盘点：你最可能面对的五种网络攻击

作为一名咨询师&＃xff0c;我看到的最大的安全问题之一是感知&＃xff1a;企业认为他们面临的威胁往往与构成最大风险的威胁大不相同。例如&＃xff0c;他们雇用我来部署最先进的公钥基础结构(PKI)或企业级入侵检测系统时&＃xff0c;其实他们真正需要的是更好的补丁。

事实上&＃xff0c;大多数公司都面临着同样的威胁&＃xff0c;并且应该尽最大努力来抵消这些风险。以下是五种最常见的(也是最成功的)网络攻击类型。

1.社交工程恶意软件

最近通常由数据加密勒索软件引导的社交工程恶意软件提供了头号攻击方法(不是缓冲区溢出&＃xff0c;错误配置或高级攻击)。最终用户以某种方式被欺骗运行木马程序&＃xff0c;这些程序通常来自他们信任并经常访问的网站。其他无辜的网站是暂时妥协交付恶意软件&＃xff0c;而不是正常的网站编码。

恶意网站告诉用户安装一些新的软件以访问网站&＃xff0c;运行假的防病毒软件&＃xff0c;或者运行其他“关键”软件。经常指示用户点击浏览器或操作系统发出的任何安全警告&＃xff0c;并禁用任何可能妨碍他们的防御措施。

有时木马程序假装做一些合法的事情&＃xff0c;有时它会逐渐消失&＃xff0c;开始进行流氓行为。社交工程的恶意软件程序每年都会造成数亿次黑客攻击。与这些数字相比&＃xff0c;所有其他黑客类型都不值一提。

对策&＃xff1a; 社交工程恶意软件程序最好通过持续的终端用户教育来处理&＃xff0c;这些教育涵盖了当今的威胁(例如&＃xff0c;提示用户运行惊喜软件的可信网站)。企业可以通过不允许用户使用提升的凭证在网上冲浪或回复电子邮件来进一步保护自己。一个最新的反恶意软件程序是必要的&＃xff0c;但是强大的终端用户教育提供了更好的性价比。

2.密码网络钓鱼攻击

紧随其后的是密码网络钓鱼攻击。大约60%到70%的电子邮件是垃圾邮件&＃xff0c;其中大部分是网络钓鱼攻击&＃xff0c;目的是欺骗用户的登录凭证。幸运的是&＃xff0c;反垃圾邮件供应商和服务已经取得了很大的进步&＃xff0c;所以我们大多数人都有相当干净的收件箱。尽管如此&＃xff0c;我们每天还是会收到几封垃圾邮件&＃xff0c;其中至少有几封是仿冒合法邮件的钓鱼邮件。

我认为一封有效的网络钓鱼邮件是一件腐败的艺术品:每样东西看起来都很棒;它甚至警告读者不要上当受骗。唯一能让它消失的是要求保密信息的流氓链接。

对策&＃xff1a; 密码网络钓鱼攻击的主要对策是拥有无法放弃的登录。这意味着双因素身份验证(2FA)&＃xff0c;智能卡&＃xff0c;生物识别和其他带外认证方法(如电话或短信)。如果您可以为登录启用除简单登录名/密码组合之外的其他内容&＃xff0c;并且只需要更强大的方法&＃xff0c;那么您就打败了密码钓鱼游戏。

如果您遇到一个或多个系统的简单登录名/密码组合&＃xff0c;请确保使用准确的防网络钓鱼产品或服务&＃xff0c;并通过更好的最终用户培训降低风险。我也喜欢在URL字符串中突出显示主机真实域名的浏览器。例如windowsupdate.microsoft.com。malware.com更为明显。

3.未修补的软件

紧随社交工程恶意软件和网络钓鱼之后的是具有(可用)未修补漏洞的软件。最常见的未打补丁和被利用的程序是浏览器插件程序&＃xff0c;如Adobe Reader和人们经常用来网上冲浪的便捷程序。多年以来一直是这种方式&＃xff0c;但奇怪的是&＃xff0c;我曾经审计过的公司中&＃xff0c;没有一家能完美修复软件。甚至都不是很接近&＃xff0c;让我非常费解。

对策&＃xff1a;立即 停止您正在做的事情并确保您的补丁是完美的。如果你做不到&＃xff0c;请确保它在开发的产品周围是完美的&＃xff0c;无论它们在给定的时间段内发生了什么。每个人都知道&＃xff0c;更好的修补是降低风险的好方法。成为少数真正做到这一点的组织之一。更好的是&＃xff0c;确保您100%地修补了最有可能被利用的程序&＃xff0c;而不是试图在所有软件程序上完全修补。

4.社交媒体威胁

我们的网络世界是一个社交世界&＃xff0c;他由Facebook、Twitter、领英(LinkedIn)或其他国家流行的社交网站主导。社交媒体威胁通常以恶意朋友或应用程序安装请求的形式出现。如果你很不幸地接受了这个请求&＃xff0c;你通常会放弃比你预想的更多的社交媒体账号访问权。企业黑客喜欢利用企业社交媒体账户来收集可能在社交媒体网站和企业网络之间共享的密码。目前许多最糟糕的黑客攻击开始只是简单的社交媒体攻击&＃xff0c;大家千万不要低估它的潜力。

对策:必须对社交媒体威胁进行终端用户教育。也要确保你的用户知道&＃xff0c;不要与任何其他外国网站分享他们的公司密码。在这里&＃xff0c;使用更复杂的2FA登录也会有所帮助。最后&＃xff0c;确保所有的社交媒体用户都知道如何举报一个被劫持的社交媒体账户&＃xff0c;无论是他们自己的账户&＃xff0c;还是其他人的账户。有时候可能是他们的朋友首先发现了问题。

5. 先进的持续威胁

据我所知&＃xff0c;只有一家大公司没有因为高级持续威胁(APT)窃取知识产权而遭受重大损失。APT通常通过社交工程木马或网络钓鱼攻击获得立足点。

一种非常流行的方法是&＃xff0c;让APT攻击者向多个员工电子邮件地址发送特定的网络钓鱼活动(称为鱼叉式网络钓鱼)。网络钓鱼电子邮件包含木马附件&＃xff0c;至少会有一名员工被欺骗运行。在最初的执行和计算机接管后&＃xff0c;APT攻击者可以在几小时内危及整个企业。这很容易实现&＃xff0c;但清理其实十分麻烦。

对策&＃xff1a; 检测和预防APT可能很困难&＃xff0c;尤其是面对高级黑客时。前面提到的所有建议都适用&＃xff0c;但您还必须学会了解网络中合法的网络流量模式&＃xff0c;并对意外流量发出警报。APT不知道哪台计算机通常与哪台计算机通信&＃xff0c;但你可以。现在就开始跟踪您的网络流量&＃xff0c;并很好地处理从哪里到哪里的流量。APT会把大量的数据从一台服务器复制到另一台服务器上通常不通信的计算机上。当他们这样做的时候&＃xff0c;你可以抓住他们。

其他常见的攻击类型&＃xff0c;如SQL注入、跨站点脚本、传递哈希和密码猜测&＃xff0c;与这里列出的五种攻击类型相比&＃xff0c;几乎没有达到高级别攻击。保护自己不受前五种威胁的影响&＃xff0c;你就能大大降低环境中的风险。

最重要的是&＃xff0c;我强烈建议每个企业确保其防御和缓解措施与最重要的威胁保持一致。不要成为那种把钱花在高投入、高知名度项目上的公司&＃xff0c;而坏人却继续利用那些很容易被封锁的路线潜入。

最后&＃xff0c;利用专门检测APT类型攻击的产品或服务。这些产品或服务可以在您的所有计算机上运行&＃xff0c;比如基于主机的入侵检测服务&＃xff0c;可以整理事件日志&＃xff0c;寻找恶意迹象。你很难检测到APT的日子已经一去不复返了。无数的供应商已经填补了之前的空白&＃xff0c;正等着向你出售保护。

总的来说&＃xff0c;要找出您的企业最大的威胁是什么&＃xff0c;并做好最充分的准备。太多的公司把资源浪费在错误的、不太可能发生的情况上。将他们的威胁情报与您的环境的组成和漏洞进行比较&＃xff0c;并确定您应该为什么做最充分的准备。