16种常见的网络攻击类型及其预防方法
当前位置:点晴教程→知识管理交流
→『 技术文档交流 』
为了阻止网络犯罪,企业必须了解自身遭受攻击的方式。以下列出了最具破坏性的网络攻击类型以及如何预防。每天都有各种各样的网络 攻击针对组织机构。根据威胁情报提供商 Check Point Research的数据,2023年全球平均每个组织机构每周遭受 1,158次攻击。咨询服务和软件提供商IT Governance报告称,全年公开披露的攻击共计泄露了82亿条记录。 研究和出版公司Cybersecurity Ventures预测,全球网络犯罪造成的损失将在2023年达到8万亿美元,并在2024年增至9.5万亿美元。根据IBM每年发布的报告,截至2023年3月的12个月内,全球553家组织的数据泄露平均成本创下445万美元的新高。网络攻击造成的损失既有有形的,也有无形的,不仅包括资产、收入和生产力的直接损失,还包括声誉损害,这可能导致客户信任和业务合作伙伴信心的丧失。 网络犯罪的核心在于有效利用漏洞,而安全团队总是处于劣势,因为他们必须防御所有可能的入口点,而攻击者只需找到并利用一个弱点或漏洞即可。这种不对称性对攻击者非常有利。结果就是,即使是大型企业也难以阻止网络犯罪分子利用其网络访问权牟利,因为企业通常必须保持开放的访问和连接,而安全专业人员则努力保护企业资源。 1.恶意软件攻击恶意软件(Malware )是恶意软件的缩写,是一个涵盖性术语,指旨在利用设备损害用户利益、使攻击者受益的恶意或侵入性程序或文件。恶意软件有多种形式,它们都使用规避和混淆技术,不仅可以欺骗用户,还可以绕过安全控制,从而可以在未经许可的情况下秘密安装到系统或设备上。 目前,最令人担忧的形式是勒索软件,攻击者利用该程序加密受害者的文件,然后索要赎金以获取解密密钥。由于勒索软件的严重性,下文将在其专属章节中进行更详细的介绍。以下是一些其他常见的恶意软件类型:
勒索软件通常在用户访问恶意网站或打开被篡改的电子邮件附件时安装。传统上,它利用受感染设备上的漏洞来加密重要文件,例如Word文档、Excel电子表格、PDF、数据库和系统文件,使其无法使用。然后,攻击者索要赎金,以换取恢复锁定文件所需的解密密钥。攻击可能以关键任务服务器为目标,或尝试在激活加密过程之前将勒索软件安装在连接到网络的其他设备上,以便所有设备同时受到攻击。 为了给受害者施加更大压力,攻击者还经常威胁称,如果不支付赎金,他们就会出售或泄露攻击期间窃取的数据。事实上,勒索软件策略正在发生转变,一些攻击者现在完全依赖数据盗窃和潜在的公开披露来勒索赎金,甚至懒得加密数据。这种变化可能是导致网络安全供应商和研究人员报告的2023年勒索软件攻击数量创历史新高的原因之一。Check Point Research表示,全球10%的组织机构曾遭受过未遂攻击。 每个人都可能是勒索软件的目标,从个人和小型企业到大型组织和政府机构。这些攻击可能造成严重的破坏性影响。在众所周知的事件中, 2017 年的WannaCry 勒索软件攻击影响了 150 多个国家的组织,医院的中断导致英国国家医疗服务体系 (NHS) 损失约 1.11 亿美元。最近,英国皇家邮政在 2023 年成为勒索软件攻击的受害者,关键文件被加密,导致国际货运中断六周。皇家邮政拒绝支付最初 8000 万美元或随后减少的金额,但表示已花费近 1300 万美元用于补救工作和安全改进。此外,攻击中窃取的数据被发布到网上。 同样在2023年,米高梅国际酒店集团(MGM Resorts International)遭受勒索软件攻击,这家酒店和赌场公司损失约1亿美元,运营中断,客户个人信息被盗。据《华尔街日报》报道,凯撒娱乐公司在遭受类似攻击后,协商支付了1500万美元的赎金,以防止被盗数据被公开。勒索软件问题十分严重,以至于美国政府在2021年创建了一个名为“StopRansomware”的网站,提供各种资源来帮助组织预防攻击,并提供了一份应对攻击的清单。 尽管密码存在诸多已知缺陷,但它仍然是计算机服务中最常用的身份验证方法。因此,获取目标密码是绕过安全控制、访问关键数据和系统的简单方法。攻击者会使用各种方法非法获取密码,包括: TechTarget 企业战略集团研究部门在 2023 年进行的一项调查中,377 名受访者中 45% 表示,他们知道过去 12 个月内其组织中的用户帐户或凭证遭到泄露,32% 的受访者怀疑这些账户或凭证已被泄露。在所有这些受访者中,59% 表示此类泄露导致了成功的网络攻击。此外,Verizon 的《2023 年数据泄露调查报告》发现,使用被盗凭证是攻击者访问受入侵组织系统的主要方式,在 4,291 起记录在案的入侵事件中,49% 涉及使用被盗凭证。 分布式拒绝服务 (DDoS) 攻击是指利用大量受感染的计算机系统或移动设备来攻击服务器、网站或其他网络资源。其目的是通过发送大量消息、连接请求或畸形数据包来降低其速度或使其完全崩溃,从而拒绝向合法用户提供服务。 根据性能管理和安全软件供应商 Netscout 的报告,2023 年上半年发生了近 790 万次 DDoS 攻击,同比增长 31%。许多攻击背后都有政治或意识形态动机,但它们也被用来索要赎金——在某些情况下,攻击者会威胁某个组织,如果该组织不满足赎金要求,就会对其发动 DDoS 攻击。攻击者还利用人工智能工具的力量来改进攻击技术,并指挥其从属机器网络相应地执行 DDoS 攻击。令人担忧的是,尽管人工智能在网络安全方面也有潜在的用途,但它现在正被用于增强各种形式的网络攻击。 在网络钓鱼中,攻击者伪装成信誉良好的组织或个人,诱骗毫无戒心的受害者交出有价值的信息,例如密码、信用卡信息和知识产权。基于社会工程学技术,网络钓鱼活动易于发起,且效果惊人。电子邮件最常用于分发恶意链接或附件,但网络钓鱼攻击也可以通过短信(短信网络钓鱼,简称“短信钓鱼”)和电话(语音网络钓鱼,简称“语音钓鱼”)进行。 鱼叉式网络钓鱼针对特定的个人或公司,而鲸钓攻击则是针对组织高管的一种鱼叉式网络钓鱼。与之相关的攻击是商业电子邮件入侵 (BEC),攻击者冒充高管或其他权威人士,要求员工转账、购买礼品卡或采取其他行动。美国联邦调查局 (FBI) 互联网犯罪投诉中心将网络钓鱼和 BEC 攻击分为不同的类别。2022 年(即公布数据的最后一年),该中心收到了 21,832 起 BEC 攻击投诉,总损失超过 27 亿美元;网络钓鱼投诉共收到 300,497 起,造成 5,200 万美元的损失。 任何数据库驱动的网站(大多数网站都是如此)都容易受到SQL 注入攻击。SQL 查询是请求对数据库执行某些操作,精心构造的恶意请求可以创建、修改或删除数据库中存储的数据。它还可以读取和提取知识产权、客户或员工的个人信息、管理凭证以及私人业务信息等数据。 SQL 注入仍然是一种广泛使用的攻击媒介。它在Mitre 公司维护的2023 年常见漏洞枚举 (CWE) 前 25 个最危险软件漏洞列表中排名第三。根据CVE 详细信息网站 (CVE.com ) 的数据,2023 年,CVE 数据库中新增了超过 2100 个 SQL 注入漏洞。CVE 数据库是 Mitre 管理的常见漏洞和暴露的单独目录。在一个备受关注的 SQL 注入攻击案例中,攻击者利用其中一个新漏洞访问了 Progress Software 的 MoveIt Transfer Web 应用程序,导致数千家使用该文件传输软件的组织发生数据泄露。 这是另一种注入攻击,攻击者将恶意脚本添加到合法网站的内容中。跨站脚本 ( XSS ) 攻击是指不受信任的来源能够将代码注入 Web 应用程序,然后将恶意代码包含在动态生成并传递给受害者浏览器的网页中。这使得攻击者能够在毫无戒心的网站用户的浏览器中执行用 JavaScript、Java 和 HTML 等语言编写的脚本。 攻击者可以利用 XSS 窃取会话 Cookie,从而伪装成受害用户。但他们也可以通过 XSS 传播恶意软件、破坏网站、获取用户凭证以及执行其他破坏性操作。在许多情况下,XSS 会与网络钓鱼等社会工程技术相结合。XSS 是常见的攻击媒介之一,在 2023 年 CWE Top 25 榜单中排名第二。 在中间人 (MitM) 攻击中,攻击者会秘密拦截双方之间的消息——例如,最终用户和 Web 应用程序之间的消息。合法方认为他们正在直接通信,但实际上,攻击者已经介入并控制了电子对话。攻击者可以实时读取、复制和更改消息(包括其中包含的数据),然后将其转发给毫无戒心的收件人。 成功的中间人攻击 (MitM) 可使攻击者获取或操纵敏感个人信息,例如登录凭证、交易详情、账户记录和信用卡号。此类攻击通常以网上银行应用程序和电子商务网站的用户为目标,许多攻击会使用钓鱼邮件诱骗用户安装恶意软件,从而引发攻击。 攻击者很容易修改 URL 来获取信息或资源。例如,如果攻击者登录到他们在网站上创建的用户帐户,并可以在 https://www.awebsite.com/acount?user=2748 查看其帐户设置,那么他们可以轻松地将 URL 更改为 https://www.awebsite.com/acount?user=1733,看看是否可以访问相应用户的帐户设置。如果网站的 Web 服务器没有检查每个用户是否拥有访问所请求资源的正确授权(尤其是在请求包含用户提供的输入的情况下),攻击者很可能能够查看网站上所有其他用户的帐户设置。 URL 解释攻击(有时也称为URL 中毒)用于收集机密信息(例如用户名和数据库记录),或访问用于管理网站的管理页面。如果攻击者确实通过操纵 URL 成功访问特权资源,通常是由于存在不安全的直接对象引用漏洞,导致网站未正确应用访问控制检查来验证用户身份。 DNS 通过将域名和 URL 映射到计算机用于定位站点的 IP 地址,使用户能够访问网站。长期以来,黑客一直利用 DNS 的不安全性,用虚假条目覆盖 DNS 服务器和解析器上存储的 IP 地址,从而将受害者定向到攻击者控制的网站,而不是合法网站。这些虚假网站被设计成与用户预期访问的网站完全一样。因此,当 DNS 欺骗攻击的受害者被要求在他们以为是真实网站上输入帐户登录凭据时,他们不会产生怀疑。这些信息使攻击者能够登录被欺骗网站上的用户帐户。 由于 DNS 是一项受信任的服务,DNS 消息通常会双向穿越组织的防火墙,几乎不受监控。然而,这意味着攻击者可以在 DNS 查询和响应中嵌入恶意数据(例如命令与控制消息),以绕过(或绕过)安全控制。例如,据悉与伊朗有关联的黑客组织 OilRig 就使用 DNS 隧道技术来维护其命令与控制服务器与其攻击系统之间的连接。 DNS 隧道攻击利用部署在注册域名的 Web 服务器上的隧道恶意软件程序。一旦攻击者感染了组织防火墙后的计算机,安装在那里的恶意软件就会尝试使用隧道程序连接到该服务器,这需要发送 DNS 请求来定位服务器。这为攻击者提供了进入受保护网络的连接。 DNS 隧道也有其实际用途——例如,杀毒软件供应商会通过 DNS 隧道在后台发送恶意软件配置文件更新。因此,必须监控 DNS 流量,以确保只有受信任的流量才能通过网络。 僵尸网络是指一组联网的计算机和网络设备,它们感染了恶意软件,并被网络犯罪分子远程控制。易受攻击的物联网设备也受到攻击者的攻击,以扩大僵尸网络的规模和威力。它们通常被用来发送垃圾邮件、参与点击欺诈活动,并生成用于 DDoS 攻击的恶意流量。 例如,当 2021 年发现 Meris 僵尸网络时,软件供应商 Cloudflare 的安全研究人员表示,攻击者每天使用它对大约 50 个不同的网站发起 DDoS 攻击。由于 Meris 使用 HTTP 管道技术,且规模庞大(据估计,2021 年 Meris 的僵尸网络规模约为 25 万台),它还造成了有记录以来一些规模最大的 DDoS 攻击。创建僵尸网络的目标是感染尽可能多的设备,然后利用这些设备的综合计算能力和资源来自动化和放大恶意活动。 在所谓的“路过式攻击”中,攻击者利用安全漏洞向合法网站添加恶意代码,当用户访问该网站时,代码会自动执行并感染其计算机或移动设备。这是水坑攻击的一种形式,攻击者会识别并利用他们想要攻击的用户(例如特定组织的员工或客户,甚至整个行业,如金融、医疗保健和军事)经常访问的不安全网站。 由于用户很难识别遭受水坑攻击的网站,因此这是一种在其设备上安装恶意软件的高效方法。由于潜在受害者信任该网站,攻击者甚至可能将恶意软件隐藏在用户故意下载的文件中。水坑攻击中使用的恶意软件通常是一种远程访问木马,可让攻击者远程控制受感染的系统。 员工和承包商拥有访问组织系统的合法权限,其中一些人对组织的网络安全防御措施有着深入的了解。这可能会被恶意利用,获取受限资源的访问权限、进行破坏性的系统配置更改或安装恶意软件。内部人员也可能因疏忽或缺乏对网络安全政策和最佳实践的认知和培训而无意中造成问题。 人们曾普遍认为内部威胁事件的数量超过外部攻击,但如今情况已大不相同。Verizon 的 2023 年数据泄露报告称,在调查的泄露事件中,超过 80% 是由外部行为者造成的。然而,内部人员参与了其中的 19%,接近五分之一。一些最突出的数据泄露事件是由拥有特权账户访问权限的内部人员实施的。例如,拥有管理账户访问权限的国家安全局承包商爱德华·斯诺登 (Edward Snowden) 是 2013 年以来美国历史上最大的机密信息泄露事件之一的幕后黑手。2023 年,马萨诸塞州空军国民警卫队一名成员因在网上发布绝密和高度机密的军事文件而被捕并受到指控。 窃听攻击也称为网络嗅探或数据包嗅探,利用安全性较差的通信,在计算机和其他设备通过网络传输信息时实时捕获流量。硬件、软件或两者结合可用于被动监控和记录信息,并“窃听”网络数据包中的未加密数据。网络嗅探可以是网络管理员和IT安全团队为解决网络问题或验证流量而进行的合法活动。然而,攻击者可以利用类似的手段窃取敏感数据或获取信息,从而进一步渗透到网络中。 为了实施窃听攻击,攻击者可以利用钓鱼邮件在联网设备上安装恶意软件,或者将硬件插入系统。攻击不需要持续连接到受感染的设备——捕获的数据可以在之后通过物理方式或远程访问进行检索。由于现代网络的复杂性以及连接到网络的设备数量庞大,窃听攻击可能难以检测,尤其是因为它对网络传输没有明显的影响。 这是一种密码暴力攻击,通过攻击用于表示数字签名、密码和加密密钥的哈希值来获取它们。它基于“生日悖论”,该悖论指出,在一个由23人组成的随机群体中,其中两人生日相同的概率超过50%。类似的逻辑也可以应用于哈希值,从而实现生日攻击。 哈希函数的一个关键特性是抗碰撞性,这使得从两个不同的输入生成相同的哈希值极其困难。然而,如果攻击者生成数千个随机输入并计算它们的哈希值,则匹配被盗值以发现用户登录凭据的概率就会增加,尤其是在哈希函数较弱或密码较短的情况下。此类攻击还可用于创建虚假消息或伪造数字签名。因此,开发人员需要使用旨在抵御生日攻击的强加密算法和技术,例如消息认证码和基于哈希的消息认证码。 如何预防常见类型的网络攻击连接到网络的设备越多,网络的价值就越大。例如,梅特卡夫定律认为,网络的价值与其连接用户数量的平方成正比。尤其是在大型网络中,这使得攻击者更难以将攻击成本提高到足以让他们放弃的程度。安全团队必须接受他们的网络将持续受到攻击的事实。但是,通过了解不同类型的网络攻击的运作方式,可以制定缓解控制措施和策略,以最大程度地减少其造成的损害。以下是需要牢记的要点:
最终,如果互联世界要在与网络攻击的永无休止的战斗中生存下来,网络安全战略和预算就需要具备适应不断变化的威胁的能力,并在需要时部署新的安全控制,同时还要利用人工智能的力量来帮助安全团队。 阅读原文:原文链接 该文章在 2025/7/29 12:36:40 编辑过 |
关键字查询
相关文章
正在查询... 
|
400 186 1886
