一个网络攻击 – also known as a cybersecurity attack – is any form of malicious activity targeting IT systems 和/or the attackers or threat actors using them to gain unauthorized access to systems 和 data they contain.
犯罪分子通常希望利用攻击来获取经济利益, 但在其他情况下,其目的是通过禁止访问IT系统来破坏运营. Threat actors can be anyone from a single person attempting to obtain stolen credentials 和 hold them for ransom to a 国家资助的 特遣队想要破坏外国领土上的行动.
不管是什么动机, most IT networks – 和 the people that maintain them – will experience some type of attack over the course of their lives 和 must be prepared.
在深入研究特定类型的网络攻击之前, let's first discuss some of the motivations behind why threat actors would look to wreak havoc on a security organization.
这一类别包括威胁行为者从恶意攻击中获利的努力, 并且可以细分为直接财务盗窃等行为, 使用偷来的信用卡信息, 暗网 通过数据泄露获取信息的市场, 甚至劫持计算资源,进行加密劫持等活动,以开采加密货币.
This category includes attempts to disrupt the operations of organizations by attacking their IT 和 operational technology (OT) infrastructure to damage it, 暂时关闭, 或者拿着它索要赎金.
This category includes cyberattacks backed by state agencies that are part of broader intelligence 和/or military activities. This can cover actions like spying on a foreign government to steal confidential data to further strategic or financial advantages.
根据网络安全 & 基建保安局(CISA),此类别包括:
通常在这些顶级类别之间存在相当大的重叠. 例如, state-based operatives frequently h和 over newly obtained documents or discovered vulnerabilities to cybercriminals to use in malware, ransomware, 以及其他网络攻击.
当一个罪犯试图入侵一个组织时, 除非绝对必要,否则他们不会尝试新鲜事物. 他们利用了众所周知非常有效的普通黑客技术, 比如恶意软件或网络钓鱼.
Whether you're trying to make sense of the latest data-breach headline in the news or analyzing an incident in your own organization, 它有助于理解不同的网络攻击媒介.
恶意软件 指各种形式的有害软件,如病毒和勒索软件. 一旦它进入你的电脑, 它可以造成各种各样的破坏, 控制你的机器, 监视您的操作和击键, to silently sending all sorts of confidential data from your computer or network to the attacker's home base.
攻击者将使用各种方法将恶意软件植入您的计算机, 但在某些阶段,它通常需要用户采取操作来安装恶意软件. 这可以包括单击链接下载文件, 或者打开一个看起来无害的电子邮件附件(比如文档或PDF), 但实际上包含一个隐藏的恶意软件安装程序.
Ransomware 是一种加密受感染IT系统数据的恶意软件. 它要求支付赎金,以换取能够解密受感染系统的代码. 赎金通常用比特币支付给一个匿名地址.
广告软件 is a type of malware that displays unwanted ads on end-user devices to generate revenue from advertisers. 它通常会在诱骗人们点击链接后安装在用户设备上. 广告软件 then displays the ads 和 simulates user clicks to defraud advertisers into thinking that legitimate users are interacting with their ads. 然后他们为这些点击付钱给网络犯罪分子.
Crypto-jacking is a type of malware that uses the resources of the infected IT systems to “mine” for cryptocurrencies. This steals the attacked system's computing resources by running at a high load to generate income for the remote attackers. 然后,他们将通过出售受感染系统上生成的加密货币来赚钱.
在一个 钓鱼攻击, 攻击者可能会向您发送一封看似来自您信任的人的电子邮件, 比如你的老板或与你做生意的公司. 这封邮件看起来是合法的,而且有一些紧迫性.g. 在您的账户上检测到欺诈活动). 在电子邮件中,可能有一个附件要打开或链接要点击.
打开恶意附件后,您将不知不觉地在计算机中安装恶意软件. 如果你点击链接, it may send you to a legitimate-looking website that asks you to log in to access an important file – except the website is actually a trap used to capture your credentials.
鱼叉式网络钓鱼 is a highly targeted variant of phishing that uses a fake email or message from a supposedly important individual to trick a person within the same organization or a partner organization. 鱼叉式网络钓鱼 attempts hope to use the extra authenticity – albeit imposter authenticity – of the sender to trick people into providing information they shouldn't.
A 结构化查询语言注入攻击 专门针对存储关键网站和服务数据的服务器. 它使用恶意代码让服务器泄露它通常不会泄露的信息. SQL是一种用于与数据库通信的编程语言, 并可用于存储私人客户信息,如信用卡号码, 用户名和密码(凭证), 或其他个人身份信息(PII)——这些都是攻击者诱人且有利可图的目标.
跨站点脚本(XSS)攻击 还包括向网站注入恶意代码, 但在这种情况下,网站本身并没有受到攻击. 而不是, 当用户访问受攻击的网站时,恶意代码才会在用户的浏览器中运行, 它在哪里直接针对访问者.
One of the most common ways an attacker can deploy an XSS attack is by injecting malicious code into a comment or a script that could automatically run.
僵尸网络是指被网络罪犯入侵和劫持的广泛存在的设备群. 威胁参与者使用它们来针对IT系统进行分布式DoS攻击或其他攻击类型.
拒绝服务(DoS)攻击 用超出网站承载能力的流量淹没网站, 因此,网站的服务器超载,使其几乎不可能向访问者提供内容. 出于非恶意原因拒绝服务是可能的. 例如, if a massive news story breaks 和 a news organization’s site is overloaded with traffic from people trying to learn more about the story.
A 中间人攻击(MITM 当网络犯罪分子拦截并改变IT系统之间的网络流量时,就会发生这种情况. MITM攻击同时模拟网络上的发送方和接收方. It aims to trick both into sending unencrypted data that the attacker intercepts 和 can use for further attacks or financial gain.
Session hijacking occurs when an attacker hijacks a session by capturing the unique – 和 private – session ID 和 poses as the computer making a request, allowing them to log in as an unsuspecting user 和 gain access to unauthorized information on the web server. 如果在任何互联网会话中一切正常, web servers should respond to your various requests by giving you the information you're attempting to access.
当有人在多个网站上使用相同的凭据时,就会发生凭据重用. 它可以让用户的生活在当下变得更轻松,但可能会在以后困扰用户. Even though security best practices universally recommend unique passwords for all applications 和 websites, 许多人仍然重复使用他们的密码. 这是一个攻击者很容易利用的事实,从而将这些重用的密码变成 妥协的凭证.
并非所有的网络威胁都来自外部. 数据和其他敏感信息(如登录凭据)可能从组织内部泄露. 这可以通过恶意的员工活动发生,或者更频繁的是由于意外的操作. An example of such a mistake could be sending an email containing an unencrypted attachment to the wrong recipient.
我们可以涵盖成千上万的战术和技巧,以防止大规模的网络攻击, 但让我们放大来看一些关键的例子:
教育员工为什么网络钓鱼是有害的,并授权他们检测和报告网络钓鱼企图. 这种类型的培训包括电子邮件 模拟网络钓鱼活动 对员工,监测结果,加强培训,改进模拟结果. 对员工进行持续的安全意识培训也至关重要, 所以他们知道如何发现最新版本的可疑邮件, 消息, 或网站.
服务器或设备上的所有静态数据以及通过网络传输的所有数据都应该加密. 如果攻击者能够访问或拦截数据, 强加密应该使其不可读.
利用 用户和实体行为分析 为网络上的正常活动创建基线. 然后, 监视管理员和服务帐户的使用情况, 哪些用户不恰当地共享凭据, 和 whether an attacker is already expanding from initial network compromise to move around 和 infiltrate other systems.
为所有系统实现多因素身份验证(MFA)是一个关键的最佳实践. Requiring an additional piece of information in combination with a username 和 password protects systems if login details are exposed to cybercriminals. 额外的标记, 具体设备要求, 和生物识别技术都是MFA的例子,可以在登录IT系统时加以利用.
制定一个三点计划来 防止勒索软件攻击. 这包括最小化 攻击表面, 一旦检测到暴露,减轻潜在影响, 并进行汇报,以查明现有计划的差距. 从那里, 团队可以重建系统, 检疫端点, 更改凭证, 锁定受损账户.
终端用户经常成为网络罪犯的目标, 无论是在他们的设备上还是通过社会工程攻击. 所有终端用户设备都应该有 终端安全 部署的防护软件. 这应该与一个更宽的集成 安全信息和事件管理(SIEM) 允许在组织范围内监视和分析威胁的工具.
建立一个过滤策略,外部数据将通过该策略. 这将有助于在恶意脚本成为问题之前捕获它们. This leads into creating a wider content security policy that can leverage a list of trusted sources that are able to access your web applications.
Create a central hub that feeds all security-organization functions with knowledge 和 data on the highest-priority threats. 组织严重依赖自动化来帮助扩展a 威胁情报计划 通过不断地将数据输入安全设备和过程, 不需要人为干预.
欺骗技术 在网络上实现“虚拟”应用程序、数据库和其他IT系统. Any cyberattackers who breach the external firewalls will be tricked into thinking they have access to internal systems. 实际上,虚拟系统的目的是 “粘蜜罐” to allow security teams to monitor the attacker's activities 和 gather data without exposing the production systems.
现在很多商业活动都是在笔记本电脑、智能手机和平板电脑上进行的. 此外,许多人在工作中使用笔记本电脑. 所有这些设备的移动特性意味着它们丢失和/或被盗的风险很高. All mobile devices (including laptops) should be enrolled 和 managed in a mobile device management (MDM) solution. 如果设备丢失或被盗, 它可以快速擦除,使未经授权的用户无法访问任何数据.