軟件供應商會通過 DNS 隧道在后臺發送惡意軟件配置文件更新。因此，必須監控 DNS 流量，以確保只有受信任的流量才能通過網絡。

12.僵尸網絡攻擊

僵尸網絡是指一組聯網的計算機和網絡設備，它們感染了惡意軟件，并被網絡犯罪分子遠程控制。易受攻擊的物聯網設備也受到攻擊者的攻擊，以擴大僵尸網絡的規模和威力。它們通常被用來發送垃圾郵件、參與點擊欺詐活動，并生成用于 DDoS 攻擊的惡意流量。

例如，當 2021 年發現 Meris 僵尸網絡時，軟件供應商 Cloudflare 的安全研究人員表示，攻擊者每天使用它對大約 50 個不同的網站發起 DDoS 攻擊。由于 Meris 使用 HTTP 管道技術，且規模龐大（據估計，2021 年 Meris 的僵尸網絡規模約為 25 萬臺），它還造成了有記錄以來一些規模最大的 DDoS 攻擊。創建僵尸網絡的目標是感染盡可能多的設備，然后利用這些設備的綜合計算能力和資源來自動化和放大惡意活動。

13. 水坑攻擊

在所謂的“路過式攻擊”中，攻擊者利用安全漏洞向合法網站添加惡意代碼，當用戶訪問該網站時，代碼會自動執行并感染其計算機或移動設備。這是水坑攻擊的一種形式，攻擊者會識別并利用他們想要攻擊的用戶（例如特定組織的員工或客戶，甚至整個行業，如金融、醫療保健和軍事）經常訪問的不安全網站。

由于用戶很難識別遭受水坑攻擊的網站，因此這是一種在其設備上安裝惡意軟件的高效方法。由于潛在受害者信任該網站，攻擊者甚至可能將惡意軟件隱藏在用戶故意下載的文件中。水坑攻擊中使用的惡意軟件通常是一種遠程訪問木馬，可讓攻擊者遠程控制受感染的系統。

14.內部威脅

員工和承包商擁有訪問組織系統的合法權限，其中一些人對組織的網絡安全防御措施有著深入的了解。這可能會被惡意利用，獲取受限資源的訪問權限、進行破壞性的系統配置更改或安裝惡意軟件。內部人員也可能因疏忽或缺乏對網絡安全政策和最佳實踐的認知和培訓而無意中造成問題。

人們曾普遍認為內部威脅事件的數量超過外部攻擊，但如今情況已大不相同。Verizon 的 2023 年數據泄露報告稱，在調查的泄露事件中，超過 80% 是由外部行為者造成的。然而，內部人員參與了其中的 19%，接近五分之一。一些最突出的數據泄露事件是由擁有特權賬戶訪問權限的內部人員實施的。例如，擁有管理賬戶訪問權限的國家安全局承包商愛德華·斯諾登 (Edward Snowden) 是 2013 年以來美國歷史上最大的機密信息泄露事件之一的幕后黑手。2023 年，馬薩諸塞州空軍國民警衛隊一名成員因在網上發布絕密和高度機密的軍事文件而被捕并受到指控。

15.竊聽攻擊

竊聽攻擊也稱為網絡嗅探或數據包嗅探，利用安全性較差的通信，在計算機和其他設備通過網絡傳輸信息時實時捕獲流量。硬件、軟件或兩者結合可用于被動監控和記錄信息，并“竊聽”網絡數據包中的未加密數據。網絡嗅探可以是網絡管理員和IT安全團隊為解決網絡問題或驗證流量而進行的合法活動。然而，攻擊者可以利用類似的手段竊取敏感數據或獲取信息，從而進一步滲透到網絡中。

為了實施竊聽攻擊，攻擊者可以利用釣魚郵件在聯網設備上安裝惡意軟件，或者將硬件插入系統。攻擊不需要持續連接到受感染的設備——捕獲的數據可以在之后通過物理方式或遠程訪問進行檢索。由于現代網絡的復雜性以及連接到網絡的設備數量龐大，竊聽攻擊可能難以檢測，尤其是因為它對網絡傳輸沒有明顯的影響。

16.生日襲擊

這是一種密碼暴力攻擊，通過攻擊用于表示數字簽名、密碼和加密密鑰的哈希值來獲取它們。它基于“生日悖論”，該悖論指出，在一個由23人組成的隨機群體中，其中兩人生日相同的概率超過50%。類似的邏輯也可以應用于哈希值，從而實現生日攻擊。

哈希函數的一個關鍵特性是抗碰撞性，這使得從兩個不同的輸入生成相同的哈希值極其困難。然而，如果攻擊者生成數千個隨機輸入并計算它們的哈希值，則匹配被盜值以發現用戶登錄憑據的概率就會增加，尤其是在哈希函數較弱或密碼較短的情況下。此類攻擊還可用于創建虛假消息或偽造數字簽名。因此，開發人員需要使用旨在抵御生日攻擊的強加密算法和技術，例如消息認證碼和基于哈希的消息認證碼。

如何預防常見類型的網絡攻擊

連接到網絡的設備越多，網絡的價值就越大。例如，梅特卡夫定律認為，網絡的價值與其連接用戶數量的平方成正比。尤其是在大型網絡中，這使得攻擊者更難以將攻擊成本提高到足以讓他們放棄的程度。安全團隊必須接受他們的網絡將持續受到攻擊的事實。但是，通過了解不同類型的網絡攻擊的運作方式，可以制定緩解控制措施和策略，以最大程度地減少其造成的損害。以下是需要牢記的要點：

• 當然，攻擊者首先需要在網絡中站穩腳跟，才能實現他們的任何目標，因此他們需要發現并利用組織IT基礎設施中的漏洞或弱點。勤于識別和修復這些問題（例如，通過有效的漏洞管理程序）可以降低遭受攻擊的可能性。
• 漏洞并非僅僅源于技術。根據 2023 年 Verizon 數據泄露報告，74% 的受調查數據泄露事件涉及人為因素，例如錯誤和落入社會工程學陷阱。錯誤可能是無意之舉，也可能是疏忽，例如下載受惡意軟件感染的附件，或者未使用強密碼。因此，安全意識培訓成為抵御網絡攻擊的重中之重。由于攻擊技術不斷發展，培訓也必須持續更新。網絡攻擊模擬可以評估員工的網絡意識水平，并在發現明顯不足之處時推動進一步培訓。
• 雖然注重安全的用戶可以降低網絡攻擊的成功率，但縱深防御策略也至關重要。應定期通過漏洞評估和滲透測試進行測試，以檢查操作系統和應用程序中是否存在可利用的安全漏洞。
• 網絡上的端到端加密可以阻止許多攻擊成功提取有價值的數據，即使它們設法突破外圍防御或攔截網絡流量。
• 為了應對零日漏洞（即網絡犯罪分子在漏洞修復之前發現并利用未知漏洞），企業需要考慮在其威脅防御控制措施中添加內容解除和重建技術。它不會嘗試檢測不斷演變的惡意軟件功能，而是假定所有內容都是惡意的，并使用已知惡意與已知惡意的方法來刪除不符合文件類型規范和格式的文件組件。
• 安全團隊還需要主動監控整個IT環境，以發現可疑或不當活動的跡象，從而盡早發現網絡攻擊。網絡分段可以創建更具彈性的網絡，從而能夠檢測、隔離和阻止攻擊。并且，如果檢測到攻擊，應該有一個經過精心演練的事件響應計劃。

最終，如果互聯世界要在與網絡攻擊的永無休止的戰斗中生存下來，網絡安全戰略和預算就需要具備適應不斷變化的威脅的能力，并在需要時部署新的安全控制，同時還要利用人工智能的力量來幫助安全團隊。