網(wǎng)絡(luò)空間是一個(gè)沒有硝煙的戰(zhàn)場(chǎng),任何組織和機(jī)構(gòu)在網(wǎng)絡(luò)空間內(nèi)都是渺小和脆弱的個(gè)體廓潜,網(wǎng)絡(luò)攻擊的來源無法確定母怜,發(fā)起攻擊的時(shí)間不可預(yù)見余耽,要在這個(gè)戰(zhàn)場(chǎng)中安穩(wěn)生存實(shí)屬不易。所幸的是苹熏,網(wǎng)絡(luò)攻擊的手段都是類似的碟贾,有規(guī)律可循的。
美國(guó)最大的軍火商洛克希德馬丁公司(Lockheed Martin)提出的“網(wǎng)絡(luò)攻擊鏈”( Cyber Kill Chain)模型轨域,也被稱為“網(wǎng)絡(luò)殺傷鏈”模型袱耽,其描述了一次完整的網(wǎng)絡(luò)攻擊需要經(jīng)歷七個(gè)階段,如圖所示:【點(diǎn)擊查看學(xué)習(xí)資料】
圖1:“網(wǎng)絡(luò)攻擊鏈”模型
偵查目標(biāo)(Reconnaissance):偵查目標(biāo)干发,充分利用社會(huì)工程學(xué)了解目標(biāo)網(wǎng)絡(luò)朱巨。
制作工具(Weaponization):主要是指制作定向攻擊工具,例如帶有惡意代碼的pdf文件或office文件枉长。
傳送工具(Delivery):輸送攻擊工具到目標(biāo)系統(tǒng)上冀续,常用的手法包括郵件的附件、網(wǎng)站(掛馬)必峰、U盤等洪唐。
觸發(fā)工具(Exploitation):利用目標(biāo)系統(tǒng)的應(yīng)用或操作系統(tǒng)漏洞,在目標(biāo)系統(tǒng)觸發(fā)攻擊工具運(yùn)行吼蚁。
安裝木馬(Installation):遠(yuǎn)程控制程序(特馬)的安裝凭需,使得攻擊者可以長(zhǎng)期潛伏在目標(biāo)系統(tǒng)中。
建立連接(Command and Control):與互聯(lián)網(wǎng)控制器服務(wù)器建立一個(gè)C2信道肝匆。
執(zhí)行攻擊(Actions on Objectives):執(zhí)行所需要得攻擊行為粒蜈,例如偷取信息、篡改信息等术唬。
“網(wǎng)絡(luò)攻擊鏈”模型認(rèn)為任何網(wǎng)絡(luò)攻擊都可以對(duì)應(yīng)到上述七個(gè)步驟中薪伏,分析該模型每個(gè)步驟可能使用的攻擊方法滚澜,可以為網(wǎng)絡(luò)安全保障人員提供針對(duì)各個(gè)攻擊環(huán)節(jié)的防護(hù)思路粗仓,建立精準(zhǔn)、完整的網(wǎng)絡(luò)安全防護(hù)體系,減少網(wǎng)絡(luò)攻擊給組織或機(jī)構(gòu)帶來的損失借浊。
偵查目標(biāo)(Reconnaissance)
在軍事對(duì)抗中塘淑,情報(bào)是制定謀略的基礎(chǔ),一招制勝的前提蚂斤。兵法有云存捺,“知己知彼,百戰(zhàn)不殆”曙蒸,官渡之戰(zhàn)中捌治,曹軍利用信息優(yōu)勢(shì)掌控戰(zhàn)局,精準(zhǔn)定位袁軍的薄弱點(diǎn)纽窟,對(duì)烏巢糧倉(cāng)發(fā)動(dòng)奇襲肖油,一舉攻破要害,以少勝多臂港。在網(wǎng)絡(luò)戰(zhàn)場(chǎng)中森枪,入侵的第一步也是偵查目標(biāo),攻擊者會(huì)從各種渠道收集入侵目標(biāo)的信息审孽,繪制目標(biāo)畫像和信息拓?fù)湎馗ぃ瑢ふ夷繕?biāo)的弱點(diǎn),制定入侵策略佑力。
常見的目標(biāo)偵查手段例舉如下:
通過Googlehacking或爬蟲工具收集目標(biāo)暴露在互聯(lián)網(wǎng)的敏感信息式散,如企業(yè)架構(gòu)、員工郵箱打颤、采購(gòu)信息杂数、泄密文件等;
通過Rayspace瘸洛、Shodan揍移、Fofa、Zoomeye等專業(yè)的網(wǎng)絡(luò)空間資產(chǎn)探測(cè)工具收集目標(biāo)的互聯(lián)網(wǎng)資產(chǎn)信息反肋,如在線設(shè)備那伐、網(wǎng)站、應(yīng)用系統(tǒng)及其使用的服務(wù)和組件等信息石蔗;
通過站長(zhǎng)工具罕邀、愛站、微步在線等工具查詢目標(biāo)的whois信息养距,包括目標(biāo)相關(guān)域名的IP以及所有者信息等诉探;
通過Nmap、Ping棍厌、Dnsmap肾胯、Nslookup等工具竖席,收集目標(biāo)網(wǎng)絡(luò)空間資產(chǎn)的狀態(tài)信息浴骂、屬性信息炫刷、關(guān)聯(lián)信息等;
通過Github冕碟、GitLab艳馒、BitBucket等源代碼托管平臺(tái)憎亚,收集目標(biāo)及其關(guān)聯(lián)系統(tǒng)的源碼信息;
利用社會(huì)工程學(xué)方法弄慰,通過客服電話第美、人員潛入、社工庫(kù)查詢等方式陆爽,獲取目標(biāo)相關(guān)信息斋日。
攻擊者收集目標(biāo)信息的方法遠(yuǎn)不止上文所述,組織和機(jī)構(gòu)面對(duì)來自多角度墓陈、多方式的信息偵查恶守,可以通過以下防御措施降低安全風(fēng)險(xiǎn):
不在公開網(wǎng)站暴露組織的敏感信息,利用互聯(lián)網(wǎng)敏感信息檢測(cè)工具贡必,定期檢測(cè)暴露在互聯(lián)網(wǎng)的組織敏感信息并定期處理兔港,收斂信息暴露面;
服務(wù)器配置加固仔拟,關(guān)閉不必要的端口和服務(wù)衫樊,網(wǎng)站錯(cuò)誤回顯避免暴露服務(wù)器信息,可以利用基線核查工具或漏洞掃描工具利花,定期對(duì)服務(wù)器安全性進(jìn)行評(píng)估和加固科侈;
網(wǎng)絡(luò)邊界部署WAF、入侵防御炒事、防火墻等安全防護(hù)設(shè)備臀栈,有效抵御掃描器、網(wǎng)絡(luò)爬蟲等攻擊挠乳;
部署蜜罐網(wǎng)絡(luò)权薯,混淆攻擊者的偵測(cè)目標(biāo),主動(dòng)識(shí)別黑客身份睡扬,對(duì)入侵者進(jìn)行溯源打擊盟蚣。
目標(biāo)偵查階段的有力防護(hù),可以在網(wǎng)絡(luò)攻擊的初始階段拖延入侵進(jìn)度卖怜,限制攻擊者的攻擊手段屎开,增加攻擊者的入侵成本,讓攻擊者知難而退马靠。
制作工具(Weaponization)
【查看網(wǎng)絡(luò)安全學(xué)習(xí)資料】
“工欲善其事奄抽,必先利其器”蔼两。攻擊者對(duì)目標(biāo)偵查完畢后,會(huì)根據(jù)目標(biāo)特點(diǎn)和入侵目的如孝,組合“傳統(tǒng)兵器”,定制“特種武器”娩贷,打造具有針對(duì)性的“武器庫(kù)”第晰,常見的“武器”例舉以下幾種:
利用Metasploit框架編寫的攻擊腳本;
EXP庫(kù)中的漏洞利用工具彬祖;
僵尸程序茁瘦、特洛伊木馬、網(wǎng)絡(luò)蠕蟲等惡意程序储笑;
利用社會(huì)工程學(xué)成果制作的釣魚網(wǎng)站甜熔、弱口令庫(kù);
SQLMap突倍、BurpSuite腔稀、中國(guó)菜刀、中國(guó)蟻劍羽历、AWVS焊虏、WAPITI等常用攻擊工具。
通常在一次具有針對(duì)性的攻擊中秕磷,還可能會(huì)制作智能攻擊腳本诵闭,通過調(diào)用工具集實(shí)現(xiàn)自動(dòng)化攻打擊,利用混淆澎嚣、加殼疏尿、加密等技術(shù)制作變種惡意程序,利用AI技術(shù)Bypass動(dòng)態(tài)檢測(cè)易桃,利用自學(xué)習(xí)攻擊模型進(jìn)行情報(bào)庫(kù)污染等褥琐。面對(duì)各式各樣的攻擊工具,可以通過以下措施強(qiáng)化安全防線:
采用漏洞掃描工具晤郑,及時(shí)發(fā)現(xiàn)系統(tǒng)和應(yīng)用中的漏洞踩衩,并采取修補(bǔ)或防護(hù)措施;
安裝防毒墻贩汉、殺毒軟件驱富,對(duì)病毒傳播進(jìn)行定向防護(hù);
利用網(wǎng)站監(jiān)測(cè)工具對(duì)釣魚網(wǎng)站進(jìn)行定位打擊匹舞;
開啟WAF褐鸥、防火墻等產(chǎn)品的攻擊防護(hù)策略,阻斷掃描赐稽、注入叫榕、拒絕服務(wù)浑侥、暴力破解等入侵行為。
斷敵兵刃晰绎,可奪其志寓落。針對(duì)攻擊工具的定向防護(hù),可以有效遏制攻擊者的入侵荞下,讓攻擊者無計(jì)可施伶选。
傳送工具(Delivery)
攻擊者打造“武器庫(kù)”后,將進(jìn)行“武器”投放尖昏,特洛伊戰(zhàn)爭(zhēng)的故事非常經(jīng)典仰税,古希臘間諜誘騙特洛伊國(guó)王將大型木馬雕像運(yùn)往城中,隱藏在大型木馬中的希臘軍隊(duì)在城中發(fā)動(dòng)奇襲抽诉,一舉攻破了特洛伊王國(guó)陨簇,這也是特洛伊木馬命名的由來。同樣迹淌,在網(wǎng)絡(luò)空間中河绽,攻破一個(gè)系統(tǒng)最有效的方式,就是將惡意代碼傳送至目標(biāo)系統(tǒng)唉窃。
通常情況下葵姥,傳送惡意代碼的方式可以分為物理傳輸和網(wǎng)絡(luò)傳輸。
表1 惡意代碼傳送方式
針對(duì)以上惡意代碼的傳送方式句携,可以通過以下措施進(jìn)行防范:
安裝主機(jī)防護(hù)軟件榔幸,檢測(cè)來源于物理介質(zhì)的惡意代碼傳輸;
部署網(wǎng)絡(luò)邊界防護(hù)產(chǎn)品矮嫉,及時(shí)發(fā)現(xiàn)并阻斷病毒和惡意程序的傳輸行為削咆;
部署郵件安全網(wǎng)關(guān)產(chǎn)品,識(shí)別電子郵箱中的惡意文件和危險(xiǎn)鏈接蠢笋,有效防范來源于電子郵件的惡意攻擊拨齐;
提高人員網(wǎng)絡(luò)安全防護(hù)意識(shí),具備基本的網(wǎng)絡(luò)欺騙鑒別能力昨寞。
據(jù)相關(guān)報(bào)告統(tǒng)計(jì)瞻惋,2019年全球19.8%的計(jì)算機(jī)至少檢測(cè)到一次惡意軟件類攻擊;2020年垃圾郵件在電子郵件流量中占50.37%援岩,共檢測(cè)到184435643個(gè)惡意附件歼狼,反釣魚軟件阻止了434898635次詐騙網(wǎng)站訪問。龐大的數(shù)據(jù)說明了惡意代碼的網(wǎng)絡(luò)傳播行為尤為猖獗享怀,全網(wǎng)計(jì)算機(jī)用戶的網(wǎng)絡(luò)安全防護(hù)意識(shí)仍待提高羽峰。
觸發(fā)工具(Exploitation)
攻擊者將惡意程序傳送到目標(biāo)系統(tǒng)后,會(huì)利用目標(biāo)系統(tǒng)或應(yīng)用中存在的漏洞,執(zhí)行惡意程序中包含的惡意代碼梅屉,常被利用的安全漏洞有SQL注入值纱、XSS、弱口令坯汤、任意文件上傳虐唠、任意代碼執(zhí)行、緩沖區(qū)溢出等惰聂。除此之外疆偿,多數(shù)惡意程序本身就具備迷惑性的特點(diǎn),會(huì)誘導(dǎo)計(jì)算機(jī)用戶主動(dòng)運(yùn)行惡意程序庶近,執(zhí)行惡意代碼翁脆。
當(dāng)惡意程序已經(jīng)被傳輸?shù)街鳈C(jī)后眷蚓,我們可以采用以下防護(hù)手段:
安裝殺毒軟件鼻种,對(duì)惡意軟件進(jìn)行攔截、查殺沙热;
利用沙箱工具叉钥,檢查未知文件的安全性,動(dòng)態(tài)分析文件行為篙贸,深度鑒別文件危害性投队;
部署安全防護(hù)產(chǎn)品,防御利用常見安全漏洞發(fā)起的攻擊爵川,攔截遠(yuǎn)程執(zhí)行惡意代碼的命令敷鸦。
如果攻擊已經(jīng)進(jìn)展到了觸發(fā)工具的階段,說明攻擊者對(duì)目標(biāo)系統(tǒng)的入侵已接近成功寝贡,意味著目標(biāo)系統(tǒng)已經(jīng)岌岌可危扒披,可能隨時(shí)被攻擊者獲取權(quán)限∑耘荩【查看網(wǎng)絡(luò)安全學(xué)習(xí)資料】
安裝木馬(Installation)
攻擊者在獲取到目標(biāo)系統(tǒng)的控制權(quán)限后碟案,將在目標(biāo)系統(tǒng)中安裝木馬,植入后門颇蜡,后門程序通常具有極強(qiáng)的隱蔽性价说,很難被正常用戶發(fā)現(xiàn)。植入后門程序的作用是使得攻擊者可以長(zhǎng)期保持對(duì)目標(biāo)系統(tǒng)的控制權(quán)限风秤,即使目標(biāo)系統(tǒng)修復(fù)漏洞后鳖目,攻擊者仍然具有目標(biāo)系統(tǒng)的連接方式。
簡(jiǎn)單的后門可能是擁有一個(gè)或多個(gè)賬戶的使用權(quán)限缤弦,復(fù)雜的后門可能是擁有特定的系統(tǒng)連接方式疑苔,對(duì)系統(tǒng)有安全存取權(quán),可以采取以下措施對(duì)后門程序進(jìn)行檢測(cè)和防護(hù):
監(jiān)控系統(tǒng)日志,對(duì)于修改注冊(cè)表惦费、調(diào)整安全配置兵迅、添加賬戶、修改權(quán)限表薪贫、安裝遠(yuǎn)程工具等敏感操作進(jìn)行管控和審計(jì)恍箭;
利用漏洞掃描工具,定期檢查系統(tǒng)是否被植入后門瞧省,及時(shí)查殺后門程序扯夭,修復(fù)后門漏洞;
定期備份系統(tǒng)狀態(tài)鞍匾,被入侵后可以恢復(fù)到正常狀態(tài)交洗。
建立連接(Command and Control)
目標(biāo)系統(tǒng)被植入后門后,攻擊者會(huì)開始建立目標(biāo)系統(tǒng)與控制服務(wù)器的連接通道橡淑,到了這一步意味著目標(biāo)系統(tǒng)已經(jīng)完全失陷构拳,攻擊者已經(jīng)具備目標(biāo)系統(tǒng)的完整控制權(quán)限,失陷主機(jī)已經(jīng)成為攻擊者的肉雞梁棠,攻擊者隨時(shí)可以利用該據(jù)點(diǎn)進(jìn)行橫向滲透置森,擴(kuò)大攻擊成果,或者立即發(fā)起攻擊符糊≠旌#【查看網(wǎng)絡(luò)安全學(xué)習(xí)資料】
倘若攻擊者已經(jīng)“hand on the keyboard”,那么被入侵者能施展的防護(hù)手段已經(jīng)不多了男娄,可以采取以下措施進(jìn)行檢測(cè)和預(yù)防:
部署專業(yè)的僵木蠕檢測(cè)產(chǎn)品行贪,檢查網(wǎng)絡(luò)中的僵尸主機(jī)和受控資產(chǎn),切斷失陷主機(jī)與僵尸網(wǎng)絡(luò)的通信模闲;
網(wǎng)絡(luò)邊界部署非法外聯(lián)檢測(cè)產(chǎn)品建瘫,識(shí)別網(wǎng)絡(luò)中的異常通信,及時(shí)阻斷未經(jīng)授權(quán)的連接围橡;
對(duì)于重要系統(tǒng)應(yīng)當(dāng)采用白名單機(jī)制進(jìn)行訪問控制暖混。
執(zhí)行攻擊(Actions on Objectives)
經(jīng)歷了前6個(gè)階段的攻擊后,攻擊者可以根據(jù)商業(yè)或政治意圖翁授,開始干擾目標(biāo)系統(tǒng)的保密性拣播、完整性和可用性,進(jìn)行信息竊取收擦、破壞贮配、加密等行為,或利用失陷主機(jī)作為跳板塞赂,入侵網(wǎng)絡(luò)中的其他系統(tǒng)泪勒。
此時(shí),受害者的損失已經(jīng)不可避免,但是組織和機(jī)構(gòu)仍然可以事先采取預(yù)防措施圆存,面對(duì)攻勢(shì)及時(shí)發(fā)起應(yīng)急響應(yīng)叼旋,有效控制受害面,緩解攻擊強(qiáng)度沦辙,降低損失夫植。
信息系統(tǒng)采取分級(jí)分域安全管理辦法,做好網(wǎng)絡(luò)域與域之間的安全隔離油讯,級(jí)與級(jí)之間的訪問控制详民,防止攻擊擴(kuò)散;
建立健全的數(shù)據(jù)安全管理制度陌兑,部署數(shù)據(jù)防泄漏產(chǎn)品沈跨,嚴(yán)格控制數(shù)據(jù)訪問權(quán)限,阻止數(shù)據(jù)竊韧米邸饿凛;
建立健全的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,針對(duì)突發(fā)的網(wǎng)絡(luò)安全事件可以快速定位威脅邻奠,緩解并根除攻擊笤喳,及時(shí)修復(fù)業(yè)務(wù)为居;
對(duì)于重要業(yè)務(wù)有災(zāi)備方案碌宴,面對(duì)不可逆轉(zhuǎn)的破壞具備恢復(fù)能力。
總結(jié)
隨著信息科技的蓬勃發(fā)展蒙畴,創(chuàng)新技術(shù)和新興產(chǎn)業(yè)快速融入信息化時(shí)代的同時(shí)贰镣,也增加了網(wǎng)絡(luò)空間的脆弱性,為黑客提供了更多的攻擊手段膳凝,傳統(tǒng)的安全防護(hù)思路顯得有些無所適從碑隆。
基于人工智能(AI)與機(jī)器學(xué)習(xí)(ML)的自動(dòng)化攻防將成為網(wǎng)絡(luò)安全對(duì)抗的主流形式,擴(kuò)展檢測(cè)和響應(yīng)(XDR)和威脅情報(bào)(TI)技術(shù)的逐步落地蹬音,為精準(zhǔn)檢測(cè)上煤、快速響應(yīng)提供了有力幫助。網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CASSM)和入侵與攻擊模擬(BAS)等新興技術(shù)理念的實(shí)踐應(yīng)用著淆,也為企業(yè)安全運(yùn)營(yíng)提供了更多思路劫狠。深入研究產(chǎn)業(yè)應(yīng)用場(chǎng)景,探索網(wǎng)絡(luò)安全創(chuàng)新技術(shù)永部,是提升網(wǎng)絡(luò)空間安全能力的有效途徑独泞。參考文獻(xiàn)
最后
想學(xué)習(xí)網(wǎng)絡(luò)安全而不知道怎么去學(xué)的朋友,可以私我查看學(xué)習(xí)資料·攻略
