如何降低网络攻击者入侵风险
共 1878字,需浏览 4分钟
·
2022-11-09 14:55
尽管企业会花费大量资源来提高组织安全性,但不能做到绝对的100%安全。网络攻击通常会影响企业数据的机密性,完整性和可用性。
网络攻击存在以下几种类型:
勒索软件
勒索软件是一种专门用于阻止数据访问的恶意软件。勒索软件通常对数据进行加密,因此数据不能像往常一样被访问。网络攻击者使用这种恶意软件加密数据,并要求提供解码密钥的赎金。因此得名勒索软件。
数据泄露
数据泄露是网络攻击者试图获取组织敏感数据的攻击类型。一旦他们拿到数据就会窃取数据。然后将这些窃取的数据在各种市场上出售给感兴趣的人,或者他们直接发布这些数据。不管怎样,这对组织来说都是巨大的风险。
拒绝服务 (DoS)
拒绝服务攻击的目的是通过使企业的服务不可用来损害其运营。这是通过大量的请求使服务器不堪重负,从而导致服务器变慢或崩溃来实现的。
帐户泄露
账户泄露通常不是网络攻击的最终目标,而是中间步骤。网络攻击者利用社会工程、暴力强迫或利用其他安全弱点来破坏账户。
在对企业网络进行破坏之前一般会有5个阶段:
- 侦测
- 扫描
- 开发
- 维护访问
- 覆盖跟踪
侦测
侦测是网络攻击者攻击周期的第一个阶段,试图熟悉目标。收集这些信息可以建立一个目标的粗略蓝图,用来计划他们的攻击。侦测有两种类型:
主动侦测:在这种类型中,攻击者与目标交战或通信,目标系统可以检测到侦测活动。主动侦察的一个简单示例是 ping 探测器。
被动侦察:采用更隐蔽的方法。攻击者不与目标系统互动,而是尝试收集其他平台上已有的信息。例如,使用搜索引擎或人员数据库。
扫描
在此阶段,网络攻击者使用从上一阶段收集的信息,并尝试找到可以利用的缺陷和安全漏洞。扫描可以非常简单,只需识别攻击者可能试图攻击的服务,或者运行漏洞扫描来识别要利用的现有漏洞。此外,黑客还可以使用网络扫描来探测目标的网络,以绘制目标的基础设施。
开发
这是真正“入侵”发生的阶段。网络攻击者利用安全漏洞,破坏目标的安全性,并获得访问其系统的权限。根据漏洞的类型和攻击者的意图,黑客可以执行各种恶意操作。例如,他们可以试图获得更高的特权或访问网络中的关键系统,或窃取数据。
维护访问
在大多数有针对性的网络攻击中,当攻击者成功突破防御时,他们都有一个遵循的计划。有时可能想进一步利用目标或执行更多恶意操作。因此,网络攻击者通常会采取措施保持对被破坏系统的持续访问。
覆盖轨迹
完美的网络攻击是指系统没有意识到攻击已经发生。出于这个目的,网络攻击者会试图清除他们可能留下的所有证据和痕迹。即使系统识别出了漏洞,删除或修改一些数据,如日志、注册表项等,也会使识别变得困难。
如何减少网络攻击
为了防止网络攻击者在组织系统内长期潜伏,可以采取以下措施:
社交工程和密码
组织培训企业员工进行基本安全实践方面培训,了解社会工程及如何应对。使用强密码,识别钓鱼邮件及其他可疑数据等。除此之外,MFA和其他强大的身份验证机制将增加更多的安全性。
漏洞管理
漏洞是网络攻击者入侵系统的常用方式之一,除了投入精力修复漏洞外,在软件开发期间通过静态代码检测有助于从源头减少缺陷及漏洞,降低漏洞利用风险。
防火墙、IDS 和 IPS
如今,防火墙、IDS 和 IPS已成为网络安全常见的一部分。它们是抵御 APT 的第一道防线。这些工具利用指示攻击的规则,从而防止常见的 APT。
查看安全关键活动
密切留意对安全至关重要的活动,例如新帐户的创建、特权更改、新服务、日志服务的问题等,这些活动可能是网络入侵的早期迹象。
检测篡改
黑客试图篡改关键文件,如操作系统文件、配置文件和注册表项。如果不进行监视和调查,这些更改可能会在发起最终攻击时使防御薄弱,或者可能难以更深入地挖掘事件。
端点检测和响应 (EDR)
EDR监视和控制端点活动。如果黑客计划感染一个系统,然后通过网络传播感染。EDR可以检测第一个系统的感染并隔离资产,将其与网络中的其他节点隔离。
查找异常
异常是任何不正常的行为。查找异常有助于识别感染或持续存在的早期迹象。例如,如果有 2 个资产没有理由相互通信,但它们之间存在数据传输,则需要调查。
异常指任何不正常的行为。寻找异常可以识别感染或网络攻击持续存在的早期迹象。
来源:
https://www.softwaresecured.com/preventing-attackers-from-gaining-persistence-within-your-environment/