今天的网络犯罪分子不是业余爱好者或“脚本小子”,他们是国家资助的黑客和致力于窃取信息的网络犯罪分子。网络攻击和破坏活动仍然很普遍,而间谍活动已经取代黑客成为网络攻击背后的第二大主要驱动力,仅次于经济利益。无论出于何种动机,许多安全团队都在努力确保其IT系统的安全。如今,每天都有针对企业的网络攻击:根据研究机构CheckPointResearch发布的调查数据,2021年第四季度,每周网络攻击达到历史最高水平,每家企业被攻击超过900次。根据一份IT治理报告,仅2022年6月就有3490万条记录遭到泄露。RiskIQ的一项研究估计,网络犯罪每分钟给企业造成179万美元的损失。这些成本既有有形的也有无形的,不仅包括资产、收入和生产力的直接损失,还包括商业信心、信任和声誉的损失。网络犯罪基于对漏洞的有效利用,而安全团队始终处于劣势,因为他们必须保护所有可能的入口点,而网络攻击者只需要找到并利用一个弱点或漏洞。这种不对称性非常有利于网络攻击者,以至于即使是大型企业也难以阻止网络犯罪分子从访问其网络中获利——这些网络通常必须保持开放访问和连接,同时试图保护企业资源。面临网络攻击风险的不仅仅是大型企业;网络犯罪分子会将任何联网设备用作武器、目标或两者兼而有之,而中小型企业则倾向于部署不太复杂的网络安全措施。那么,哪些是最具破坏性的网络攻击,它们是如何运作的?以下是13种最具破坏性的网络攻击类型。1.恶意软件攻击恶意软件是恶意或侵入性程序或文件的总称,旨在利用设备损害用户利益并使网络攻击者受益。现在的恶意软件种类繁多,它们都使用规避和混淆技术,不仅可以欺骗用户,还可以绕过安全控制,以便在未经许可的情况下秘密安装在系统或设备上。以下是一些最常见的恶意软件类型:勒索软件。目前,最令人恐惧的恶意软件形式是勒索软件——一种旨在加密受害者文件然后勒索赎金以接收解密密钥的程序;攻击增加了82%,历史上一些最大规模的网络攻击袭击了关键基础设施。·Rootkit。与其他恶意软件不同,rootkit是一组用于在受害者设备上打开后门的软件工具,允许网络攻击者安装其他恶意软件,例如勒索软件和键盘记录程序,或获得对网络上其他设备的控制和远程访问。为了避免被发现,rootkit通常会禁用安全软件。一旦Rootkit控制了设备,它就可用于发送垃圾邮件、加入僵尸网络或收集敏感数据并将其发回给网络攻击者。·特洛伊木马。特洛伊木马是下载并安装在计算机上的程序,这些程序看似无害,但实际上是恶意的。通常,这种恶意软件隐藏在看似无害的电子邮件附件或免费下载中。当用户点击电子邮件附件或下载免费程序时,隐藏的恶意软件就会传送到用户的计算设备。一旦进入,恶意代码就可以执行攻击者设计的任何任务。通常这是为了即时攻击,但它也可能为黑客在未来的网络攻击中提供后门。?间谍软件。一旦安装,间谍软件就会监视受害者的Internet活动、跟踪登录凭据并监视敏感信息——所有这些都是在用户不知情的情况下进行的。网络罪犯使用间谍软件获取信用卡号、银行信息和密码,并将它们发回给网络攻击者。最近的受害者包括南亚和东南亚的GooglePlay用户,该间谍软件也被许多国家的政府机构使用。Pegasus间谍软件用于监视活动家、政治家、外交官、博主、研究实验室和盟友。2.密码攻击尽管有许多已知的弱点,但密码仍然是基于计算机的服务最常用的身份验证方法,因此获取目标密码是一种绕过安全控制并获得对关键数据和系统的访问权限的简单方法。网络攻击者使用几种方法获取用户密码:蛮力攻击。网络攻击者可以尝试使用众所周知的密码,例如password123,或者根据从目标社交媒体帖子中收集的信息(例如宠物的名字)通过反复试验来猜测用户登录凭据的密码,而其他人则部署自动密码破解该工具会尝试所有可能的字符组合。字典攻击。与暴力攻击类似,字典攻击使用预先选择的常用词和短语库,具体取决于受害者的地区或国籍。社会工程学。黑客很容易通过从社交媒体帖子中收集有关某人的信息来制作对某人来说看起来真实的个性化电子邮件或消息。这些消息,特别是如果它们是从伪装成受害者认识的人的虚假账户发送的,可用于以虚假借口获取登录凭据。密码嗅探器。这是一个安装在网络上的小程序,用于提取通过网络以明文形式发送的用户名和密码。它不再是一个严重的威胁,因为现在大多数网络流量都已加密。键盘记录器。这会秘密监视和记录用户的每次击键,以捕获通过键盘输入的密码、PIN和其他机密信息。此信息通过Internet发送回网络攻击者。窃取或购买密码数据库。黑客可以尝试突破企业的网络防御,窃取其用户凭证数据库,将数据出售给他人或为自己所用。非营利组织身份定义安全联盟在2022年进行的一项调查发现,84%的受访者经历过与身份相关的违规行为。最近引人注目的例子是针对SolarWinds和ColonialPipeline公司的基于身份的成功攻击。Verizon的2022年数据泄露调查报告发现,61%的泄露涉及利用凭据。3.勒索软件勒索软件现在是最突出的恶意软件类型。它通常在用户访问恶意网站或打开篡改的电子邮件附件时安装。它利用设备上的漏洞对Word文档、Excel电子表格、PDF文件、数据库和关键系统文件等重要文件进行加密,使其无法使用。然后,网络攻击者要求赎金以换取恢复锁定文件所需的解密密钥。勒索软件攻击可能以关键任务服务器为目标,或者在激活加密过程之前尝试在连接到网络的其他设备上安装勒索软件,从而使它们同时受到网络攻击。为了增加受害者的支付压力,如果不支付赎金,网络攻击者通常会威胁出售或泄露在攻击期间泄露的数据。每个人都可能成为目标,从个人和小型企业到大型组织和政府机构。这些网络攻击会对受害者及其客户产生严重的破坏性影响。2017年的WannaCry勒索软件攻击影响了150多个国家/地区的组织,仅对医院造成的损失就使英国国家医疗服务体系损失了约1.11亿美元。最近,肉类零售商JBSFoods在2021年遭到网络攻击,导致全美肉类短缺。该公司支付了1100万美元的赎金以避免持续中断,而ColonialPipeline在勒索软件攻击导致美国一条主要输油管道关闭后不得不支付500万美元的赎金。勒索软件是一个非常严重的问题,以至于有一个名为StopRansomware的美国政府官方网站提供资源来帮助企业防止勒索软件攻击,以及如何处理它们的清单。4.DDoS分布式拒绝服务(DDoS)是一种攻击,其中多个受感染的计算机系统攻击一个目标,例如服务器、网站或其他网络资源,并对目标资源的用户造成拒绝服务。大量消息、连接请求或格式错误的数据包进入目标系统会迫使目标系统变慢,甚至崩溃和关闭,从而拒绝为合法用户或系统提供服务。2021年,DDoS攻击数量再次大幅攀升,其中多起破坏了全球关键基础设施;勒索软件DDoS攻击增加了29%。DDoS攻击者还利用人工智能的力量来了解哪些攻击技术最有效,并相应地引导他们的僵尸网络——用于执行DDoS攻击的从属机器。令人担忧的是,人工智能正被用来增强各种形式的网络攻击。5.网络钓鱼网络钓鱼攻击是一种欺诈形式,其中网络攻击者伪装成信誉良好的实体,例如银行、税务部门或电子邮件或其他通信形式,分发恶意链接或附件以欺骗任何人受害者交出有价值的信息,例如密码、信用卡详细信息、知识产权等。发起网络钓鱼活动很容易,而且效果惊人。网络钓鱼攻击也可以通过电话(语音网络钓鱼)和短信(SMS网络钓鱼)进行。鱼叉式网络钓鱼攻击针对特定的个人或企业,而捕鲸攻击是一种专门针对企业高级管理人员的鱼叉式网络钓鱼攻击。一种类型的捕鲸攻击是商业电子邮件妥协(BEC),在这种攻击中,网络攻击者以可以授权金融交易的特定员工为目标,以诱使他们将资金转移到攻击者控制的账户中。FBI的互联网犯罪投诉中心表示,商业电子邮件妥协(BEC)攻击占2021年报告事件的大部分,共发生19,954起事件,损失约24亿美元。6.SQL注入攻击任何数据库驱动的网站(大多数网站)都容易受到SQL注入攻击。SQL查询是对数据库执行某些操作的请求。精心设计的恶意请求可以创建、修改或删除存储在数据库中的数据,以及读取和提取知识产权、个人信息和其他数据。客户、管理凭据或私人业务详细信息。SQL注入在常见弱点枚举(CWE)Top25编制的2022年最危险漏洞列表中排名第三,并且仍然是常见的攻击向量。PrestaShop是一家为大约300,000家在线零售商使用的电子商务软件开发商,它最近警告用户立即更新到其最新的软件版本,因为一些早期版本容易受到SQL注入攻击,网络攻击者可能会窃取客户的信用卡数据。7.跨站脚本这是另一种注入攻击,网络攻击者将数据(例如恶意脚本)注入到其他受信任网站的内容中。当允许不受信任的来源将其自己的代码注入Web应用程序并且恶意代码包含在传送到受害者浏览器的动态内容中时,可能会发生跨站点脚本(XSS)攻击。这使得网络攻击者可以在另一个用户的浏览器中执行以JavaScript、Java、Ajax、Flash和HTML等各种语言编写的恶意脚本。跨站点脚本(XSS)使网络攻击者能够窃取会话cookie,允许网络攻击者伪装成用户,它还可以用于传播恶意软件、破坏网站、在社交网络上造成严重破坏、钓鱼凭据以及与社会工程通信技术被组合使用以进行更具破坏性的攻击。跨站点脚本(XSS)一直是黑客经常使用的攻击向量,在2022CWETop25中排名第二。8.中间人攻击中间人(MiTM)攻击是指网络攻击者秘密拦截并在认为彼此直接通信的双方之间中继消息,但实际上,网络攻击者已将自己插入在线对话中。在将消息转发给毫无戒心的收件人之前,可以实时阅读、复制或更改消息。一次成功的中间人(MiTM)攻击可以让黑客捕获或操纵敏感的个人信息,例如登录凭据、交易详情和信用卡号。9.URL解释/URL中毒URL是唯一的标识符,用于在Internet上定位资源并告诉Web浏览器如何以及在何处检索它。黑客很容易修改URL以尝试访问他们不应访问的信息或资源。例如,如果黑客登录他们在awebsite.com上的帐户并可以在https://www.awebsite.com/acount?user=2748查看他们的帐户设置,他们可以轻松地将此URL更改为https://www。awebsite.com/acount?user=1733查看他们是否可以访问用户1733的帐户设置。如果awebsite.com网络服务器没有检查每个用户是否具有访问所请求资源的正确权限,特别是如果它包含用户提供的输入,那么黑客将能够查看用户1733的帐户设置以及其他用户。这种类型的攻击用于收集机密信息,例如用户名、文件和数据库数据,或访问用于管理整个站点的管理页面。如果网络攻击者设法通过URL操作访问特权资源,则称为不安全的直接对象引用。10.DNS欺骗长期以来,黑客一直利用DNS不安全的特性,用虚假条目覆盖DNS服务器和解析器上存储的IP地址,从而将受害者引导至黑客控制的网站,而不是合法网站。这些虚假网站的设计看起来与用户希望访问的网站完全一样,因此当要求他们输入他们认为是真实网站的登录凭据时,他们不会产生怀疑。11.僵尸网络僵尸网络由网络犯罪分子远程感染和控制的联网计算机和设备组组成。易受攻击的物联网设备也被用来增加僵尸网络的规模和能力。它们通常用于发送垃圾邮件、参与点击欺诈活动以及为DDoS攻击生成恶意流量。例如,Meris僵尸网络每天对大约50个不同的网站和应用程序发起DDoS攻击,发起了一些有记录以来规模最大的HTTP攻击。创建僵尸网络的目的是感染尽可能多的连接设备,并使用这些设备的计算能力和资源来自动化和放大恶意活动。12.水坑攻击在水坑攻击中,网络攻击者将恶意代码嵌入合法但不安全的网站,这样当任何人访问该网站时,代码会自动执行并感染他们的设备,而无需访问进行任何交互。由于用户很难识别这类受感染的网站,因此这是一种在设备上安装恶意软件的非常有效的方法。网络攻击者通过识别他们希望针对的用户经常访问的网站,巧妙地利用这种随机攻击,例如,特定组织的员工,甚至整个行业,如国防、金融或医疗保健。这称为水坑攻击。由于该网站受到受害者的信任,恶意软件甚至可能隐藏在他们有意从该网站下载的文件中。恶意软件通常是远程访问木马,允许网络攻击者远程访问目标系统。13.内部威胁员工和承包商可以合法访问公司的系统,其中一些人对公司的网络安全防御有深入的了解。这可用于访问受限资源、更改系统配置或安装恶意软件。人们普遍认为,恶意内部人员的攻击数量超过其他来源造成的攻击,Verizon的2022年数据泄露调查报告中的研究表明,80%的数据泄露是由来自企业外部的攻击造成的。然而,一些最大的数据泄露是由有权访问特权帐户的内部人员实施的。例如,有权访问管理帐户的美国国家安全局承包商爱德华斯诺登应对美国历史上最大的机密信息泄露事件之一负责。如何预防常见类型的网络攻击连接到网络的人和设备越多,网络就变得越有价值,从而更难将网络攻击的成本推高到黑客放弃的地步。根据梅特卡夫定律,网络的价值与其连接的用户数的平方成正比。因此,安全团队必须承认他们的网络将不断受到攻击,但通过了解不同类型的网络攻击的工作原理,可以实施缓解控制和策略,以最大限度地减少它们可能造成的损害。以下是要记住的要点:当然,黑客首先需要在网络中立足,然后才能实现他们的任何目标,因此他们需要找到并利用受害者IT基础设施中的一个或多个漏洞或弱点。漏洞要么是基于人为的,要么是基于技术的,根据IBM最近发布的网络安全情报指数报告,人为错误是导致95%的所有漏洞的主要原因。从下载受恶意软件感染的附件到未能使用强密码,错误可能是无意或无意的。这使得安全意识培训成为对抗网络攻击的重中之重,并且随着网络攻击技术的不断发展,培训需要不断更新以确保用户了解最新类型的攻击。网络攻击模拟活动可以通过额外的培训评估员工的网络意识水平,其中存在明显的陷阱。具有安全意识的用户可以降低大多数网络攻击的成功率,纵深防御策略也很重要。这些应该通过漏洞评估和渗透测试定期测试,以检查操作系统及其运行的应用程序中是否存在可利用的安全漏洞。整个网络的端到端加密可防止许多网络攻击成功提取有价值的数据,即使它们设法突破边界防御。为了应对零日攻击,网络犯罪分子在修复可用之前发现并利用以前未知的漏洞,企业需要考虑将内容解除和重建添加到他们的威胁预防控制中,因为它假设所有内容都是恶意的,所以它不需要尝试检测不断发展的恶意软件功能。最后,安全团队需要主动监控整个IT环境,寻找可疑或不当活动的迹象,以便及早发现网络攻击——网络分段创建了一个更具弹性的网络,能够检测、隔离和中断攻击。当然,如果检测到网络攻击,应该有一个训练有素的响应计划。如果互联世界要在永无休止的网络攻击之战中幸存下来,安全战略和预算就需要建立适应和部署新安全控制的能力。
