本文来自安全牛。
攻击路径是指网络攻击者潜入到企业内部网络应用系统所采取的路径,换句话说,也就是攻击者进行攻击时所采取的相关措施。攻击途径通常代表着有明确目的性的威胁,因为它们会经过详细的准备和规划。从心怀不满的内部人员到恶意黑客、间谍团伙,都可能会利用这些攻击路径,窃取公司技术、机密信息或敲诈钱财。
常见攻击路径分析
企业网络安全防护需要从确定薄弱环节入手,了解公司可能被攻击的路径,并实施适当的预防和检测方法,这有助于保证企业网络弹性,本文收集整理了目前较常见的攻击路径。
1.内部威胁
内部威胁是最常见的攻击途径之一。不过,并非所有类型的内部威胁都是恶意威胁,因为安全意识薄弱的员工有时也会无意中泄露机密。然而,一些内部恶意人员可能出于种种动机,故意泄露机密信息或植入恶意软件。最新的内部威胁调查数据揭示了令人担忧的态势,在过去两年,内部威胁增加了47%,70%的组织遇到了更频繁的内部攻击。因此,所有组织都需要认真考虑和应对内部威胁。
2.网络钓鱼攻击
网络钓鱼是社会工程攻击者经常采用的攻击手段,攻击者采用欺诈性操纵的策略,欺骗企业员工点击可疑链接、打开受恶意软件感染的电子邮件附件,或泄露他们的账户信息等。最难防范的网络钓鱼是鱼叉式网络钓鱼:网络犯罪分子会仔细研究那些容易被欺诈的员工,之后伺机下手,这也是越来越严重的商业邮件入侵(BEC)威胁的一部分。
3.供应链攻击
商业伙伴也可能成为主要的攻击途径。目前,有很多严重的网络安全和数据泄露事件都是由第三方供应商引起的。供应链攻击是攻击者攻击供应商的客户的一种常见方式。这就是为什么企业组织及其商业伙伴必须关注供应链安全,并更多分享网络安全最佳实践,确保形成相互透明的安全文化。
4.账号窃取攻击
如果贵公司员工的身份验证凭据太弱或被攻击,它们可能成为攻击者未经授权访问贵公司IT系统的可靠途径。用户名和密码是目前主要的身份验证形式,很容易被攻击者通过网络钓鱼、数据泄露和窃取凭据的恶意软件加以滥用,从而可以轻松访问应用系统和商业数据。
5.暴力密码破解
暴力密码破解(brute force)又叫暴力攻击、暴力猜解,从数学和逻辑学的角度,它属于穷举法在现实场景的运用。当攻击者获得密码哈希时,就会使用暴力破解来尝试登录用户账户,即通过利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式。在实际应用中,暴力破解通常有如下四种技术形态:Password Guessing(密码猜测)、Password Cracking(密码破解)、Password Spraying(密码喷洒)。
6.安全漏洞
系统中未打补丁的漏洞很可能会被利用,让攻击者得以趁虚而入。企业需要清楚认知到定期更新软件系统版本的重要性,并了解如何在影响尽可能小的情况下在整个企业中部署更新。大多数软件程序在软件初始版之后发布一系列补丁,因此企业安全团队须不断下载并实施补丁更新,确保系统受到最可靠的保护。
7.跨站脚本攻击
跨站脚本(XSS)是一种在Web应用程序中常见的计算机编程语言,同时也存在较严重的安全隐患,XSS使攻击者能够向其他用户浏览的网页中注入恶意代码。当用户浏览网页时,攻击者注入的任何恶意代码都会由浏览器执行,从而导致敏感信息可能泄露或执行不需要的代码。
8.中间人攻击
中间人攻击是指攻击者介入到两个受害者的网络通信中,并可以窃听或篡改对话内容。攻击者会拦截并篡改受害者之间的消息,然后将它们重新发送给另一个受害者,使消息看起来如同来自原始发送者。这种类型的攻击可用于窃取敏感信息,比如登录凭据、财务信息或商业机密。中间人攻击还可以被用来向网站或软件注入恶意代码,然后感染受害者的计算设备和应用。
9.DNS投毒
DNS投毒(又叫DNS欺骗)是指攻击者破坏企业的正常域名系统(DNS),从而将域名指向其恶意设置的IP地址。这会将用户重定向至恶意网站或服务器,然而很可能会被感染恶意软件,或遭到网络钓鱼攻击。
10.恶意应用程序
大量类型的恶意软件可以帮助恶意黑客渗入到贵组织内部,比如蠕虫、木马、rootkit、广告软件、间谍软件、无文件恶意软件和僵尸程序等。这些恶意应用程序一旦感染设备,就会非法窃取设备控制权限和数据信息。这些恶意程序会在谷歌Play Store和苹果App Store上冒充照片编辑器、游戏、VPN服务、商业应用程序及其他实用程序,诱骗用户下载。
攻击路径防护建议
企业需要采用有效的安全措施来远离各种可能的攻击途径。下面给出了企业在安全建设时的主要建议,以降低攻击途径的风险,并防止潜在的被攻击风险。
1.构建网络安全纵深防护体系
调查数据显示,新一代攻击者仅需4个“跃点(hop,即攻击者从入侵点到破坏关键资产所采取的步骤数量)”,就能从初始攻击点破坏94%的关键资产。孤立的安全工具只关注某些特定的安全工作,但多种攻击技术的组合才是组织面临的最大风险。
在网络安全领域中,纵深防御代表着一种更加系统、积极的防护战略,它要求合理利用各种安全技术的能力和特点,构建形成多方式、多层次、功能互补的安全防护能力体系,以满足企业安全工作中对纵深性、均衡性、抗易损性的多种要求。目前,纵深防御已经成为现代企业网络安全建设中的基本性原则之一。
2.应用最小权限原则
自从身份验证和授权成为访问计算机系统的常规操作,最小权限原则(POLP)就是实际上的安全底线。POLP的基本理念是,将用户的权限限制在尽可能低的级别,但仍允许用户成功地执行任务。这种做法可以有效防止组织内部的多个安全漏洞,同时可以对执行的操作实施细粒度控制,并消除了内部威胁的危险。不过尽管理论上,遵守POLP是一种有效的身份与访问管理策略,但实现最小权限往往面临很多挑战。
3.定期开展安全演练
从攻击者的角度思考可以更快速了解企业在网络防御方面的不足。安全红队的工作本质上是扮演攻击性黑客的角色,梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。企业应该定期开展实战化的攻击演练,以任何方式尝试对企业应用系统的攻击,包括对员工进行真正的网络钓鱼攻击,以观察企业的访问控制策略是否符合要求,是否实施有效的多因素身份验证(MFA)产品。通过了解“攻击者”的想法,有助于防止网络安全事件造成的破坏后果和实际影响。
4.加强安全意识培养
人为因素是所有网络安全事件中占比最高也是最难防范的,网络安全防范意识培养是解决人为因素最有效的方式之一。随着国家出台并实施《网络安全法》以及各行业对网络安全的监管要求不断明确,企业应该更加重视网络安全意识教育工作,以减少安全风险。针对员工的网络与网络安全意识教育工作绝非简单地通过一次现场培训、考试或阅读海报就能完成和取得效果的,需要综合考虑企业的办公文化、物理环境特点、员工办公习惯和喜好等因素,形成体系化的安全意识教育方案。