第二辑 定义威胁形势和主动防御 |《信息安全手册》典藏版 [独家首发]

了解组织环境

威胁

网络安全威胁是指损害数字信息、系统或网络的机密性、完整性或可用性的风险或漏洞。网络威胁可能由多种来源引起，包括网络犯罪分子、黑客、内部人员，甚至员工的意外行为。随着技术的扩散和对数字基础设施的日益依赖，网络安全威胁变得更加复杂、频繁且代价高昂，给个人、组织甚至整个国家带来重大风险。

网络安全威胁形势在不断发展，组织面临的具体威胁可能会因行业、规模、位置和其他因素而异。接下来是组织可能面临的一些最常见和最危险的网络安全威胁。

网络钓鱼攻击

网络钓鱼是一种常见的网络攻击，旨在诱骗个人提供敏感信息，例如用户名、密码、信用卡详细信息或个人信息。网络钓鱼攻击通常通过欺骗性电子邮件进行，包括模仿合法来源（例如银行、社交媒体或在线商店）的链接和附件。

网络钓鱼攻击依靠社会工程策略来利用人类的弱点，例如好奇心、紧迫感或信任，并可能对个人和组织造成重大损害。

网络钓鱼攻击的一种常见类型是鱼叉式网络钓鱼，它针对特定个人或组织，提供根据其兴趣、工作角色或关系量身定制的个性化消息。鱼叉式网络钓鱼攻击通常涉及广泛的研究和监视，以收集有关目标的信息，例如他们的社交媒体资料、职位或最近发生的事件，以使消息显得更有说服力和相关性。商业电子邮件泄露 (BEC) 是另一种类型的网络钓鱼攻击，其目标是发送看似来自可信来源（例如内部组织部门、供应商或合作伙伴）的消息的组织。BEC攻击通常涉及冒充合法团体或个人，或使用社会工程策略诱骗员工提供敏感信息或授权欺诈性付款。BEC攻击可能会造成重大财务损失，特别是涉及电汇或电子支付时。

网络钓鱼攻击对个人和组织可能造成严重后果。网络钓鱼攻击可能会导致经济损失、身份盗窃或声誉受损，特别是当它们涉及敏感数据或知名目标时。网络钓鱼攻击还可能导致进一步的网络攻击，例如恶意软件感染或勒索软件攻击，从而造成更大的损害。防病毒软件或垃圾邮件过滤器等技术措施可以帮助阻止或检测网络钓鱼消息。政策、程序或培训等组织措施可以帮助提高认识并促进良好的网络安全实践，例如使用强密码、验证来源或报告可疑活动。

勒索软件

勒索软件是一种恶意软件，它会加密组织的数据并要求支付解密密钥的费用。勒索软件攻击可能会摧毁一个组织。这些攻击可能会造成重大的财务损失、声誉损害，甚至运营关闭。没有组织能够免受勒索软件的威胁，因为小型企业和大型企业都可能成为这些攻击的受害者。

勒索软件攻击通常始于通过漏洞或网络钓鱼攻击感染单个设备或系统，例如工作站、服务器或移动设备。一旦安装了恶意软件，它就会加密受感染计算机的数据，使用户或组织无法访问这些数据。然后，勒索软件通常以弹出窗口或文本文件的形式显示一条消息或警告，要求付款以换取解密密钥。如果未在特定时间范围内支付赎金，勒索软件消息还可能威胁删除或泄露数据。

勒索软件攻击可以通过各种类型的恶意软件进行。这些恶意软件变体的一些示例包括CryptoLocker、WannaCry和Locky。一些勒索软件攻击可能会使用混淆、加密或多态性等先进技术来逃避安全软件的检测或使恢复加密数据变得更加困难。勒索软件攻击还可能涉及匿名支付方式，例如比特币或其他加密货币，这使得跟踪攻击者的支付或身份变得更加困难。对于受影响的组织及其客户、合作伙伴或供应商来说，勒索软件攻击的后果可能很严重。勒索软件攻击可能会造成重大财务损失，因为组织可能需要支付赎金或承担额外的数据恢复费用、取证分析费用或法律费用。

保护措施包括反恶意软件、入侵防御系统和经过验证的数据备份，使组织能够在遭受勒索软件攻击时恢复数据。值得注意的是，必须定期测试和更新数据备份，以确保其有效性，并且勒索软件攻击不会对组织的备份产生不利影响。除了预防和缓解活动之外，组织还可以通过确保网络安全事件响应计划包含勒索软件特定的注意事项来为勒索软件攻击做好准备。该计划将帮助组织检测、遏制勒索软件攻击并从中恢复，最大限度地减少损失并减少停机时间。

恶意软件

恶意软件是一个广义术语，描述任何旨在损害或破坏计算机系统、网络或设备的软件。恶意软件是一种重大的网络安全威胁，可以采取多种形式，包括病毒、蠕虫、木马、间谍软件、广告软件和勒索软件。恶意软件可能会窃取数据、破坏系统或扰乱运营，从而对组织和个人造成重大损害。

一种常见的恶意软件是病毒。病毒是一种自我复制的程序，可以感染文件、应用程序或系统引导扇区。病毒一旦感染系统，就会迅速传播，对系统文件造成重大损害。另一种类型的恶意软件是蠕虫病毒，它是一种自我复制程序，可以在网络中快速传播，感染多个设备和系统。蠕虫可能会消耗带宽或导致系统崩溃，从而对网络造成严重损害。特洛伊木马是一种伪装成合法软件或应用程序的恶意软件。一旦木马感染系统，它就可以窃取数据、创建后门或下载其他恶意软件。间谍软件是在用户不知情或未经用户同意的情况下从设备或系统收集数据的恶意软件。间谍软件可以收集敏感数据，例如密码、信用卡号或个人信息。

恶意软件攻击可能会给个人和组织带来一系列问题，包括财务损失、声誉损害和身份盗用。如果恶意软件针对或泄露敏感数据或引人注目的目标，则影响可能尤其严重。此外，恶意软件攻击可能会引发进一步的网络攻击，例如勒索软件攻击，这可能会导致更严重的损害。

分布式拒绝服务攻击

分布式拒绝服务(DDoS)攻击是一种重大的网络安全威胁，可能会破坏在线服务并给企业造成重大财务损失。DDoS攻击涉及来自多个来源的流量淹没网站、服务器或网络，导致合法用户无法访问。DDoS攻击可以通过多种方式进行，例如僵尸网络、DNS放大攻击或应用层攻击。

僵尸网络可用于执行DDoS攻击。僵尸网络是由单个攻击者或一组攻击者控制的受感染设备（例如计算机、智能手机或物联网设备）组成的网络。僵尸网络可以通过向目标发送大量流量、压垮目标资源并使其无法供合法用户使用来发起DDoS攻击。僵尸网络可以通过恶意软件感染、网络钓鱼诈骗或社会工程策略来创建。

DNS放大攻击利用域名系统(DNS)漏洞产生大量流量并淹没目标服务器或网络。在DNS放大攻击中，攻击者发送大量DNS查询来打开DNS解析器，请求有关特定域名的信息。攻击者欺骗请求的源IP 地址，使它们看起来像是来自目标服务器或网络。当开放DNS解析器收到请求时，它会使用比原始查询大得多的数据包进行响应。发生此攻击的原因是，由于使用域名系统安全扩展(DNSSEC)和其他安全措施，许多DNS响应大于相应的查询。然后，攻击者可以使用放大的响应使流量淹没目标服务器或网络，压垮其资源并使合法用户无法访问。

应用层DDoS攻击，也称为七层DDoS攻击，是针对网站或服务器应用层的DDoS攻击。与其他专注于网络层的DDoS攻击不同，应用层攻击旨在通过模仿合法用户流量的请求来压垮目标服务器或网站，从而耗尽目标服务器或网站的资源。应用层DDoS攻击使用机器人或恶意软件，通过HTTP、HTTPS或其他应用层请求（例如数据库查询或用户注册）淹没目标网站或服务器。这些请求很难与合法流量区分开来，因为它们类似于合法的用户活动，因此难以阻止或过滤。内容交付网络 (CDN)可用于通过将流量分布到多个服务器来防御DDoS攻击，从而减少攻击对任何单个服务器的影响。CDN的工作原理是在多个地理服务器上缓存内容，以便用户可以从距离其位置最近的服务器访问内容。这种架构不仅加快了内容的交付速度，还提供了冗余，使攻击者更难以淹没任何单个服务器。

内部威胁

内部威胁是指访问敏感信息、系统或网络的员工、承包商或业务合作伙伴的恶意活动或疏忽，并且可能难以检测和缓解。内部威胁有多种类型，包括意外或无意、疏忽和恶意的内部威胁：

当员工或承包商因错误配置系统或向错误收件人发送电子邮件而无意中对组织造成伤害或损害时，就会发生意外或无意的内部威胁。

当员工或承包商无视安全策略或程序（例如使用弱密码或点击可疑链接）时，就会发生疏忽的内部威胁。

恶意内部威胁是最危险的，当员工或承包商故意对组织造成伤害或损害时，就会发生恶意内部威胁。恶意内部威胁可以采取多种形式，包括窃取敏感信息、破坏系统或网络或未经授权访问敏感数据。

组织可以实施安全控制来监视和检测内部威胁。这些控制可以包括访问控制，例如基于角色的访问控制、多因素身份验证或权限升级监控，以确保员工只能访问履行工作职责所需的信息和系统。组织机构还可以实施安全监控和审核工具，例如日志分析和异常检测，以检测员工或承包商的异常行为或活动。

高级持续威胁

高级持续威胁 (APT) 是一种针对特定组织、政府或个人的网络攻击，旨在未经授权访问敏感信息或对目标造成伤害。

与使用简单和不加区别的技术的网络攻击不同，APT具有高度针对性和复杂性，通常依赖于多个阶段的攻击并利用零日漏洞来逃避检测。APT通常涉及资金充足、组织良好且技术精湛的黑客群体，他们愿意在攻击活动中投入大量时间和资源。

APT定义有几个特征。其中一些如下：

APT具有高度针对性，使攻击者能够了解目标的基础设施、操作和漏洞，从而更容易开发定制的攻击策略APT还具有持久性，旨在长时间不被发现，APT可能使用横向移动技术，横向移动检测APT可能具有挑战性，因为它们旨在长时间不被发现。防火墙和反恶意软件等传统安全措施可能不足以检测APT。相反，组织必须采用更主动的方法，包括持续监控、威胁情报和高级分析。这种方法可以帮助组织在攻击生命周期的早期检测APT，从而使他们能够在重大损害发生之前采取适当的行动。

社会工程攻击

社会工程攻击是针对人类漏洞的网络安全威胁，而不是利用组织基础设施中的技术弱点。社会工程攻击依靠心理操纵来欺骗个人泄露敏感信息或执行可能危及组织安全的操作。社会工程攻击通常涉及使用各种策略来欺骗个人，包括网络钓鱼。

社会工程攻击依靠欺骗和操纵来实现其目标。攻击者使用各种策略（例如网络钓鱼电子邮件、借口电话和诱饵方案）来欺骗个人执行可能危及组织安全的操作。这些攻击通常技术含量较低，不需要大量的技术专业知识。攻击者可以使用简单的策略，例如发送令人信服的网络钓鱼电子邮件或借口电话来实现其目标。检测社会工程攻击可能具有挑战性，因为它们依赖欺骗和操纵来实现其目标。组织必须拥抱安全文化，定期对员工进行网络安全最佳实践和事件响应程序培训。该培训可以帮助员工识别和应对社会工程攻击，降低攻击成功的风险。

供应链攻击

供应链攻击是针对支持组织运营的供应商和供应商互连网络的网络安全威胁。这些攻击通常利用供应链中的漏洞来访问组织内的敏感信息或系统。

供应链攻击通常利用访问组织系统或数据的第三方供应商或供应商的漏洞。这些供应商可能是安全资源有限的中小型企业，这使得它们成为攻击者有吸引力的目标。供应链攻击很难检测，因为它们通常涉及跨多个组织的一系列妥协。攻击者可能会使用多层混淆和加密来逃避检测并获取敏感信息。

受感染的供应商可以用作组织网络的入口点，允许攻击者横向移动并访问敏感信息或系统。

检测供应链攻击可能具有挑战性，因为此类组织需要采用更主动的方法，包括供应链风险评估、供应商管理和威胁情报。供应链风险评估可以帮助组织识别和减轻供应链中的潜在漏洞。评估可能包括评估供应商的安全实践，以及分析供应链妥协对组织运营的潜在影响。组织必须制定与供应商合作的明确政策和程序，包括安全控制、数据保护和事件响应要求。定期监控和审核供应商活动可以帮助检测可疑行为并降低供应链攻击的风险。

保护敏感信息、系统和网络是一项共同责任，需要时刻保持警惕和适应能力。通过及时了解最新的威胁趋势，个人和组织可以提高防御能力，并更加自信地应对不断变化的网络安全形势。

黑客和黑客行为

黑客大致可以分为几种类型，具有独特的动机、技能和方法。了解这些不同类型的黑客对于个人和组织防范他们构成的各种网络安全威胁至关重要。了解不同类型黑客的运作方式可以使组织预测潜在的网络安全威胁并制定更好的策略来保护其系统。

随着技术的不断发展，新型黑客可能会出现。通过了解最新趋势和黑客使用的方法，个人和组织可以保持警惕并实施主动的安全措施。有必要就不同类型的黑客进行对话，以了解组织的威胁并培养安全文化，使个人了解风险并采取措施保护其数字资产。

白帽/道德黑客

白帽或道德黑客是在系统所有者的同意和知情的情况下，运用其在计算机系统方面的专业知识来识别和暴露信息安全协议中的漏洞的个人。

与从事恶意活动的黑帽黑客不同，白帽黑客通常作为渗透测试人员提供服务，模拟对信息系统的攻击，以帮助组织加强安全防御。这些专业人员利用他们的技术技能来发现计算机网络、软件应用程序和其他数字基础设施中的弱点，以提高他们正在测试的系统的安全性。

黑帽黑客

黑帽黑客是在系统所有者不知情或未同意的情况下利用计算机系统中的漏洞谋取个人利益或恶意意图的个人。这些人参与犯罪活动，例如窃取机密信息、传播恶意软件，甚至勒索个人或组织以获取经济利益。黑帽黑客是网络犯罪广泛扩散的幕后推手，对全球网络安全构成重大威胁。

黑帽一词的灵感来自于西方电影，其中的反派经常戴着黑帽子来象征他们的邪恶意图。黑帽黑客使用各种技术，包括社会工程、网络钓鱼和暴力攻击，来获得对计算机系统的未经授权的访问。他们利用软件、硬件和人类行为的弱点来绕过安全措施并窃取敏感数据。

灰帽黑客

灰帽黑客是介于黑帽和白帽黑客之间的人。这些人通常会侵入计算机系统来识别漏洞，但他们的意图可能并不总是明确的。一些灰帽黑客可能会将他们发现的漏洞通知系统所有者，并提出付费修复。其他灰帽黑客可能会将他们的发现发布到互联网上以展示他们的技能或迫使供应商修复软件包。但需要注意的是，未经信息系统所有者许可的黑客行为是非法的，可能会导致严重后果。即使是善意的灰帽黑客，如果没有明确的许可来测试或评估系统的安全性，也可能会受到法律诉讼。

蓝帽黑客

蓝帽黑客是受软件或硬件供应商邀请来测试其产品漏洞的信息安全专业人员。蓝帽黑客与白帽黑客相似，他们致力于提高计算机系统的安全性并防范网络威胁。他们的测试涉及识别攻击者可能利用的潜在安全缺陷或错误。通过在产品发布之前发现这些漏洞，供应商可以解决这些漏洞并提高其产品的安全性。

脚本小子

脚本小子是使用其他更熟练的黑客开发的自动黑客工具和脚本来攻击计算机系统的个人。这些人通常缺乏创建工具或开发复杂攻击方法的知识和经验，因此他们依赖预先存在的脚本和工具来执行攻击。这种对工具的访问意味着即使是技术知识最少的个人也可以对计算机系统发起攻击。脚本小子经常会制造混乱。然而，他们缺乏知识和经验往往会导致意外损坏，甚至危及他们的计算机系统。

经验丰富的黑客知道如何避免被发现并掩盖自己的踪迹，从而使执法部门难以逮捕他们。另一方面，脚本小子可能更容易被追踪，因为他们缺乏这种技能。虽然脚本小子可能会威胁计算机系统，但他们缺乏技能和知识限制了他们进行复杂攻击的能力。

然而，它们的影响仍然很大。

黑客活动主义者

黑客行动主义者是指利用计算机安全知识通过攻击他们认为对社会构成威胁的组织来促进政治或社会议程的个人。虽然黑客活动主义者可能使用与黑帽黑客类似的技术，但他们的动机和目标不同。

黑客活动分子经常对他们认为从事不道德或非法活动的政府机构、公司或其他组织发起网络攻击。他们可能会破坏网站、窃取机密信息或使用其他网络破坏行为来引起人们对其事业的关注。

民族国家攻击者

民族国家攻击者是指由政府资助对其他国家、组织或个人进行网络攻击的个人或团体。这些对手技术精湛，能够获得重要资源，包括先进技术和资金。国家活动最好被描述为网络战，其中攻击者有动机对另一个国家或目标进行间谍活动和破坏。民族国家行为者可能会寻求损害军事目标、关键基础设施、政治组织或私营部门/非营利知识产权。他们的动机可能包括政治或经济利益、国家安全担忧甚至恐怖主义行为。

民族国家攻击者经常使用复杂和先进的技术，包括零日漏洞、社会工程和APT，来渗透目标的计算机系统。民族国家攻击对全球网络安全构成重大威胁，并可能产生深远的后果。因此，政府、组织和个人必须对这些威胁保持警惕，并采取适当措施保护自己。

渗透测试

渗透测试是对信息系统攻击的授权模拟，旨在识别黑帽黑客可能利用的漏洞。它是信息安全计划的重要组成部分，可帮助组织发现无法通过自动化手段轻松检测到的隐藏漏洞。

虽然许多组织实施漏洞评估工具，但渗透测试至关重要，因为它允许信息安全专业人员系统地侵入信息系统，即使漏洞扫描程序没有发现任何漏洞。渗透测试过程需要高技能和经验丰富的专业人员利用他们的信息安全知识来评估系统的安全状况。

白帽或道德黑客进行的渗透测试可能包括社会工程活动。这些活动可能包括从垃圾桶和垃圾箱收集垃圾以查找密码和知识产权，冒充服务台技术人员检索用户密码，以及发起网络钓鱼和鱼叉式网络钓鱼等社会工程攻击。渗透测试还可以包括基于Web的应用程序攻击、漏洞扫描、端口扫描等。渗透测试过程旨在模拟现实世界的攻击并识别攻击者可能利用的漏洞来获得对系统或敏感数据的未经授权的访问。

渗透测试的结果用于向信息安全计划利益相关者（包括高管、IT专业人员和开发人员）通报已识别的漏洞，并提供如何修复这些漏洞的建议。

组织可以通过在漏洞被利用之前识别和解决漏洞来改善其整体安全状况并降低网络攻击成功的风险。组织应考虑将渗透测试纳入其整体测试方法中，以确保其系统和数据的安全。

网络犯罪

网络犯罪是指涉及计算机的任何犯罪活动，无论是作为犯罪目标还是作为实施犯罪的工具。网络犯罪可以由个人和有组织的犯罪团伙实施，对全球经济产生重大影响。网络犯罪威胁正在以惊人的速度增加。

据Cybersecurity Ventures称，到2023年，网络犯罪造成的损失预计将达到8万亿美元，到2025年预计将增长到10.5万亿美元。这些惊人的数字凸显了组织和个人迫切需要采取主动措施来保护自己免受网络威胁。最常见的网络犯罪类型之一是欺诈和金融犯罪。

这些犯罪涉及歪曲事实，意图操纵另一个个人或组织从事或不从事导致经济损失的活动。计算机欺诈可以通过多种方式发生，包括更改、压制、破坏或泄露电子数据。

计算机欺诈的形式包括身份盗窃、勒索和银行欺诈。网络勒索是网络犯罪的另一种形式，当组织受到攻击者反复攻击并索要金钱来阻止攻击时，就会发生网络勒索。这些犯罪可能采取拒绝服务(DoS)攻击或勒索软件攻击的形式，其中攻击者阻止对系统或数据的访问，直到受害者支付赎金。网络犯罪是一种不断演变的威胁，需要采取协调一致的多层次方法进行打击。组织必须采取措施保护其系统和数据。

漏洞利用

漏洞利用是攻击者用来未经授权访问信息系统的主要工具之一。这些技术通过利用定制软件、操作系统命令和开源工具来利用信息系统中的漏洞。

Web应用程序特别容易受到攻击，开放Web应用程序安全项目(OWASP)等组织列出了许多明确定义的漏洞。多年来，OWASP一直保留着最普遍和最具破坏性的Web应用程序漏洞的前10名列表，为开发人员了解和缓解应用程序中的这些问题提供了宝贵的资源。

访问OWASP网站可以提供丰富的信息，可用于增强您的信息和应用程序安全程序的安全性。通过了解常见的漏洞和漏洞，开发人员和IT专业人员可以采取主动措施来防止攻击并防止未经授权的访问敏感信息。

2021年OWASP Top 10漏洞如下：

损坏的访问控制：损坏的访问控制是当应用程序未能正确地对允许经过身份验证的用户执行的操作实施限制时发生的漏洞。此缺陷可能允许攻击者访问未经授权的功能和敏感数据，例如其他用户的帐户和机密文件，或修改其他用户的数据并更改访问权限。攻击者可以利用这些弱点来访问他们未经授权的信息或采取行动，从而给受影响的组织或个人带来严重后果。

开发人员必须实施强大的访问控制机制，以防止未经授权的访问并确保敏感信息的安全。

加密故障：加密故障涵盖与加密相关的各种问题。此类别包括使用弱或过时的加密算法、不安全的密钥管理实践、以明文形式存储敏感信息以及不正确地实施SSL/TLS协议。加密失败可能会导致严重的安全漏洞，并危及敏感信息的机密性、完整性和可用性。为了减轻这些风险，建议开发人员遵循加密技术的最佳实践，包括使用强大的加密算法、安全密钥管理和正确的SSL/TLS实施。

注入：注入缺陷是指解释器（例如 SQL、OS、XXE 或 LDAP）接收不可信数据作为命令或查询的一部分时出现的漏洞。攻击者可以通过发送恶意数据来利用这些弱点，这些数据可以欺骗解释器执行非预期的命令或在未经适当授权的情况下访问数据。为了防止这些攻击，开发人员必须使用参数化查询和输入验证来确保解释器仅处理可信数据。其他策略，例如对象关系映射工具和特殊字符转义，也可以有效防止注入漏洞。

不安全设计：不安全设计涵盖了与软件设计相关的各种问题。此类别包括薄弱或无效的访问控制机制、缺乏加密或散列、不安全的身份验证和会话管理以及糟糕的错误处理和日志记录。开发人员必须遵循安全设计原则，以防止出现强访问控制机制、安全身份验证和会话管理以及正确的错误处理和日志记录等问题。

开发人员还应该定期检查他们的软件设计，以识别和解决任何潜在的漏洞。

安全配置错误：安全配置错误凸显了为所有系统组件（包括应用程序、框架、应用程序服务器、Web服务器、数据库服务器和平台）定义和部署安全配置的重要性。应该为每个组件定义、实施和维护安全设置，因为默认配置通常是不安全的。建立和维护安全配置至关重要，以最大限度地降低安全漏洞的风险，保护敏感信息免遭未经授权的访问或数据盗窃，并防止系统受到损害。

易受攻击和过时的组件：易受攻击和过时的组件类别强调了与应用程序以相同权限运行的库、框架和其他软件模块等组件所带来的风险。如果易受攻击的组件被利用，攻击者可能会造成严重的数据丢失或服务器接管。使用具有已知漏洞的组件的应用程序和API可能会削弱应用程序的防御能力，并允许各种类型的攻击造成严重后果。为了防止这些漏洞，必须将组件更新到经过适当测试和审查的最新版本。开发人员还应该有一个监控和管理组件更新和漏洞的流程。

识别和认证失败：识别和认证失败是由于与认证和会话管理相关的应用功能的错误实现而带来的风险。如果身份验证和会话管理功能实施不正确，攻击者就可以利用漏洞来破坏密码、密钥或会话令牌。这种错误配置可能使攻击者能够暂时或永久冒用其他用户的身份，并访问敏感信息或执行未经授权的操作。为了防止这些漏洞，开发人员应遵循与身份验证和会话管理相关的最佳实践，包括使用强且唯一的密码、安全会话管理以及正确处理敏感数据。

实施多重身份验证并使用安全通信协议还有助于防止身份验证和识别失败。

软件和数据完整性故障：由于缺乏适当的验证、输入清理或其他安全措施，可能会发生软件和数据完整性故障。软件和数据完整性故障可能会给应用程序带来严重后果。此类故障可能由于编码、错误或配置错误等因素而发生。

必须实施适当的输入验证和清理，并确保软件组件是最新的，并且应用程序和数据得到充分备份。安全测试，包括模糊测试和其他自动化工具，还可以帮助识别漏洞并防止软件和数据完整性故障。

安全日志记录和监控失败：安全日志记录和监控失败可能会导致检测和响应安全事件的困难以及缺乏对系统活动的可见性。此漏洞可使攻击者能够在未检测到的情况下实施攻击，并在系统上停留较长时间。为了防止这些漏洞，开发人员应确保正确实现日志记录和监控功能，并安全存储日志并防止篡改。组织还应该制定适当的流程来定期审查和分析日志，以及响应事件并在必要时进行取证分析。

服务器端请求伪造：当攻击者可以绕过任何安全措施从目标应用程序内向服务器或服务发送请求时，就会出现服务器端请求伪造漏洞。为了防止这些漏洞，开发人员应确保正确实施输入验证，并且请求只能发送到受信任的外部。

黑客技术

随着技术的进步，黑客正在寻找新的、更具创造性的方法来破坏计算机系统和网络。从利用软件漏洞到诱骗用户泄露敏感信息，黑客使用多种技术来实施攻击。了解这些技术以及可以采取哪些措施来预防它们至关重要。本节将探讨常见的黑客技术。

密码破解

密码破解是攻击者用来获得对系统或应用程序的未经授权的访问的技术。该技术涉及使用专门的软件来恢复通过网络传输、存储在密码数据库中或在应用程序软件中实现的密码。攻击者经常使用自动猜测方法（例如字典攻击）来破解密码。字典攻击涉及尝试常见密码（例如密码或 123456）来猜测正确的密码。其他密码破解方法包括暴力攻击，攻击者尝试所有可能的字符组合，直到找到有效的密码。

使用难以猜测的强而复杂的密码对于防止密码破解攻击非常重要。应定期更改密码，并且不应在多个帐户中重复使用。多重身份验证和密码黑名单等其他措施也有助于防止密码破解攻击。

现在让我们看看一些可以使用的密码破解工具：

Brutus: http://sectools.org/tool/brutusRainbowCrack: http://sectools.org/tool/rainbowcrackWfuzz: http://sectools.org/tool/wfuzzCain and Abel: http://sectools.org/tool/cainJohn the Ripper: http://sectools.org/tool/johnTHC Hydra: http://sectools.org/tool/hydraMedusa: http://sectools.org/tool/medusaOphcrack: http://sectools.org/tool/ophcrackL0phtCrack: http://sectools.org/tool/l0phtcrackAircrack-NG: https://www.aircrack-ng.org/downloads.xhtml

漏洞评估

漏洞评估扫描器是用于识别网络或信息系统中潜在弱点的工具。这些扫描器使用专门的软件和已知漏洞的数据库来扫描网络并识别任何匹配项。一旦发现漏洞，该工具就会创建一个列表，将漏洞与特定的IP地址联系起来，使管理员更容易找到并修复问题。

对于管理员来说，漏洞评估扫描器是维护网络和系统安全的重要工具。通过定期扫描漏洞并及时解决它们，管理员可以降低成功攻击的风险并保护敏感数据。然而，攻击者也可以使用漏洞评估扫描仪作为识别潜在目标的手段。通过扫描网络或系统中的漏洞，攻击者可以识别可用于获得未经授权的访问或对系统造成损坏的弱点。通过主动、负责任地使用漏洞评估扫描仪，管理员可以增强网络和系统的安全性，同时最大限度地降低成功攻击的风险。

手动漏洞评估根据黑客的知识、经验和直觉来测试信息系统，以识别自动扫描程序可能无法检测到的潜在弱点和漏洞。

与使用已知漏洞的预定义数据库的自动扫描仪不同，手动测试依赖于黑客的创造力和独创性来发现攻击者可以利用的漏洞。虽然自动扫描器可以帮助识别常见漏洞，但它们可能无法检测经验丰富的黑客可能利用的更复杂和不太知名的漏洞。

以下是我们可以用来扫描漏洞评估的一些工具：

OpenVAS: http://www.openvas.org/Burp Suite: https://portswigger.net/burp/freedownload/W3af: http://w3af.org/NMAP: https://nmap.org/Qualys Community Edition: https://www.qualys.com/communityedition/

击键记录

击键记录是攻击者用来捕获在计算机上输入的所有击键的技术。有两种类型的击键记录器，即基于软件的击键记录器和基于硬件的击键记录器。基于软件的键盘记录器通过手动和自动机制安装在计算机上，可以分为基于管理程序和基于内核的键盘记录器。基于管理程序的键盘记录器在虚拟化基础设施的管理程序级别运行。由于它位于操作系统下方，因此可以避免防病毒工具的检测。另一方面，基于内核的键盘记录器作为rootkit在操作系统的内核模式下运行，并且由于无法访问操作系统层，因此也可以避免被防病毒工具检测到。

顾名思义，基于硬件的键盘记录器物理连接到计算机系统以捕获击键。基于硬件的键盘记录器有两种类型：键盘硬件和无线键盘嗅探器。基于键盘硬件的按键记录器连接在计算机和键盘之间。它具有内部存储器，可以拦截从键盘到计算机的击键。这种类型的键盘记录器需要对计算机进行物理访问。无线键盘嗅探器是一种专用的硬件和软件设备可以拦截无线键盘与其所连接的计算机之间发送的击键。这种类型的键盘记录器要求攻击者靠近被攻击的计算机。

Rootkit

Rootkit是黑客为了获得操作系统控制权而安装的一种恶意软件。术语root是指rootkit为攻击者提供对系统的root级别访问权限，从而允许他们执行各种恶意活动。众所周知，Rootkit很难检测，因为它们被设计为秘密运行，并且对操作系统和可能安装的任何安全软件都是隐藏的。Rootkit通常用于执行各种恶意活动。他们通过替换或修改关键操作系统软件（例如设备驱动程序或系统库）来隐藏其存在并逃避检测来实现这一目标。下图描述了感染Rootkit的计算机。

Rootkit有多种类型，包括内核模式、用户模式和固件Rootkit。内核模式rootkit在操作系统的最低级别运行，允许它们拦截系统调用并向操作系统和任何安全软件隐藏其存在。另一方面，用户模式Rootkit在操作系统的更高级别上运行，更容易检测，但仍然可以向许多安全工具隐藏其存在。最后，固件rootkit存储在设备的固件中，例如BIOS或网卡，并且特别难以检测和删除。

欺骗

黑客通过模仿另一个系统或人来使用欺骗来欺骗用户。在欺骗攻击中，黑客可能会安装软件或创建看似受信任的客户端系统的系统，以获得对后端服务器环境的未经授权的访问。或者，黑客可能冒充底层信息系统基础设施来欺骗毫无戒心的用户共享敏感信息或密码。下图提供了欺骗攻击的示例。

欺骗攻击可以采取多种形式，包括电子邮件、IP地址和来电显示。在电子邮件欺骗中，攻击者伪造电子邮件中的发件人地址，使其看起来像是来自可信来源。在IP地址欺骗中，攻击者更改IP数据包中的源IP地址，使其看起来像是来自可信来源。在来电显示欺骗中，攻击者操纵收件人来电显示上显示的电话号码，使呼叫看起来像是来自可信来源。欺骗攻击可以获取敏感的公司信息。

社会工程学

社会工程是一种不依赖技术工具，而是操纵人类心理来未经授权访问敏感信息或系统的黑客技术。它涉及欺骗和说服，利用个人信任他人的自然倾向。社会工程攻击者可以使用各种策略来收集敏感信息，例如网络钓鱼诈骗、借口、诱饵和水坑。下面描述了社会工程的生命周期。

借口

借口是一种社会工程攻击，攻击者创建虚假场景或借口来诱骗受害者泄露敏感信息。

攻击者通常会建立一种权威、信任或熟悉的地位，以使受害者感到更舒服并愿意分享信息。这种情况可能包括冒充受害者的公司或组织成员、值得信赖的供应商或合作伙伴，甚至是朋友或家人。

一个常见的借口示例是攻击者冒充受害者的IT部门成员。攻击者可能通过电子邮件、电话或亲自联系受害者，声称受害者的帐户或计算机系统存在问题。然后，他们可能会要求受害者提供用户名和密码来解决问题。受害者认为他们正在帮助解决合法问题，可能会愿意提供此信息。

然而，攻击者没有正当理由请求此信息，并利用它来未经授权地访问受害者的帐户或系统。有了这些信息，攻击者就可以进一步进入组织的信息系统，并可能造成损坏或窃取敏感信息。

借口攻击很难检测，因为攻击者可能会使用复杂的技术来创建令人信服的借口并与受害者建立信任。对于个人和组织来说，了解这些类型的攻击并建立验证敏感信息请求的协议至关重要。此验证可以包括验证请求者的身份、与主管或IT部门核实，或者在提供敏感信息之前要求进行额外的身份验证。

网络钓鱼

网络钓鱼是一种社会工程攻击，利用欺骗和技术诱骗用户提供登录凭据、信用卡号和个人数据等敏感信息。与每次针对个人的借口不同，网络钓鱼活动可以同时针对数百万用户，这使其成为黑客的一种非常有效的策略。

在网络钓鱼攻击中，攻击者通常会发送看似来自受信任来源（例如银行、在线零售商或社交媒体网站）的电子邮件。该电子邮件通常包含一条会产生紧迫感或警报的消息，例如警告用户的帐户已被盗用或请求更新其帐户信息。

电子邮件还可能包含引导用户点击的链接或附件。在链接的情况下，它将把用户带到一个虚假网站。该网站看似合法网站，但已被攻击者控制。虚假网站通常会提示用户输入登录凭据或其他敏感信息，然后攻击者会捕获这些信息。在某些情况下，网络钓鱼电子邮件还可能包含恶意附件，打开该附件后，会在用户的计算机或设备上安装恶意软件。

网络钓鱼攻击很难检测，因为电子邮件和虚假网站可能被设计得看起来非常令人信服。对于个人和组织来说，了解网络钓鱼攻击的迹象（例如可疑的电子邮件地址或 URL）并在响应之前验证任何敏感信息请求的合法性非常重要。这是网络钓鱼活动的示例。请注意，防御钓鱼邮件的道路上，道阻且长。人的安全意识，怎么强调都不为过。然而强大的思维惯性，行为习惯等很难更改。

鱼叉式网络钓鱼

鱼叉式网络钓鱼是一种针对性很强的网络钓鱼攻击，重点针对特定个人或群体，而不是像传统网络钓鱼活动那样发送大量电子邮件。在鱼叉式网络钓鱼攻击中，攻击者对受害者进行广泛的侦察，以收集个人详细信息，以使他们的攻击更有说服力。

与网络钓鱼活动通常使用发送给许多潜在受害者的通用消息不同，鱼叉式网络钓鱼电子邮件是针对单个受害者高度定制的。攻击者将使用收集到的个人详细信息来创建适合受害者兴趣、工作职位或个人关系的消息。

例如，攻击者可能会冒充高级管理人员向公司员工发送鱼叉式网络钓鱼电子邮件，并请求敏感的财务信息。该电子邮件可能包含攻击者从受害者的社交媒体资料或在线公共信息中收集到的有关最近公司项目或事件的详细信息，使电子邮件看起来更合法。

鱼叉式网络钓鱼攻击非常有效，因为攻击的定制性质使受害者更难以将其识别为欺诈行为。攻击者对细节和个性化的关注可以在受害者和攻击者之间建立信任感，使受害者更有可能提供所请求的信息。

打击网络钓鱼的意识培训

网络钓鱼攻击仍然对各种规模的组织构成重大威胁，因此必须采取有效的对策来应对这些攻击。最有效的对策是提高用户群体对网络钓鱼和鱼叉式网络钓鱼威胁的认识。

作为一名信息安全专业人员，很容易沾沾自喜并认为每个人都已经意识到网络钓鱼。然而，重要的是要记住，组织的其他部分有其专门的工作，可能不太熟悉风险。向所有组织成员（包括人力资源、财务、制造和其他部门的成员）传达网络钓鱼意识的重要性至关重要。

有多种方法可以进行培训并提高对网络钓鱼威胁的认识。一种实用的方法是将特定的网络钓鱼培训纳入您的年度信息安全培训中。如果您目前没有进行年度培训，那么开始这样做很重要。另一种方法是开发一个通过有针对性的通信（例如电子邮件和内部社交媒体）与整个用户群进行通信的周期。

您可以创建一个计划，其中使用多种通信来提供有针对性的网络钓鱼意识培训。进行网络钓鱼练习也是测试用户群网络钓鱼意识的有效方法。您可以利用自动化工具来测试您的用户群对网络钓鱼威胁的认识。这些工具应该允许您从用户目录导入用户群体，而不是手动将其输入到工具中。您还应该能够构建多个营销活动来同时针对不同的用户组。

此外，该工具应该允许您在培训过程中跟踪被利用的用户，以便为他们安排额外的培训。值得注意的是，如果用户确定需要额外培训，则不应受到负面对待 这个过程应该是积极的，用户应该感觉他们正在学习新技能而不是受到谴责。通过实施这些培训和意识策略，您可以帮助保护您的组织免受网络钓鱼攻击的破坏性后果。

水坑攻击

Water-holing利用组织内特定用户或组经常使用的受信任网站中的漏洞。为了执行水坑攻击，攻击者首先进行侦察以识别目标用户经常访问的网站。然后，攻击者可能会通过利用网站代码中的漏洞或破坏网站所依赖的第三方服务来尝试破坏受信任的网站。

一旦网站遭到破坏，它就可以用作在毫无戒心的用户计算机上安装恶意软件的平台。

攻击者可能会等待用户访问受感染的网站，也可能使用鱼叉式网络钓鱼电子邮件来引诱用户访问该网站。鱼叉式网络钓鱼电子邮件可能被设计为看起来像是来自可信来源，或者包含指向看起来像真实邮件的虚假登录页面的链接。

水坑攻击可能特别有效，因为它们利用了用户对熟悉网站的信任。它们也可能难以检测，因为攻击来自受信任的网站，而不是可疑或未知的来源。

诱饵

诱饵使用物理介质（例如 DVD 或 USB 驱动器）来诱使用户将驱动器插入计算机。诱饵可能伪装成免费软件或音乐下载、优惠券或折扣优惠或其他诱人的内容。许多用户在没有正确验证其来源或内容的情况下将可移动媒体插入计算机。抵御诱饵攻击的最佳防御方法是培训用户有关风险以及如何避免风险的信息。

培训包括确保用户了解不要将可移动媒体插入计算机的重要性，除非该媒体来自可信来源，例如雇主或信誉良好的供应商。

堵住信息系统漏洞

漏洞是指一项技术（例如工作站、服务器、路由器、软件、云或流程）中的弱点，它破坏了系统提供威胁行为者将使用的足够安全保证的能力。正确评估漏洞必须考虑三个方面：

首先，必须确定信息系统对特定缺陷的敏感性。此审查涉及确定相关技术或软件的特定版本是否符合漏洞存在的标准。

接下来，必须确定攻击者是否可以访问信息系统以利用该缺陷。根据技术和位置，攻击者可能无法立即访问系统。

此信息有助于对与企业漏洞管理相关的漏洞进行优先排序。

最后，必须确定是否存在足够的手段来利用该缺陷。如果给定漏洞存在活跃的利用，则应将其视为需要立即解决的高优先级漏洞。

在仔细检查与特定信息系统相关的漏洞特征后，信息安全专业人员可以确定给定漏洞的攻击面，并确定企业应如何缓解该漏洞的优先级。信息系统中随时可能存在数百个漏洞。因此，信息安全专业人员必须能够优先考虑必须立即解决的关键漏洞，而随着时间的推移，其他漏洞可以更加系统、合理地管理。

漏洞管理

必须了解，在信息安全方面需要全体人员全力响应的许多情况往往是企业信息系统管理不善的结果。如果组织的信息系统不定期修补，可能会产生必须立即解决的严重漏洞。漏洞管理是指识别并解决组织信息系统中的漏洞。

该过程涉及几个步骤：

首先，组织必须识别其特定信息系统中的漏洞。这种识别可以通过企业漏洞管理工具（例如Nessus）以及随时了解最新的信息安全博客并订阅他们所使用的供应商的安全网站来进行。

其次，组织必须对漏洞进行分类并确定它们给组织带来的风险级别。信息安全专业人员必须有效地传达这种风险，并确定是否需要全力以赴或有计划地处理漏洞。

第三，组织必须针对适用的漏洞研究、规划和部署适当的缓解措施。漏洞缓解可能涉及多项任务。信息安全专业人员必须充分理解这些步骤，将其传达给利益相关者，并充分部署适当的对策来缓解漏洞。

最后，组织必须持续监控信息系统，以确保漏洞得到充分缓解。在漏洞缓解过程中使用漏洞评估工具将使组织能够持续评估其信息系统、跟踪进度并了解何时成功实现了目标。

总结

本章提供了对组织面临的信息安全威胁的基本了解。了解您的组织环境对此至关重要，因为它塑造了特定企业独特的漏洞和挑战。本章详细介绍了系统可能遇到的各种威胁，并讨论了黑客的世界，揭示了他们的技术和动机。本章讨论了解决信息系统漏洞以缓解这些挑战的重要性。

下一章将讨论规划和构建信息安全计划时所需的关键要素。

PUB DATA [前沿信安资讯阵地 / 2023.12.18]