信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

網(wǎng)絡(luò)安全事件的發(fā)生，往往意味著一家企業(yè)的生產(chǎn)經(jīng)營活動受到影響，甚至數(shù)據(jù)資產(chǎn)遭到泄露。日益復(fù)雜的威脅形勢使現(xiàn)代企業(yè)面臨更大的網(wǎng)絡(luò)安全風(fēng)險。因此，企業(yè)必須提前準(zhǔn)備好響應(yīng)網(wǎng)絡(luò)安全事件的措施，并制定流程清晰、目標(biāo)明確的事件響應(yīng)計劃。為了讓企業(yè)能夠有效地識別各種常見的網(wǎng)絡(luò)安全事件，減小破壞損失，并降低響應(yīng)的成本，本文將對網(wǎng)絡(luò)安全攻擊的發(fā)現(xiàn)、網(wǎng)絡(luò)攻擊的途徑、網(wǎng)絡(luò)攻擊的手法、網(wǎng)絡(luò)攻擊防護(hù)建議以及如何制定應(yīng)急響應(yīng)計劃等進(jìn)行分析和介紹。

如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件？

現(xiàn)代企業(yè)遭遇數(shù)據(jù)泄露、勒索攻擊的新聞屢見不鮮，但由于企業(yè)往往不能第一時間掌握網(wǎng)絡(luò)攻擊的跡象，因此還有更多的安全事件沒有被發(fā)現(xiàn)。

以下是企業(yè)快速發(fā)現(xiàn)安全事件的一些方法：

特權(quán)用戶賬戶的異常行為。控制特權(quán)用戶賬戶是網(wǎng)絡(luò)攻擊事件的重要步驟，一旦特權(quán)賬戶出現(xiàn)異常狀況，極有可能表明有人在惡意利用該賬戶試圖進(jìn)入企業(yè)的網(wǎng)絡(luò)和系統(tǒng)；

未經(jīng)授權(quán)訪問服務(wù)器和數(shù)據(jù)。許多內(nèi)部人員會嘗試究竟可以訪問哪些系統(tǒng)和數(shù)據(jù)。危險信號包括未經(jīng)授權(quán)的用戶試圖訪問服務(wù)器和數(shù)據(jù)，請求訪問與工作無關(guān)的數(shù)據(jù)，在異常時間從異常位置訪問系統(tǒng)，以及在短時間內(nèi)從多個不同位置登錄系統(tǒng)；

出站網(wǎng)絡(luò)流量異常。企業(yè)要關(guān)注的不僅僅是進(jìn)入網(wǎng)絡(luò)的流量，還應(yīng)該監(jiān)測離開企業(yè)邊界的流量。這可能包括惡意人員人員正在外發(fā)大量的企業(yè)數(shù)據(jù)；

來源或去向異常的網(wǎng)絡(luò)流量。對于企業(yè)組織來說，其網(wǎng)絡(luò)應(yīng)用流量都是有一定規(guī)律的，一旦出現(xiàn)來源或去向異常的流量，可能表明是惡意網(wǎng)絡(luò)活動引發(fā)。管理員應(yīng)及時調(diào)查發(fā)送到未知網(wǎng)絡(luò)的流量，以確保是合法流量；

資源過度消費(fèi)。服務(wù)器內(nèi)存或存儲空間的使用量增加也意味著有攻擊者可能在非法訪問網(wǎng)絡(luò)系統(tǒng)；

系統(tǒng)配置更改。未經(jīng)批準(zhǔn)的配置更改表明可能存在惡意活動，包括重新配置服務(wù)、安裝啟動程序或更改防火墻，添加的額外計劃任務(wù)也是如此；

隱藏的文件。通過文件名、大小或位置的判斷，一些突然出現(xiàn)的隱藏文件很可能是可疑的惡意文件，很有可能會導(dǎo)致數(shù)據(jù)或日志信息泄露；

異常瀏覽行為。這些異常行為包括意外的重定向、瀏覽器配置變化或重復(fù)的彈出窗口等；

異常的注冊表修改。這種情況主要發(fā)生在惡意軟件感染操作系統(tǒng)后，這也是惡意軟件確保其留在受感染系統(tǒng)中的主要方式之一。

網(wǎng)絡(luò)攻擊的常用途徑

攻擊途徑是指攻擊者用來訪問計算機(jī)或網(wǎng)絡(luò)服務(wù)器、投放攻擊載荷或?qū)崿F(xiàn)惡意訪問的路徑或手段，主要包括病毒、郵件附件、網(wǎng)頁、彈出窗口、即時消息、聊天室和欺騙等。這些方法會涉及軟件應(yīng)用、硬件設(shè)備以及社會工程欺騙等。

在企業(yè)網(wǎng)絡(luò)安全事件應(yīng)用響應(yīng)中，首先應(yīng)該要妥善處理使用常見攻擊途徑的事件，包括如下：

外部/可移動介質(zhì)。網(wǎng)絡(luò)攻擊會從磁盤、閃驅(qū)或USB外圍設(shè)備等可移動介質(zhì)來執(zhí)行；

暴力消磨。這種攻擊使用暴力方法來攻擊、削弱或破壞網(wǎng)絡(luò)、系統(tǒng)或服務(wù)；

Web攻擊。攻擊會從網(wǎng)站或基于Web的應(yīng)用程序來執(zhí)行；

電子郵件攻擊。攻擊通過電子郵件或其附件來發(fā)起，攻擊者引誘收件人點(diǎn)擊惡意鏈接、進(jìn)入受感染的網(wǎng)站，或者打開受感染的附件；

不當(dāng)使用。這種類型的事件源于授權(quán)的用戶違反了企業(yè)的可接受使用政策；

無意識下載。用戶瀏覽觸發(fā)惡意軟件下載的網(wǎng)站，這可能在用戶不知情的情況下發(fā)生。無意識下載利用了Web瀏覽器中的漏洞，使用JavaScript及其他瀏覽功能注入惡意代碼；

基于廣告的惡意軟件。這種攻擊通過嵌入在網(wǎng)站廣告中的惡意軟件來執(zhí)行。僅僅查看惡意廣告就可能將惡意代碼注入到不安全的設(shè)備中。此外，惡意廣告還可以直接嵌入到受信任的應(yīng)用程序中，并通過它們來投放；

鼠標(biāo)懸停。這利用了PowerPoint等知名軟件中的漏洞。當(dāng)用戶將鼠標(biāo)懸停在鏈接上而不是點(diǎn)擊鏈接以查看去向時，shell腳本可以自動啟動；

恐嚇軟件。通過恐嚇用戶來說服用戶購買和下載危險的軟件，如果用戶下載了該軟件并允許程序執(zhí)行，系統(tǒng)就會被感染。

網(wǎng)絡(luò)攻擊的手法和目的

雖然企業(yè)永遠(yuǎn)無法確定攻擊者會通過哪條路徑進(jìn)入網(wǎng)絡(luò)，但可以總結(jié)了解一些有共性的常用攻擊方法，在每個攻擊階段中，攻擊者都會有一些特定的實(shí)現(xiàn)目標(biāo)。安全行業(yè)將這種方法名為網(wǎng)絡(luò)殺傷鏈（Cyber Kill Chain）?，F(xiàn)代網(wǎng)絡(luò)攻擊通常分為以下幾個階段：

偵察（識別目標(biāo)）。攻擊者從企業(yè)外面評估目標(biāo)，以識別使他能夠是實(shí)現(xiàn)的目標(biāo)。攻擊者的目標(biāo)是找到那些幾乎沒有保護(hù)措施或存在漏洞的信息系統(tǒng)，進(jìn)而實(shí)現(xiàn)非法的訪問；

武器化（準(zhǔn)備行動）。在這個階段，攻擊者會創(chuàng)建專門設(shè)計的惡意軟件。攻擊者根據(jù)在前一階段收集而來的情報，定制工具，以滿足攻擊目標(biāo)網(wǎng)絡(luò)的特定需求；

投放載荷（實(shí)施行動）。攻擊者會通過多種入侵方法向目標(biāo)發(fā)送惡意軟件，比如釣魚郵件、中間人攻擊或水坑攻擊；

利用（闖入系統(tǒng)）。威脅分子利用漏洞訪問目標(biāo)的網(wǎng)絡(luò)；一旦黑客侵入了網(wǎng)絡(luò)，他就會安裝持久性的后門植入程序，以便在較長時間內(nèi)自由訪問；

指揮和控制（遠(yuǎn)程控制植入程序）。惡意軟件打開一條指揮通道，使攻擊者能夠通過網(wǎng)絡(luò)遠(yuǎn)程操縱目標(biāo)的系統(tǒng)和設(shè)備。然后，黑客可以從管理員手中獲取整個系統(tǒng)的控制權(quán)；

行動（達(dá)到任務(wù)的目的）。鑒于攻擊者已掌握了目標(biāo)系統(tǒng)的指揮和控制權(quán)，接下來發(fā)生什么完全取決于攻擊者，他們可能破壞或竊取數(shù)據(jù)、毀壞系統(tǒng)或索要贖金等。

網(wǎng)絡(luò)安全事件的防護(hù)

多種類型的網(wǎng)絡(luò)安全攻擊都可能導(dǎo)致企業(yè)網(wǎng)絡(luò)安全事件的發(fā)生，企業(yè)必須要提前對此做好應(yīng)對準(zhǔn)備：

01

未經(jīng)授權(quán)的訪問

為了防止威脅分子使用授權(quán)用戶的賬戶訪問系統(tǒng)或數(shù)據(jù)，企業(yè)應(yīng)實(shí)施完善的身份驗(yàn)證保護(hù)。企業(yè)應(yīng)該要求用戶提供除密碼之外的第二種身份信息比對。此外，應(yīng)該使用合適的軟硬件技術(shù)對公司的敏感數(shù)據(jù)進(jìn)行加密，讓攻擊者難以訪問機(jī)密數(shù)據(jù)。

02

特權(quán)升級攻擊

攻擊者經(jīng)常使用一些特權(quán)升級漏洞，以獲取更高級別的權(quán)限。一旦特權(quán)升級攻擊得逞，威脅分子就能獲得普通用戶沒有的特權(quán)。為了降低特權(quán)升級的風(fēng)險，企業(yè)應(yīng)定期在IT環(huán)境中尋找并修復(fù)安全薄弱環(huán)節(jié)企業(yè)還應(yīng)該遵循最小特權(quán)原則，即將用戶的訪問權(quán)限制在他們完成工作所需的最低權(quán)限，并實(shí)施安全監(jiān)控。

03

內(nèi)部威脅

這是指企業(yè)的安全或數(shù)據(jù)面臨的惡意或意外威脅，通常歸因于員工、前員工或第三方，包括承包商、臨時工或客戶。為發(fā)現(xiàn)和防止內(nèi)部威脅，企業(yè)應(yīng)實(shí)施員工異常行為監(jiān)控管理，通過識別粗心、不滿或惡意的內(nèi)部人員，降低數(shù)據(jù)泄露和知識產(chǎn)權(quán)被盜的風(fēng)險。

04

釣魚攻擊

在釣魚攻擊中，攻擊者使用釣魚郵件分發(fā)執(zhí)行各種功能的惡意鏈接或附件，包括提取受害者的登錄憑據(jù)或賬戶信息。一種更有針對性的釣魚攻擊名為魚叉式網(wǎng)絡(luò)釣魚：攻擊者花時間研究受害者，以實(shí)施更成功的攻擊。有效防御釣魚攻擊始于教育用戶識別釣魚郵件。此外，網(wǎng)關(guān)郵件過濾器可以誘捕許多廣撒網(wǎng)的釣魚郵件，并減少到達(dá)用戶收件箱的釣魚郵件數(shù)量。

05

惡意軟件攻擊

惡意軟件包括木馬、蠕蟲、勒索軟件、廣告軟件、間諜軟件和各種類型的病毒。惡意軟件的跡象包括不尋常的系統(tǒng)活動，比如磁盤空間突然丟失、速度異常慢、反復(fù)崩潰或死機(jī)以及彈出廣告。安裝防病毒工具可以檢測和刪除惡意軟件。這類工具可以提供實(shí)時保護(hù)，或者通過執(zhí)行常規(guī)系統(tǒng)掃描來檢測和刪除惡意軟件。

06

拒絕服務(wù)（DoS）攻擊

DoS攻擊為此采取的手段是向目標(biāo)發(fā)送龐大流量或發(fā)送觸發(fā)崩潰的某些信息。企業(yè)通常可以通過重新配置防火墻、路由器和服務(wù)器來阻止惡意虛假流量。此外，整合到網(wǎng)絡(luò)中的應(yīng)用交付設(shè)備有助于分析和篩查數(shù)據(jù)包，即在數(shù)據(jù)包進(jìn)入系統(tǒng)時將數(shù)據(jù)分類成優(yōu)先數(shù)據(jù)、常規(guī)數(shù)據(jù)或危險數(shù)據(jù)，并對有威脅的數(shù)據(jù)進(jìn)行阻斷。

07

中間人（MitM）攻擊

中間人攻擊指攻擊者秘密攔截并篡改通信雙方之間發(fā)送的消息，以獲得數(shù)據(jù)訪問權(quán)。MitM攻擊的例子包括會話劫持、郵件劫持和Wi-Fi竊聽。雖然很難檢測到MitM攻擊，但企業(yè)可以采用TLS（傳輸層安全）加密協(xié)議，這種協(xié)議可以在兩個通信的計算機(jī)應(yīng)用程序之間提供身份驗(yàn)證、隱私和數(shù)據(jù)完整性。企業(yè)還應(yīng)該向員工闡明使用公共Wi-Fi帶來的危險，并留意瀏覽器發(fā)出的異常威脅警告。

08

密碼攻擊

這種攻擊旨在獲取用戶密碼或賬戶密碼，包括密碼破解程序、字典攻擊、密碼嗅探器或通過暴力破解等方法。為了防護(hù)密碼攻擊，企業(yè)應(yīng)采用多因素身份驗(yàn)證來驗(yàn)證用戶。此外，用戶應(yīng)使用強(qiáng)密碼，并定期更改密碼。同時，企業(yè)還應(yīng)對存儲在安全存儲庫中的密碼進(jìn)行加密。

09

Web應(yīng)用程序攻擊

Web應(yīng)用程序也是一條經(jīng)常被利用的攻擊途徑，包括利用應(yīng)用程序中的代碼漏洞以及身份驗(yàn)證欺騙機(jī)制。企業(yè)需要在應(yīng)用系統(tǒng)開發(fā)階段的早期審查代碼以發(fā)現(xiàn)漏洞，靜態(tài)和動態(tài)代碼掃描器可以自動檢查這些漏洞。此外，實(shí)施機(jī)器人程序檢測功能，可以防止機(jī)器人程序非法訪問應(yīng)用程序的數(shù)據(jù)。而Web應(yīng)用防火墻可以幫助企業(yè)監(jiān)控網(wǎng)絡(luò)，并阻止?jié)撛诘墓簟?/p>

10

高級持續(xù)性威脅（APT）

APT是一種長期的、有針對性的網(wǎng)絡(luò)攻擊，在這種攻擊中，入侵者獲得對網(wǎng)絡(luò)的訪問權(quán)，并在長時間內(nèi)不被發(fā)現(xiàn)。APT的目的通常是監(jiān)控網(wǎng)絡(luò)活動并竊取數(shù)據(jù)，而不是對網(wǎng)絡(luò)或企業(yè)搞破壞。監(jiān)控進(jìn)出流量可以幫助企業(yè)防止黑客安裝后門、提取敏感數(shù)據(jù)。企業(yè)還應(yīng)該在網(wǎng)絡(luò)邊緣安裝Web應(yīng)用防火墻，這有助于過濾掉常常在APT滲透階段使用的應(yīng)用層攻擊，比如SQL注入攻擊。

提升安全響應(yīng)能力的建議

企業(yè)不能在安全事件發(fā)生時才被動響應(yīng)，因此許多企業(yè)都已經(jīng)制定了安全事件響應(yīng)的策略和計劃，但隨著網(wǎng)絡(luò)威脅形勢的不斷變化，需要定期對其進(jìn)行調(diào)整和優(yōu)化改進(jìn)。

01

建立定期的事件響應(yīng)溝通機(jī)制

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時，不知道從何處入手可能會加劇攻擊的損害后果。當(dāng)需要制定或啟動計劃時，每個參與人員都必須準(zhǔn)確地知道自己該做什么。為確保每個人都能保持同步，使用清晰的溝通機(jī)制，提高每個安全事件響應(yīng)團(tuán)隊(duì)成員對自身角色和責(zé)任的認(rèn)識至關(guān)重要。當(dāng)然，這還遠(yuǎn)遠(yuǎn)不夠，為了讓安全事件響應(yīng)計劃能夠順利進(jìn)行，每個人還必須知道其他人都在做什么，以及誰是每個工作小組的關(guān)鍵聯(lián)系人。

02

持續(xù)優(yōu)化安全事件響應(yīng)計劃

安全事件響應(yīng)計劃創(chuàng)建后，不代表可以一勞永逸了，應(yīng)該定期進(jìn)行評估和審核。這一點(diǎn)在當(dāng)今技術(shù)和相應(yīng)的信息系統(tǒng)快速發(fā)展和變化的環(huán)境中尤為重要。安全事件響應(yīng)計劃必須定期修訂，尤其是在公司不斷成長的情況下。安全事件響應(yīng)計劃需足夠健壯，同時還需足夠靈活，企業(yè)應(yīng)經(jīng)常審查并更新事件響應(yīng)計劃。

03

主動測試計劃的有效性

企業(yè)不能在安全事件發(fā)生時才發(fā)現(xiàn)目前的響應(yīng)計劃缺陷，因此必須主動測試計劃的有效性。更重要的是，如果有足夠的練習(xí)，那些負(fù)責(zé)執(zhí)行該計劃的人會更容易做到這一點(diǎn)。事件響應(yīng)計劃壓力測試應(yīng)涉及到公司每一個人，這樣可以保持事件響應(yīng)計劃能夠不斷更新，并適應(yīng)企業(yè)數(shù)字化業(yè)務(wù)發(fā)展的需求，同時還有助于發(fā)現(xiàn)并修復(fù)業(yè)務(wù)部門存在的安全風(fēng)險隱患。

04

定期開展企業(yè)安全狀況審查

可靠的安全事件響應(yīng)計劃還需要健康的安全習(xí)慣。定期開展安全狀況審查將使事件響應(yīng)工作更加有效，并有助于降低事故發(fā)生的風(fēng)險。常見的審查工作應(yīng)包括更改密碼、更新和輪換密鑰、審查訪問級別以及檢查舊員工賬戶或威脅者創(chuàng)建的賬戶。

05

重視安全事件響應(yīng)培訓(xùn)

缺乏培訓(xùn)可能會導(dǎo)致事件響應(yīng)計劃不能正確的執(zhí)行和落地。企業(yè)應(yīng)該將安全事件響應(yīng)培訓(xùn)作為優(yōu)先事項(xiàng)并相應(yīng)地賦予預(yù)算。培訓(xùn)內(nèi)容應(yīng)該包括討論各種被攻擊的威脅場景和響應(yīng)行動的練習(xí)。通過安全培訓(xùn)可以讓每個人知道他們的職責(zé)是什么，還可以讓團(tuán)隊(duì)成員之間的知識更好共享。