审稿人刘瑞轩|ZhaoLijing现代网络安全采用分层方法来保护网络的边缘和边界。任何网络元素(端点设备、数据路径、应用程序或用户)都可能成为攻击者的入口点。由于存在大量的潜在威胁,组织通常会部署多种网络安全措施来应对网络和基础设施中不同层次和类型的威胁。这种方法称为纵深防御。2023年Top5网络安全风险1.供应链攻击供应链攻击利用组织与外界之间的信任关系,例如以下方法:第三方访问:企业通常允许供应商和其他外部人员访问他们的IT环境和系统。如果攻击者获得了对企业可信合作伙伴的网络访问权限,他们就可以使用该合作伙伴的合法身份来访问该企业系统。可信的外部软件:所有公司都使用第三方软件并在公司网络上提供。如果攻击者将恶意代码注入第三方软件或更新包以将其变成恶意软件,则恶意软件可以访问组织环境中的受信任和敏感数据、系统。世界各地的SolarWinds黑客就是这样攻击的。第三方代码:几乎所有应用程序都包含第三方开源代码和库。此外部代码可能会被攻击者滥用以实现漏洞或恶意功能。如果您组织的应用程序极易受到攻击或依赖恶意代码,它们很容易成为攻击和利用的目标。Log4j漏洞是利用第三方代码的高调攻击。2.勒索软件勒索软件是一种旨在锁定目标计算机上的数据并显示勒索信息的恶意软件。勒索软件通常通过加密锁定数据,并要求受害者以加密货币支付以换取密钥。网络罪犯经常去深网购买勒索软件工具包。通过此类软件工具,攻击者可以生成具有一定功能的勒索软件,并将其发送给受害者索要赎金。获取勒索软件的另一种方法是勒索软件即服务(RaaS)。勒索软件即服务提供价格合理的勒索软件,几乎不需要技术专业知识即可运行。这种方法几乎不需要网络犯罪分子的努力,并且可以进行简单快速的攻击。勒索软件的类型网络犯罪分子使用多种类型的勒索软件来勒索赎金,每种勒索软件的方式各不相同。以下是更常见的类型:恐吓软件:恐吓软件模仿技术支持或安全软件。受害者可能会继续收到系统上存在恶意软件的弹出通知。通常弹出窗口只会在受害者响应时消失。加密勒索软件:这种类型的软件会加密受害者的数据并要求付费才能解密。但即使受害者协商或遵守请求,也可能无法取回数据。Masterbootrecord勒索软件:该软件不仅加密用户的文件,还加密整个硬盘驱动器,使受害者无法访问操作系统。移动勒索软件:攻击者部署移动勒索软件来窃取或加密手机上的数据。受害者需要支付赎金才能解锁设备或恢复数据。3.API攻击API攻击是对应用程序编程接口(API)的恶意使用或破坏。API安全是防止攻击者利用和滥用API的措施和技术。API是现代Web应用程序和微服务架构的核心,因此黑客经常以它们为目标。API攻击包括:注入攻击:当API未正确验证输入并允许攻击者提交恶意代码作为API请求的一部分时,就会发生注入攻击。SQL注入(SQLi)和跨站点脚本(XSS)是最著名的攻击案例。大多数针对网站和数据库的传统注入攻击也可以攻击API。DoS/DDoS攻击:在拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击中,攻击者试图使目标用户无法使用API。速率限制可以缓解小规模的DoS攻击;但大规模的DDoS攻击波及数百万台计算机,只能通过云级抗DDoS技术解决。数据暴露:API经常处理和传输敏感数据,包括信用卡信息、密码、会话令牌或个人身份信息(PII)。当API在处理数据时出错,被诱骗向未经授权的用户提供数据,或者当攻击者设法破坏API服务器时,数据可能会受到损害。4.社会工程攻击社会工程攻击采用欺骗、胁迫等多种心理操纵手段,使受害人做出特定的行为。以下是常见的社会工程攻击:网络钓鱼:网络钓鱼是企图诱骗收件人采取一些有利于攻击者的行动。攻击者使用各种平台发送网络钓鱼消息,例如电子邮件、企业通信应用程序和社交媒体等。这些消息可以诱使收件人打开恶意附件、泄露敏感信息(例如登录凭据)或单击恶意链接。鱼叉式网络钓鱼:这是针对特定个人或团体的网络钓鱼攻击,通常使用有关目标的信息来使网络钓鱼消息看起来更可信。例如,会计师可能会收到来自合法供应商的带有未付发票的鱼叉式网络钓鱼电子邮件。SMSPhishing:攻击者利用SMS文本消息,或使用具有共同特征的短链接服务,诱骗受害者点击恶意链接。语音网络钓鱼:攻击者使用电话试图说服受害者采取特定行动或泄露敏感数据,例如登录凭据或信用卡信息。5、中间人攻击MitM攻击或中间人攻击也是网络攻击的一种。攻击者拦截两方之间的数据传输或对话,并转换和冒充其中一方。例如,通过拦截通信,攻击者可以插入恶意链接以窃取或更改参与者之间传输的数据。当双方意识到他们受到攻击时,为时已晚。MitM攻击的常见目标包括金融应用程序、电子商务站点和需要身份验证的用户。MitM攻击有多种方式,例如破坏公共免费Wi-Fi热点。当用户连接到受感染的热点时,攻击者将获得对他们活动的可见性。除此之外还有IP欺骗、ARP欺骗和DNS欺骗,所有这些都会将用户重定向到恶意网站或将用户提交的数据重定向到攻击者。结论本文解释了网络安全的基础知识并确定了5种网络安全风险:勒索软件:旨在锁定目标计算机上的数据并显示勒索消息。API攻击:恶意使用或破坏应用程序编程接口。社会工程攻击:采用各种心理操纵策略使受害者执行特定操作。供应链攻击:利用组织与外部各方之间关系的攻击。MitM攻击:拦截双方之间的传输数据或对话,转换并冒充其中一方。希望本文能帮助您在遭受网络攻击时采取适当的行动。原标题:2023年Top5网络安全风险,作者:GiladDavidMaayan
