通过了解黑客如何计划攻击来了解您的敌人。
如果你想阻止黑客,你必须知道黑客是如何思考、计划和执行的。了解黑客使用的策略以及他们认为最有价值的信息有助于确定网络安全投资和工作的优先级。在这里,我们概述了网络攻击的五个阶段,让我们深入了解您应该评估和优先考虑的网络安全策略。
黑客的价值
数据泄露的平均成本在美元到万美元之间,具体取决于您的研究来源。在医疗保健和金融/银行等受监管的行业,成本可能要高得多。在金融领域,每条记录的成本可能是美元,而在医疗保健领域,成本是每条记录美元的两倍,平均违规规模为25K。
破解第一阶段:研究和侦察
研究和侦察,也称为足迹,是黑客开始研究其目标以获取尽可能多的信息的准备阶段。他们的总体目标是更好地了解目标是谁,他们位于何处,目标拥有哪些类型的信息值得窃取,他们将如何以及何时进行攻击,以及目标拥有的防御机制类型.
从广义上讲,社区将侦察类型分为两类:被动和主动。
被动侦察
被动侦察收集开源信息,而不直接与目标接触。攻击者使用免费可用的资源来回答上述问题。有用的信息包括有关您的组织使用的系统和应用程序以及员工姓名的数据。
对黑客有用的开源信息类型
公共记录:黑客使用公共记录(如税务记录)来了解有关目标组织内部运作的更多信息。例如,上市公司需要完成一份10-K年度报告,其中提供了大量信息,如风险因素、战略合作伙伴关系、收购和合并以及财务信息。新闻稿、公司和年度报告也很有用。
职位发布:职位发布提供有关公司使用的系统和应用程序的基本信息。
电子邮件收集:电子邮件收集使用多种收集方法的组合来收集电子邮件地址,包括非法暗网购买、网络爬虫、目录攻击,或利用常用的电子邮件模板(Jane.Doe[
]targetorganizationname)。网络钓鱼活动需要大型电子邮件列表才能有效,也可用于破解登录凭据。搜索引擎查询:雅虎、谷歌和必应部署强大的网络爬虫来索引互联网。黑客通过使用特定的关键字词、短语和标点符号来利用这些广泛的网络爬虫来查找包含受保护的登录屏幕、用户名和密码列表等敏感信息的页面。这些物联网设备可能包括相机、冰箱、服务器或网络摄像头。由于物联网设备本质上是开放的,因此它们提供了另一种攻击媒介。
社交媒体:Facebook、Instagram、Twitter和LinkedIn是有关员工、他们的角色的信息来源,并提供有关他们日常习惯的线索。
域名搜索/WHOIS查询:用于收集域注册信息和IP地址。
主动侦察
主动侦察是指攻击者与目标组织及其人员或系统进行接触。通常,这将采用端口或网络扫描的形式来揭示目标的网络架构、防火墙、入侵检测程序或其他阻止进入的安全机制。这种直接的方法可以为开发攻击向量提供有用的信息,包括操作系统、应用程序和组织的特定配置。
网络扫描:攻击者通常开始的地方。目标是通过映射各种主机、服务器、路由器和防火墙的拓扑来揭示数据如何流经网络。攻击者试图识别活动主机(即响应其请求的机器)并将它们绑定到一个IP地址。这个过程将帮助他们缩小端口扫描的目标机器。
端口扫描:检测目标主机端口上可用的服务。有很多方法可以实现这一点,但扫描的最初目的是确定端口是打开、关闭还是无响应。如果端口打开,端口的响应将包含有助于攻击者识别端口上托管的特定服务的信息——应用程序名称和版本、操作系统名称和版本。系统名称和配置版本控制将为攻击者提供研究特定漏洞或开发新漏洞所需的信息。它对网络和端口扫描的多功能性使其能够识别网络上的主机;服务(应用程序名称和版本);操作系统版本;以及使用的数据包、过滤器和防火墙的类型。通常,黑客会针对目标拥有的系统或IP范围启动扫描。
破解第二阶段:武器化
一旦侦察工作完成,威胁行为者将开发技术来穿透目标的防御,让黑客能够访问他们想要的信息。执行此操作的方法有很大差异。他们的选择在很大程度上取决于黑客的技能以及他们在侦察阶段发现的信息。现在是时候了网络钓鱼起草电子邮件,创建和发布虚假网站(又名水坑),开发或获取恶意软件。研究并准备好软件或硬件漏洞,然后攻击开始。
破解第三阶段:获得访问权限
网络的入口点可能会有所不同。可能的弱点包括员工通过单击附件并下载恶意软件而陷入网络钓鱼电子邮件。其他漏洞包括当员工被说服共享登录凭据等相关数据或您的系统之一未正确配置或修补时,以及攻击者使用已知漏洞来规避您公司的防御时。攻击者可能通过高级搜索引擎查询和利用从社交媒体收集的信息以及密码破解软件在开放网络上找到一个登录页面来猜测用户名和密码。它们现在位于您的网络中。
破解第四阶段:利用
一旦攻击者可以访问系统,他或她的两个目标就是提升权限和保持访问权限。升级的权限使黑客能够对系统实施更改,这些更改通常被典型用户或应用程序阻止(例如安装恶意软件)。一旦获得系统访问权限,黑客就会使用多种方法来提升权限,包括:
使用有效账户:如果在侦察阶段,攻击者成功破坏了员工的登录凭据,他们可以利用该信息访问管理帐户。个人倾向于重复使用密码或拥有遵循可预测公式的易于猜测的密码和用户名。
操纵访问令牌:这是Windows机器管理和强制执行对单个进程的访问控制的方式。恶意行为者使用多种方法来创建、复制或滥用现有令牌,从而允许诸如下载软件之类的受限操作。
利用WindowsUAC系统:Windows的用户账户控制(UAC)系统通过一组默认权限管理对单个软件系统的访问。必须由授权管理员帐户请求和授予其他访问权限。该系统存在安全漏洞,有时应用程序可以提升权限,或以提升的权限执行命令,绕过UAC控制系统。黑客利用此漏洞运行漏洞并执行文件操作,即使在受保护的目录中也是如此。
一旦黑客可以访问环境,他们将尝试保持对他或她渗透的系统的访问。运行特权命令的能力允许黑客使用各种方法保持他们的存在,包括创建新用户帐户、编辑防火墙设置、打开远程桌面访问或通过rootkit或其他恶意文件安装后门。
渗透黑客阶段五:渗透
一旦达到目标,熟练的黑客就会掩盖他们的踪迹——称为渗漏。这很重要,因为检测将使未来的工作变得更加困难,并且很可能涉及执法。通常,黑客首先卸载攻击期间使用的程序并删除任何创建的文件夹。然后,攻击者可以修改、编辑、破坏或删除捕获任何活动的审计日志。
转载请注明:http://www.0431gb208.com/sjszyzl/8413.html
