黑客攻擊在大眾心里神秘而高端,但很多攻擊實(shí)際上并沒有電影劇情中那么“酷炫”,最常見的攻擊僅僅是利用脆弱的、盜用的憑證完成登錄就行了。
數(shù)據(jù)泄露的案例數(shù)量近年來居高不下。與大眾想法和電影劇情相反,網(wǎng)絡(luò)攻擊極少情況下是由神秘的電腦高手軍團(tuán)發(fā)起,而且攻擊者也不都是通過最先進(jìn)的技術(shù)滲透到企業(yè)的周邊防御中?,F(xiàn)實(shí)可以說是截然不同的:網(wǎng)絡(luò)攻擊者不再以黑客技術(shù)進(jìn)行入侵——他們僅僅是利用脆弱的、竊取的或是盜用的憑證完成登錄就行了。部署一項(xiàng)有效的企業(yè)安全策略需要了解黑客的攻擊手法,技術(shù)和步驟——通常我們將這三點(diǎn)簡(jiǎn)稱為TTP。
多年來,黑客技術(shù)的解析總是被弄得很玄乎,而且讓大家以為數(shù)據(jù)泄露通常都是利用零日漏洞,而且需要大量復(fù)雜代碼才能入侵到那些堅(jiān)不可摧的周邊防御中。然而,線上問題的反饋分析表明,攻擊之源經(jīng)常就是被破壞的憑證。
萬豪國際集團(tuán),快餐連鎖唐恩都樂和美國思杰公司遭遇的數(shù)據(jù)入侵事件只是其中的冰山一角。據(jù)Centrify最近的一份研究表明,74%的受訪企業(yè)的入侵都與盜用特權(quán)賬戶有關(guān)。這與Forrester估計(jì)的80%的占比很接近。
當(dāng)特權(quán)賬戶被盜用,網(wǎng)絡(luò)攻擊者會(huì)假裝是正式員工或是系統(tǒng)后臺(tái),再執(zhí)行惡意操作,且不會(huì)被安全防護(hù)軟件檢測(cè)為入侵者。一旦黑客盜用了特權(quán)賬戶,就能在網(wǎng)絡(luò)環(huán)境中隨意來去,竊取數(shù)據(jù)或搞破壞。
目前的網(wǎng)絡(luò)攻擊風(fēng)格
網(wǎng)絡(luò)攻擊風(fēng)格五花八門,但都包含三個(gè)主要階段,而且適用于外部和內(nèi)部威脅:
第一階段:盜用
現(xiàn)在,多數(shù)網(wǎng)絡(luò)攻擊都是通過憑據(jù)收割的行動(dòng)從前端進(jìn)入。常見的憑據(jù)收割方式包括社工技巧,密碼嗅探,網(wǎng)絡(luò)釣魚,數(shù)據(jù)掃描,惡意軟件攻擊或是綜合以上幾種方式。網(wǎng)絡(luò)罪犯?jìng)冞€會(huì)利用暗網(wǎng)上獲取的數(shù)百萬憑據(jù)。一旦掌握被竊的,弱密碼的或是已經(jīng)曝光的憑據(jù),攻擊者就可以暴力破解,憑據(jù)嗅探或口令攻擊等方式登錄到目標(biāo)網(wǎng)絡(luò)環(huán)境中。
由于賬戶盜用攻擊可以繞開最堅(jiān)固的安全防護(hù),企業(yè)需要改變思路,利用“零信任”方法,假設(shè)攻擊者已經(jīng)潛伏在網(wǎng)絡(luò)中。這將很好的影響企業(yè)的網(wǎng)絡(luò)安全架構(gòu)。
第二階段:挖掘
一旦進(jìn)入目標(biāo)環(huán)境內(nèi)部,黑客可以通過偵察來識(shí)別常規(guī)IT日程,安全措施,網(wǎng)絡(luò)流量,還可以掃描整個(gè)IT環(huán)境全盤了解網(wǎng)絡(luò)資源,特權(quán)賬戶和服務(wù)。域控制器,ActiveDirectory和服務(wù)器都是被偵察的主要對(duì)象,因?yàn)樵谶@些目標(biāo)里,黑客可以獲取額外的特權(quán)憑據(jù),從而得到更多的優(yōu)先訪問權(quán)限。
為了極大地限制黑客執(zhí)行偵察和橫向移動(dòng)的能力,企業(yè)應(yīng)該考慮PAM(優(yōu)先訪問管理)的最佳案例:
一律采用多因素驗(yàn)證
部署適可而止和即時(shí)的優(yōu)先權(quán)限
開辟一塊“訪問區(qū)域”
利用“安全管理環(huán)境”
第三階段:偷數(shù)據(jù)并掩蓋自己的行為
一旦攻擊者發(fā)現(xiàn)有價(jià)值數(shù)據(jù)的隱藏之處,他們一般會(huì)想辦法提升自己的權(quán)限,目的是竊取數(shù)據(jù)并隱藏自己的行為以避免被檢測(cè)到。通常,他們還會(huì)用SSH密鑰創(chuàng)建一個(gè)后門,留給自己以后竊取更多數(shù)據(jù)。
預(yù)防數(shù)據(jù)被竊的幾種方法包括:部署微軟推薦的MFA,對(duì)管理員賬戶作“空氣隔離”,采用基于主機(jī)的審查和監(jiān)控,利用機(jī)器學(xué)習(xí)法則監(jiān)控特權(quán)賬戶的行為,識(shí)別“不恰當(dāng)”操作和高風(fēng)險(xiǎn)操作,并對(duì)其發(fā)起警告。
最后,了解黑客的TTP(攻擊手法,技術(shù)和步驟)可為協(xié)調(diào)防御措施和威脅提供一個(gè)路線圖。在這種情況下,企業(yè)需要意識(shí)到基于外圍環(huán)境的安全問題,也就是說光是注意安全防護(hù)端點(diǎn),防火墻和網(wǎng)絡(luò)是不夠的。身份管理問題已經(jīng)成為了新的外圍安全問題,也成為了減輕身份盜用的戰(zhàn)場(chǎng)。要通過驗(yàn)證訪問者身份,訪問請(qǐng)求發(fā)出的代碼語境,訪問環(huán)境的風(fēng)險(xiǎn)程度來部署最低級(jí)別的授權(quán)控件,如此才可以防止賬戶盜用造成的攻擊。
-
黑客
+關(guān)注
關(guān)注
3文章
284瀏覽量
21857 -
網(wǎng)絡(luò)攻擊
+關(guān)注
關(guān)注
0文章
331瀏覽量
23444
原文標(biāo)題:解析黑客攻擊:設(shè)想與現(xiàn)實(shí)
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論