信息化觀察網(wǎng)

本文來(lái)自安全牛。

攻擊路徑是指網(wǎng)絡(luò)攻擊者潛入到企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用系統(tǒng)所采取的路徑，換句話說(shuō)，也就是攻擊者進(jìn)行攻擊時(shí)所采取的相關(guān)措施。攻擊途徑通常代表著有明確目的性的威脅，因?yàn)樗鼈儠?huì)經(jīng)過(guò)詳細(xì)的準(zhǔn)備和規(guī)劃。從心懷不滿的內(nèi)部人員到惡意黑客、間諜團(tuán)伙，都可能會(huì)利用這些攻擊路徑，竊取公司技術(shù)、機(jī)密信息或敲詐錢(qián)財(cái)。

常見(jiàn)攻擊路徑分析

企業(yè)網(wǎng)絡(luò)安全防護(hù)需要從確定薄弱環(huán)節(jié)入手，了解公司可能被攻擊的路徑，并實(shí)施適當(dāng)?shù)念A(yù)防和檢測(cè)方法，這有助于保證企業(yè)網(wǎng)絡(luò)彈性，本文收集整理了目前較常見(jiàn)的攻擊路徑。

1.內(nèi)部威脅

內(nèi)部威脅是最常見(jiàn)的攻擊途徑之一。不過(guò)，并非所有類(lèi)型的內(nèi)部威脅都是惡意威脅，因?yàn)榘踩庾R(shí)薄弱的員工有時(shí)也會(huì)無(wú)意中泄露機(jī)密。然而，一些內(nèi)部惡意人員可能出于種種動(dòng)機(jī)，故意泄露機(jī)密信息或植入惡意軟件。最新的內(nèi)部威脅調(diào)查數(shù)據(jù)揭示了令人擔(dān)憂的態(tài)勢(shì)，在過(guò)去兩年，內(nèi)部威脅增加了47%，70%的組織遇到了更頻繁的內(nèi)部攻擊。因此，所有組織都需要認(rèn)真考慮和應(yīng)對(duì)內(nèi)部威脅。

2.網(wǎng)絡(luò)釣魚(yú)攻擊

網(wǎng)絡(luò)釣魚(yú)是社會(huì)工程攻擊者經(jīng)常采用的攻擊手段，攻擊者采用欺詐性操縱的策略，欺騙企業(yè)員工點(diǎn)擊可疑鏈接、打開(kāi)受惡意軟件感染的電子郵件附件，或泄露他們的賬戶信息等。最難防范的網(wǎng)絡(luò)釣魚(yú)是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)：網(wǎng)絡(luò)犯罪分子會(huì)仔細(xì)研究那些容易被欺詐的員工，之后伺機(jī)下手，這也是越來(lái)越嚴(yán)重的商業(yè)郵件入侵（BEC）威脅的一部分。

3.供應(yīng)鏈攻擊

商業(yè)伙伴也可能成為主要的攻擊途徑。目前，有很多嚴(yán)重的網(wǎng)絡(luò)安全和數(shù)據(jù)泄露事件都是由第三方供應(yīng)商引起的。供應(yīng)鏈攻擊是攻擊者攻擊供應(yīng)商的客戶的一種常見(jiàn)方式。這就是為什么企業(yè)組織及其商業(yè)伙伴必須關(guān)注供應(yīng)鏈安全，并更多分享網(wǎng)絡(luò)安全最佳實(shí)踐，確保形成相互透明的安全文化。

4.賬號(hào)竊取攻擊

如果貴公司員工的身份驗(yàn)證憑據(jù)太弱或被攻擊，它們可能成為攻擊者未經(jīng)授權(quán)訪問(wèn)貴公司IT系統(tǒng)的可靠途徑。用戶名和密碼是目前主要的身份驗(yàn)證形式，很容易被攻擊者通過(guò)網(wǎng)絡(luò)釣魚(yú)、數(shù)據(jù)泄露和竊取憑據(jù)的惡意軟件加以濫用，從而可以輕松訪問(wèn)應(yīng)用系統(tǒng)和商業(yè)數(shù)據(jù)。

5.暴力密碼破解

暴力密碼破解（brute force）又叫暴力攻擊、暴力猜解，從數(shù)學(xué)和邏輯學(xué)的角度，它屬于窮舉法在現(xiàn)實(shí)場(chǎng)景的運(yùn)用。當(dāng)攻擊者獲得密碼哈希時(shí)，就會(huì)使用暴力破解來(lái)嘗試登錄用戶賬戶，即通過(guò)利用大量猜測(cè)和窮舉的方式來(lái)嘗試獲取用戶口令的攻擊方式。在實(shí)際應(yīng)用中，暴力破解通常有如下四種技術(shù)形態(tài)：Password Guessing（密碼猜測(cè)）、Password Cracking（密碼破解）、Password Spraying（密碼噴灑）。

6.安全漏洞

系統(tǒng)中未打補(bǔ)丁的漏洞很可能會(huì)被利用，讓攻擊者得以趁虛而入。企業(yè)需要清楚認(rèn)知到定期更新軟件系統(tǒng)版本的重要性，并了解如何在影響盡可能小的情況下在整個(gè)企業(yè)中部署更新。大多數(shù)軟件程序在軟件初始版之后發(fā)布一系列補(bǔ)丁，因此企業(yè)安全團(tuán)隊(duì)須不斷下載并實(shí)施補(bǔ)丁更新，確保系統(tǒng)受到最可靠的保護(hù)。

7.跨站腳本攻擊

跨站腳本（XSS）是一種在Web應(yīng)用程序中常見(jiàn)的計(jì)算機(jī)編程語(yǔ)言，同時(shí)也存在較嚴(yán)重的安全隱患，XSS使攻擊者能夠向其他用戶瀏覽的網(wǎng)頁(yè)中注入惡意代碼。當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)，攻擊者注入的任何惡意代碼都會(huì)由瀏覽器執(zhí)行，從而導(dǎo)致敏感信息可能泄露或執(zhí)行不需要的代碼。

8.中間人攻擊

中間人攻擊是指攻擊者介入到兩個(gè)受害者的網(wǎng)絡(luò)通信中，并可以竊聽(tīng)或篡改對(duì)話內(nèi)容。攻擊者會(huì)攔截并篡改受害者之間的消息，然后將它們重新發(fā)送給另一個(gè)受害者，使消息看起來(lái)如同來(lái)自原始發(fā)送者。這種類(lèi)型的攻擊可用于竊取敏感信息，比如登錄憑據(jù)、財(cái)務(wù)信息或商業(yè)機(jī)密。中間人攻擊還可以被用來(lái)向網(wǎng)站或軟件注入惡意代碼，然后感染受害者的計(jì)算設(shè)備和應(yīng)用。

9.DNS投毒

DNS投毒（又叫DNS欺騙）是指攻擊者破壞企業(yè)的正常域名系統(tǒng)（DNS），從而將域名指向其惡意設(shè)置的IP地址。這會(huì)將用戶重定向至惡意網(wǎng)站或服務(wù)器，然而很可能會(huì)被感染惡意軟件，或遭到網(wǎng)絡(luò)釣魚(yú)攻擊。

10.惡意應(yīng)用程序

大量類(lèi)型的惡意軟件可以幫助惡意黑客滲入到貴組織內(nèi)部，比如蠕蟲(chóng)、木馬、rootkit、廣告軟件、間諜軟件、無(wú)文件惡意軟件和僵尸程序等。這些惡意應(yīng)用程序一旦感染設(shè)備，就會(huì)非法竊取設(shè)備控制權(quán)限和數(shù)據(jù)信息。這些惡意程序會(huì)在谷歌Play Store和蘋(píng)果App Store上冒充照片編輯器、游戲、VPN服務(wù)、商業(yè)應(yīng)用程序及其他實(shí)用程序，誘騙用戶下載。

攻擊路徑防護(hù)建議

企業(yè)需要采用有效的安全措施來(lái)遠(yuǎn)離各種可能的攻擊途徑。下面給出了企業(yè)在安全建設(shè)時(shí)的主要建議，以降低攻擊途徑的風(fēng)險(xiǎn)，并防止?jié)撛诘谋还麸L(fēng)險(xiǎn)。

1.構(gòu)建網(wǎng)絡(luò)安全縱深防護(hù)體系

調(diào)查數(shù)據(jù)顯示，新一代攻擊者僅需4個(gè)“躍點(diǎn)（hop，即攻擊者從入侵點(diǎn)到破壞關(guān)鍵資產(chǎn)所采取的步驟數(shù)量）”，就能從初始攻擊點(diǎn)破壞94%的關(guān)鍵資產(chǎn)。孤立的安全工具只關(guān)注某些特定的安全工作，但多種攻擊技術(shù)的組合才是組織面臨的最大風(fēng)險(xiǎn)。

在網(wǎng)絡(luò)安全領(lǐng)域中，縱深防御代表著一種更加系統(tǒng)、積極的防護(hù)戰(zhàn)略，它要求合理利用各種安全技術(shù)的能力和特點(diǎn)，構(gòu)建形成多方式、多層次、功能互補(bǔ)的安全防護(hù)能力體系，以滿足企業(yè)安全工作中對(duì)縱深性、均衡性、抗易損性的多種要求。目前，縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一。

2.應(yīng)用最小權(quán)限原則

自從身份驗(yàn)證和授權(quán)成為訪問(wèn)計(jì)算機(jī)系統(tǒng)的常規(guī)操作，最小權(quán)限原則（POLP）就是實(shí)際上的安全底線。POLP的基本理念是，將用戶的權(quán)限限制在盡可能低的級(jí)別，但仍允許用戶成功地執(zhí)行任務(wù)。這種做法可以有效防止組織內(nèi)部的多個(gè)安全漏洞，同時(shí)可以對(duì)執(zhí)行的操作實(shí)施細(xì)粒度控制，并消除了內(nèi)部威脅的危險(xiǎn)。不過(guò)盡管理論上，遵守POLP是一種有效的身份與訪問(wèn)管理策略，但實(shí)現(xiàn)最小權(quán)限往往面臨很多挑戰(zhàn)。

3.定期開(kāi)展安全演練

從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足。安全紅隊(duì)的工作本質(zhì)上是扮演攻擊性黑客的角色，梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復(fù)或應(yīng)對(duì)風(fēng)險(xiǎn)。企業(yè)應(yīng)該定期開(kāi)展實(shí)戰(zhàn)化的攻擊演練，以任何方式嘗試對(duì)企業(yè)應(yīng)用系統(tǒng)的攻擊，包括對(duì)員工進(jìn)行真正的網(wǎng)絡(luò)釣魚(yú)攻擊，以觀察企業(yè)的訪問(wèn)控制策略是否符合要求，是否實(shí)施有效的多因素身份驗(yàn)證（MFA）產(chǎn)品。通過(guò)了解“攻擊者”的想法，有助于防止網(wǎng)絡(luò)安全事件造成的破壞后果和實(shí)際影響。

4.加強(qiáng)安全意識(shí)培養(yǎng)

人為因素是所有網(wǎng)絡(luò)安全事件中占比最高也是最難防范的，網(wǎng)絡(luò)安全防范意識(shí)培養(yǎng)是解決人為因素最有效的方式之一。隨著國(guó)家出臺(tái)并實(shí)施《網(wǎng)絡(luò)安全法》以及各行業(yè)對(duì)網(wǎng)絡(luò)安全的監(jiān)管要求不斷明確，企業(yè)應(yīng)該更加重視網(wǎng)絡(luò)安全意識(shí)教育工作，以減少安全風(fēng)險(xiǎn)。針對(duì)員工的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全意識(shí)教育工作絕非簡(jiǎn)單地通過(guò)一次現(xiàn)場(chǎng)培訓(xùn)、考試或閱讀海報(bào)就能完成和取得效果的，需要綜合考慮企業(yè)的辦公文化、物理環(huán)境特點(diǎn)、員工辦公習(xí)慣和喜好等因素，形成體系化的安全意識(shí)教育方案。