網絡攻擊(英文名:cyberattack),也叫賽博攻擊,是指利用人為設計的特殊計算機程序或計算機病毒以及其他手段,削弱、破壞或者摧毀目標計算機網絡系統,或降低其使用效能的各種措施和行動。
在計算機和計算機網絡中,破壞、泄露、修改、使軟件或服務失去功能、在沒有得到授權的情況下偷取或訪問任何計算機的數據,都被視為對計算機和計算機網絡的攻擊。攻擊類型有主動攻擊和被動攻擊。攻擊手段主要是利用漏洞和安全缺陷進行破壞。攻擊方式:有遠程攻擊、偽遠程攻擊和本地攻擊。攻擊步驟:偵查與信息收集階段、掃描與漏洞發現階段、攻擊與權限獲取階段、維持與后門植入階段、痕跡清除與隱匿階段。應對策略:dos和DDoS防御、流氓軟件防御、Web攻擊防護、SQL注入防護、XSS防護、密碼攻擊防護、供應鏈攻擊防護、內部威脅防御、中間人攻擊防護、網絡釣魚攻擊防御、DNS欺騙防護、基于身份的攻擊防護、路過式攻擊防護、物聯網防御等。
簡介
近年來,網絡攻擊手段不斷升級,國家面臨的網絡安全形勢日益嚴峻復雜。一是個人信息和重要數據泄露風險頻發。販賣個人信息和重要數據獲利成為黑產的主要手段之一,一些聯網數據庫存在未授權訪問或弱口令漏洞,容易導致姓名、身份證號、手機號等數據泄露。二是勒索軟件攻擊呈持續增長趨勢。勒索攻擊的主流威脅形態已經演變成“勒索軟件即服務(RaaS)+定向攻擊”收取高額贖金的模式,制造、醫療、金融、建筑、能源和公共管理等行業頻繁成為勒索攻擊的目標。2024年全球公開披露的勒索軟件攻擊事件超過5700起,中國某金融機構駐外子公司被勒索組織Hunters攻擊,泄露數據量達6.6TB。三是網絡安全漏洞風險依然嚴峻。2024年,國家信息安全漏洞共享平臺(CNVD)共收錄通用軟硬件漏洞1.8萬個,其中高危漏洞占比達46.4%。“微軟藍屏”事件雖然并非安全漏洞,但也導致全球超過850萬臺設備運行故障,造成巨大經濟損失。隨著大數據、云計算、人工智能等新技術的廣泛應用,網絡安全技術的應用場景也越來越廣泛,勢必也將引入新的安全風險。
定義
網絡攻擊是指任何非授權而進入或試圖進入他人計算機網絡的行為,是人侵者實現人侵目的所采取的技術手段和方法。這種行為包括對整個網絡的攻擊,也包括對網絡中的服務器、防火墻、路由器等單個節點的攻擊,還包括對節點上運行的某一個應用系統或應用軟件的攻擊。
網絡攻擊的類型
網絡攻擊是指利用人為設計的特殊計算機程序或計算機病毒以及其他手段,削弱、破壞或者摧毀目標計算機網絡系統,或降低其使用效能的各種措施和行動。有的網絡攻擊利用信息系統配置、協議或程序的脆弱性,有的則通過強力攻擊致使信息系統狀態異常,兩者最終都會造成系統損失或帶來負面的社會影響。對于計算機和計算機網絡來說,破壞、揭露、修改、使軟件或服務失去功能,在沒有得到授權的情況下竊取或訪問任何一臺計算機的數據,都會被視為對計算機和計算機網絡的攻擊。根據攻擊實現的方式不同,網絡攻擊可以分為主動攻擊和被動攻擊兩種類型。
主動攻擊
主動攻擊是指攻擊者有攻擊目的,對目標系統進行未經授權的信息收集、漏洞利用、竊取數據等行為。例如:攻擊可通過端口掃描獲取目標系統的相關服務,對此服務進行漏洞挖掘和利用,最后對目標系統進行遠程控制等。主動攻擊的實現方法比較多,如中斷、偽造、篡改、重放和重排、欺騙、偽裝、假冒等。主動攻擊針對信息的真實性、完整性和可用性特點,一般可以分為欺騙、篡改、中斷三種類型。
欺騙
欺騙是對信息真實性的挑戰,是指某個實體(人或者系統)被假冒或者偽裝成其他實體發出具有身份信息的數據信息,從而獲取一些合法用戶的權利和特權。欺騙主要用于身份認證、授權階段的攻擊,攻擊者獲得合法用戶的登錄憑據(用戶名、密碼、Cookie 等),假冒成合法用戶非法訪問資源或進行非法操作。例如:攻擊者通過“社會工程學”攻擊,獲得了管理員的賬號口令,之后登錄系統進行數據拷貝、數據刪除、預留后門等操作,這對信息系統造成了嚴重的威脅。
欺騙的本質是讓信息系統認為用戶提交的信息是真實的。常見的欺騙手段有假冒(聲稱自己是合法的)、偽裝(偽造成合法的樣子)和重放。為了防止被欺騙,信息系統往往需要強認證,同時也要保證通信兩端沒有第三方的介人,否則就可能被竊取登錄憑據。
篡改
篡改是針對信息完整性的挑戰,是指數據未經授權而被篡改,破壞了信息的原始性和真實性。篡改攻擊主要有修改、插入、刪除、更新、偽造、亂序等,最終形成虛假信息。在現在的信息系統中,信息是以數字化存儲的形式存在的,這使得信息被篡改的可能性要比紙質的信息更高。因此,篡改在網絡攻擊中是較常見的,同時也是危害較大的一種攻擊類型。
有時算改會失敗,比如,篡改后被系統發現時,系統會及時調整安全策略,對篡改結果進行恢復。典型的如網頁防篡改設備,在發現頁面被篡改后,系統會自動刪除篡改文件,再用未被篡改的文件進行替換。篡改失敗也會帶來可用性問題,如將某數據修改后,系統出錯,無法正常運行,這就損害了系統的可用性。對于算改來說,成功需要兩個要素:一是不能被發現,二是篡改后可正常執行。
中斷
中斷主要是針對信息可用性的攻擊。可用性是指要確保數據和系統隨時可用,系統訪問通道和身份驗證機制等正常工作。也就是說,無論什么時候,只要得到授權的實體需要,信息系統就必須是可用的,不能拒絕服務。中斷攻擊主要通過破壞系統的硬件、軟件達到拒絕服務的目的,如拒絕服務攻擊、數據刪除、勒索病毒,此外還包括自然災害(火災、洪水、地震、雷擊等)。
被動攻擊
被動攻擊的本質是在傳輸中進行監聽或者監視,目的是從傳輸中獲得信息。被動攻擊只威脅數據的機密性,通常難以被發現或被檢測到,因為它們并不會使數據產生任何變化。常見的被動攻擊主要有網絡竊聽與網絡流量分析攻擊兩種方式。
網絡竊聽
網絡竊聽是一種從通信媒介中收集報文信息的活動。作為一個有效的網絡用戶,會受到限制,只能看到本系統相關的信息。然而,若借助合適的工具(以及來自組織的授權),就可以看到所有途經本機網絡接口的數據。借助Wireshark和NetWitness的嗅探工具以及專用的竊聽工具,如T-Sight、ZedAtackProxy(ZAP)和Cain&Abel等,網絡中的所有信息都能呈現出來。一些工具只能顯示原始的網絡報文,而有些工具會重組出原始數據,并在顯示器上實時展示出來。
流量分析
流量分析攻擊方式適用于一些特殊場合,例如敏感信息都是保密的,攻擊者雖然從截獲的消息中無法的到消息的真實內容,但攻擊者還能通過觀察這些數據報的模式,分析確定出通信雙方的位置、通信的次數及消息的長度,獲知相關的敏感信息,這種攻擊方式稱為流量分析。
網絡攻擊溯源技術
網絡攻擊溯源(Cyber Attacks Attribution)技術也稱威脅狩獵(ThreatHunting)技術,是根據已有網絡攻擊數據和痕跡,通過技術手段還原攻擊事件,主動追蹤網絡攻擊發起者、定位攻擊源,結合網絡取證和威脅情報分析,有針對性地緩解或反制網絡攻擊的一類技術。網絡攻擊溯源技術能夠幫助提前制定或事后實施應對措施,最終抵御和反制網絡攻擊,在網絡信息安全中具有舉足輕重的作用,并在網絡對抗中具有巨大的應用價值。
按照網絡攻擊溯源的行為性質可將其分為主動溯源和被動溯源。
主動溯源
主動溯源主要是在報文傳輸過程中,對網絡數據包添加標記信息、或者對網絡數據流添加水印信息,攻擊一旦發生,管理人員就能夠利用標記或水印信息去追蹤數據包傳輸路徑并確定攻擊源。其中,滲透測試溯源是一種重要的主動溯源方式,它通過模擬攻擊者的攻擊手法不斷測試評估計算機網絡系統的安全性,發現對手的弱點、技術缺陷或漏洞,對攻擊活動進行定位溯源。
被動溯源
被動溯源主要是使用工具分析網絡主機日志、網絡設備日志、網絡流量情況等信息,進行攻擊溯源。按照溯源所處時段,網絡攻擊溯源可分為事前溯源、事中溯源和事后溯源。
網絡攻擊溯源的4個迭代循環的步驟
產生假設
攻擊溯源從某種攻擊活動假設開始,可以通過網絡安全與人工智能算法自動生成攻擊活動假設。
數據調查
有效利用工具,通過關聯分析、可視化分析、統計分析、機器學習等融合分析不同的網絡安全數據,幫助安全分析人員更好地調整假設、發現網絡攻擊事件。
識別溯源
識別溯源的過程也是新的攻擊模式和攻擊戰略戰術發現過程。通過工具和技術揭示新的惡意行為模式和對手在攻擊過程中的戰略戰術。
自動化分析
為了更加高效地進行攻擊溯源分析,可以將溯源過程部分自動化。分析人員利用相關分析軟件得知潛在風險,跟蹤網絡可疑行為。四個步驟迭代效率越高,越能盡早發現新的威脅。
攻擊手段
獲取口令
口令(賬戶和密碼)是各系統的一道重要防線,也是攻擊者的重要目標。口令的攻擊有多種方式。通過網絡監聽技術得到用戶的口令,該方法只在共享式局域網中才易實現,但危害很大,可以監聽到該網段所有用戶的口令;在已知用戶賬戶名后,可以利用一些專門軟件破解用戶密碼,該方式不受網段限制,但破解所需時間可能很長,需要一遍遍嘗試登錄服務器。如果能夠獲得用戶系統的口令文件,通過口令破解軟件可以獲得用戶口令。該方式的破解完全是離線進行的,因此可以較容易地破解出用戶的口令。利用系統提供的默認賬戶和密碼。由于部分用戶沒有關閉默認賬戶,所以給了攻擊者以可乘之機。
特洛伊木馬
放置木馬特洛伊木馬程序可以直接侵入用戶的計算機并進行破壞,它常偽裝成工具程序或者游戲等誘使用戶打開。一旦用戶打開或者執行了這些程序,它們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在用戶的計算機中,并在計算機系統中隱藏一個可以在操作系統啟動時悄悄執行的程序。木馬一旦被植人攻擊主機后,一般會通過一定的方式把人侵主機的IP地址、木馬植人的端口等發送給攻擊者所在的客戶端,這樣攻擊者就可以刪除或修改文件格式化硬盤、上傳和下載文件、侵占系統資源、竊取內容、實施遠程控制(如控制鼠標、接管鍵盤),從而實現對目標計算機的控制。
電子郵件攻擊
電子郵件是互聯網上運用得十分廣泛的一種通信方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用,即電子郵件轟炸。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對于正常的工作反應緩慢,甚至癱瘓。另一種攻擊方式是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員的完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序。
網絡監聽
網絡監聽是主機的一種工作模式,在這種模式下,主機可以接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而攻擊者就能在兩端之間進行數據監聽。
利用黑客軟件進行攻擊
利用黑客軟件進行攻擊是互聯網上比較常見的一種攻擊手法。BackOrifice2000、冰河Emotet等都是比較著名的特洛伊木馬,它們可以非法地取得用戶計算機的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登錄已安裝好服務器端程序的計算機,這些服務器端程序都比較小,一般會附帶于某些軟件上。有可能當用戶下載了一個小游戲并運行時,黑客軟件的服務器端就安裝完成了,而且大部分黑客軟件的重生能力比較強,給用戶進行清除造成一定的麻煩。例如偽裝成TXT文件的木馬,表面看上去是一個TXT文本文件,但實際上卻是一個附帶黑客程序的可執行程序,另外有些程序也會偽裝成圖片和其他格式的文件。除了木馬程序,在網絡中比較容易獲得的其他黑客軟件有進行欺騙的軟件、拒絕服務攻擊軟件等。
安全漏洞攻擊
許多系統和軟件存在安全漏洞(bugs),其中一些是操作系統或應用軟件本身具有的,另一些則是使用的協議具有的。例如:攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊,破壞根目錄,從而獲得超級用戶的權限。又如,ICMP也經常被用于發動拒絕服務攻擊,它的具體手法就是向目的服務器發送大量的數據包,幾乎占用該服務器所有的網絡寬帶從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。現在常見的植物病原線蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過微軟的Outook軟件向眾多郵箱發出帶有病毒的郵件,從而使郵件服務器無法承擔如此龐大的數據處理量而癱瘓。對于個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網絡操作。
緩沖區溢出攻擊
由于很多系統在不檢查程序與緩沖之間變化的情況下,就接收任意長度的數據輸入,把溢出的數據放在堆棧里,系統還照常執行命令。這樣,攻擊者只要發送超出緩沖區所能處理長度的指令,系統便進入不穩定狀態。若攻擊者特別配置一串準備用作攻擊的字符,甚至可以訪問根目錄,從而擁有對整個網絡的絕對控制權。緩沖區溢出攻擊是屬于系統攻擊的手段,通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他指令,以達到攻擊的目的。當然,隨便往緩沖區中填東西并不能達到攻擊的目的。常見的手段是通過制造緩沖區溢出使程序運行一個用戶殼層,再通過shell執行其他命令。如果該程序具有root權限的話,攻擊者就可以對系統進行任意操作了。
高級持續性威脅
高級持續性威脅(Advanced Persistent Threat,APT)是黑客以竊取核心資料為目的,針對目標所發動的網絡攻擊和侵襲行為,是一種蓄謀已久的“惡意間諜威脅”。APT并非一種新的網絡攻擊方法和單一類型的網絡威脅,而是一種持續、復雜的網絡攻擊活動。APT通常作為地緣政治、情報活動意圖下的網絡間諜活動,用來實施長久性的情報刺探、收集和監控。實施APT攻擊的組織,通常具有國家、政府或情報機構背景,其擁有豐富的資源用于實施攻擊活動。APT攻擊行為往往經過長期的經營與策劃,并具備高度的隱蔽性。APT的攻擊手法在于隱匿自己,針對特定對象,長期有計劃和有組織地竊取數據。
網絡欺騙入侵
網絡欺騙入侵包括IP欺騙、ARP欺騙、DNS欺騙和WWW欺騙四種方式。其方法是偽造一個可信任地址的數據包獲取目標主機的信任,從而達到目的。
IP欺騙
就是通過偽造某臺主機的IP地址,使得某臺主機能夠偽裝成另外一臺主機,而這臺主機往往具有某種特權或被其他主機所信任。目前IP欺騙是黑客攻克防火墻系統最常用的一種方法,也是許多其他網絡攻擊手段的基礎。
ARP欺騙
主要是通過更改ARP 緩存的內容達到攻擊的目的的。由于ARPCache中存有IP與麥金塔地址的映射信息,若黑客更改了此信息,則發送到某一的數據包就會被發送到黑客指定的主機上。
DNS欺騙
是一種更改DNS服務器中主機名和正P地址映射表的技術。當黑客改變了DNS服務器上的映射表后,客戶機通過主機名請求瀏覽時,就會被引導到非法的服務器上。WWW 欺騙也是通過更改映射關系從而達到攻擊的目的的,它不是更改DNS映射,而是更改 Web 映射。當客戶機通過正地址瀏覽時,就會被引導到非法的 Web服務器上,打開非法的網頁。
拒絕服務攻擊
拒絕服務(Denial OfService,dos)攻擊是一種很簡單有效且具有破壞性的網絡攻擊方式。其主要目的是對網絡或服務器實施攻擊,使其不能向合法用戶提供正常的服務。DOS攻擊主要有兩種攻擊方式:網絡帶寬攻擊和連通性攻擊。網絡帶寬攻擊是用極大的通信量沖擊網絡,消耗盡所有可用的網絡帶寬資源,造成網絡系統癱瘓,即使是合法用戶的正常請求也不能通過,連通性攻擊是指用大量的連接請求沖擊主機,消耗盡該主機的系統資源,使系統暫時不能響應用戶的正常請求。盡管攻擊者不可能得到任何的好處,但拒絕服務攻擊會給合法用戶和站點的形象帶來較大的影響。
密碼竊取攻擊
密碼竊取攻擊是指黑客通過竊聽等方式在不安全的傳輸通道上截取正在傳輸的密碼信息或通過猜測甚至暴力破解法竊取合法用戶的賬戶和密碼。這是一種常見的而且行之有效的網絡攻擊手段。黑客通過這種手段,在獲取合法的用戶賬戶和密碼等信息后,就可成功登錄系統。
郵件炸彈
郵件炸彈是指反復收到大量無用的電子郵件。過多的郵件會加劇網絡的負擔,消耗大量的存空間,造成郵箱的溢出,使用戶不能再接收任何郵件,導致系統日志文件變得十分龐大,甚至造成文件系統溢出;同時,大量郵件的到來將消耗大量的處理時間,妨礙系統正常的處理活動。
病毒攻擊
病毒對計算機系統和網絡安全造成了極大的威脅,網絡為病毒快速的傳播提供了條件。毒破壞輕者是惡作劇,重者不僅破壞數據,使軟件的工作不正常或癱瘓,而且可能破壞硬件系統。
為了避免系統遭受病毒的攻擊,不僅應定期地對系統進行病毒掃描檢查,而且還須對病毒的入侵做好實時的監視,防止病毒進入系統,徹底避免病毒的攻擊。
過載攻擊
過載攻擊是使一個共享資源或者服務處理大量的請求,從而導致無法滿足其他用戶的請求。過載攻擊包括進程攻擊和磁盤攻擊等幾種方法。
后門攻擊
后門攻擊是指入侵者繞過日志,進入被入侵系統的過程。常見的后門有:調試后門、管理后門、惡意后門、Login后門、服務后門、文件系統后門、內核后門等。
節點攻擊
攻擊者在突破一臺主機后,往往以此主機作為根據地,攻擊其他主機。他們能使用網絡監聽方法,嘗試攻破同一網絡內的其他主機,也能通過IP欺騙和主機信任關系,攻擊其他主機。
按攻擊位置分類
遠程攻擊
指外部攻擊者通過各種手段,從該網絡以外的地方向該網絡或者該網絡內的系統發動攻擊。遠程攻擊的時間一般發生在目標系統當地時間的晚上或者凌晨時分,因為這個時間段網絡內的用戶和管理人員都很少,是網絡內最疏于防范安全警戒能力最低的時候。另外,遠程攻擊發起者一般不會用自己的機器直接發動攻擊,而是通過跳板的方式,對目標進行遷回攻擊,以迷惑系統管理員,防止暴露真實身份。
本地攻擊
指本單位的內部人員,通過所在的局域網或子網絡,向本單位的其他系統或上一層主干網絡發動的攻擊。在本機上進行非法越權訪問的行為也屬于本地攻擊。本地攻擊也可能是遠程攻擊以跳板的形式對本地系統發動的攻擊。
偽遠程攻擊
是指內部人員為了掩蓋攻擊者的身份,從本地獲取目標的一些必要信息后,從外部遠程發起攻擊過程,造成外部人侵的現象,從而使追查者誤以為攻擊者是來自外單位。
攻擊步驟
黑客的網絡攻擊階段可以根據不同的模型和描述有所差異,但通常都包括偵查與信息收集、掃描與漏洞發現、攻擊與權限獲取、維持與后門植入以及痕跡清除與隱匿等關鍵步驟。黑客隱藏自己會使用代理服務器、VPN、Tor網絡、匿名操作系統(Tails和whonix)、或社會工程學欺騙、誘導目標從事某些行為。匿名代表多層加密和多級代理。
偵查與信息收集階段
開放源情報收集:通過搜索引擎、社交媒體、論壇等公開渠道獲取目標的基本信息,如姓名、地址、手機號碼等。
被動信息收集:利用監聽、嗅探等技術手段,獲取目標的網絡活動信息,如IP地址、開放端口、操作系統版本等。
主動信息收集:通過漏洞掃描、端口掃描等技術手段,主動獲取目標主機的漏洞情況和開放端口信息。
掃描與漏洞發現階段
網絡掃描:使用工具如Nmap進行端口掃描、服務掃描等,以發現目標網絡中可能存在的弱點。
漏洞掃描器:利用漏洞掃描器(如OpenVAS、Nessus等)對目標系統進行全面掃描,識別已知的安全漏洞。
滲透測試:通過模擬黑客攻擊,對目標系統的安全性進行評估,發現潛在的安全隱患。
攻擊與權限獲取階段
漏洞利用:根據掃描階段發現的漏洞,利用相應的漏洞利用工具或編寫自定義的exploit代碼,對目標系統進行攻擊,以獲取系統權限。
密碼破解:使用暴力破解、字典攻擊等技術手段,嘗試破解目標系統的登錄密碼。
社會工程學:通過欺騙、偽裝等手段,誘騙目標用戶泄露敏感信息,如登錄憑證、驗證碼等。
維持與后門植入階段
后門植入:在目標系統中植入后門程序,如特洛伊木馬、遠程控制軟件等,以便在需要時能夠重新進入系統。
數據竊取:利用已獲取的權限,竊取目標系統中的敏感數據,如用戶信息、財務記錄等。
橫向移動:在目標網絡中橫向擴散,探測其他主機,以獲取更多的敏感信息和權限。
痕跡清除與隱匿階段
痕跡清除:刪除訪問日志、修改系統時間、干擾入侵檢測系統等,以清除入侵痕跡,避免被發現。
隱匿身份:使用代理服務器、VPN、偽造IP地址等技術手段,隱匿自己的真實身份和攻擊來源。
反取證技術:采用數據隱藏、加密通信、混淆代碼等技術,增加取證難度,防止被追蹤和追責。
攻擊工具
DoS和DDoS攻擊
分布式拒絕服務 (DDoS))攻擊類似于DoS攻擊,因為它同樣試圖耗盡系統的資源。DDoS攻擊由感染了流氓軟件并被黑客控制的大量主機發起。dos攻擊會使目標站點被非法請求淹沒。DoS和DDoS攻擊不同于其他類型的網絡攻擊,具體體現為:其他類型的網絡攻擊使黑客能夠訪問系統或提升他們當前擁有的訪問權限,黑客可以直接通過這些類型的攻擊獲益;而DoS和DDoS網絡攻擊的目標只是中斷目標服務的有效性。
惡意軟件
惡意軟件是受害者在不知情的情況下安裝并感染其設備的惡意軟件。網絡犯罪分子使用各種社會工程技術在設備上安裝惡意軟件。例如,惡意軟件可能會通過網絡釣魚企圖或錯誤下載包含惡意內容的不信任文件(如軟件、游戲和電影)來安裝在您的設備上。一旦網絡犯罪分子成功地用惡意軟件感染您的設備,他們就能危及您的隱私并竊取您的敏感信息。惡意軟件有很多不同類型,例如勒索軟件、特洛伊木馬和間諜軟件,至少有10種以上。
Web攻擊
Web攻擊是指針對基于Web的應用程序中的漏洞的威脅。您每次在Web應用程序中輸入信息時,都會啟動一個命令,而命令會生成響應。例如,如果您使用網上銀行應用程序向某人匯款,則您輸入的數據會指示該應用程序進入您的賬戶,取出錢并將錢匯到收款人的賬戶。黑客根據這種請求的框架進行謀劃,利用它們謀取利益。黑客對WEB攻擊的OWASP Top 10。參數篡改涉及調整程序員作為安全措施實施的參數,這些參數旨在保護特定操作。操作的執行取決于參數中輸入的內容。黑客只需更改參數,即可繞過依賴于這些參數的安全措施。
SQL注入式攻擊
結構化查詢語言 (SQL))注入是一種常見的攻擊,這種攻擊利用依賴數據庫為用戶服務的網站。客戶端是從服務器獲取信息的計算機,SQL攻擊利用從客戶端發送到服務器上數據庫的SQL查詢。命令被插入或“注入”到數據層,取代通常會傳輸到數據層的其他內容(例如密碼或登錄名)。然后,數據庫所在的服務器運行命令,導致系統被滲透。如果SQL注入成功,可能造成的后果包括:敏感數據泄露;重要數據被修改或刪除。此外,攻擊者可以執行管理員操作(例如關機命令)來中斷數據庫的功能。
XSS攻擊
在XSS(跨站腳本)攻擊中,攻擊者會利用將被發送到目標瀏覽器的可點擊內容傳輸惡意腳本。當受害者點擊這些內容時,腳本將被執行。由于用戶已經登錄到Web應用程序的會話,因此Web應用程序會認為用戶輸入的內容是合法的。但是,執行的腳本已被攻擊者修改,從而導致“用戶”執行無意識的操作。例如,XSS攻擊可以更改通過網上銀行應用程序發送的轉賬請求的參數。在偽造的請求中,預期收款人的姓名被替換為攻擊者的姓名。攻擊者還可以更改轉賬金額,從而獲得更多金錢。
密碼攻擊
密碼攻擊是指網絡犯罪分子試圖通過猜測或使用程序來猜測您的憑證來獲得對您的敏感信息的未經授權的訪問。不良密碼習慣(例如使用弱密碼或在多個賬戶中重復使用密碼)會使受害者容易受到這些類型的攻擊。黑客可以直接猜測用戶的密碼,尤其是如果用戶使用默認密碼或容易記住的密碼,例如“1234567”。例如,黑客可以任意組合使用目標的姓名、出生日期、周年紀念日或其他具有辨識度的個人信息來破解密碼。用戶在社交媒體上發布的信息也可被用于暴力密碼攻擊。有時,個人會將自己的興趣愛好、寵物的名字或孩子的名字用于設置密碼,這使得密碼很容易被暴力黑客猜到。黑客還可以使用字典攻擊來確定用戶的密碼。字典攻擊使用常用字詞和短語(例如,字典中列出的字詞和短語)來猜測目標的密碼。
密碼攻擊有多種方法,包括:
暴力攻擊:暴力攻擊是一種使用試錯方法來猜測您的登錄憑證來訪問您的賬戶的有力嘗試。
憑證填充:憑證填充利用一組暴露的憑證來試圖一次訪問多個賬戶。這種類型的攻擊中大多數成功的入侵都是由于多個帳戶重復使用密碼。
密碼噴灑:密碼噴灑是指網絡犯罪分子對許多用戶賬戶進行少量常用密碼嘗試,以試圖獲得未經授權的訪問。
字典攻擊:在字典攻擊中,網絡犯罪分子會利用常用短語和單詞的單詞列表來入侵受害者的憑證,并危及他們的賬戶。受害者通常是那些在密碼中使用常用短語和字典單詞的人。
生日攻擊:“生日攻擊”這個名稱來源于生日悖論;生日悖論是指在23人中至少有兩人生日相同的概率大于50%。因此,雖然人們認為自己的生日是獨特的,但其實每個人的生日并沒有他們本人想象中那么獨特。
供應鏈攻擊
供應鏈攻擊是指網絡犯罪分子在組織的供應鏈中創建或利用漏洞,其惡意目的是訪問其專用網絡和數據。這些攻擊針對的是第三方供應商,而不是受害者組織本身,這使得他們很難檢測和防范。
在這種類型的攻擊中,網絡犯罪分子可能會向其整個客戶群使用的供應商提供流氓軟件。或者,網絡犯罪分子可能會利用供應商客戶使用的程序的軟件代碼中的現有漏洞。成功后,網絡犯罪分子可能會危及企業的敏感信息 – 泄露重要的文件,例如客戶記錄、支付信息等。供應鏈攻擊通常發生在軟件、硬件和固件攻擊中。
內部威脅
內部威脅會發生在組織內部,來自現有或以前的企業分支機構,例如員工、合作伙伴、承包商或供應商,并最終導致敏感信息和系統受到威脅。內部威脅可能是蓄意的,也有可能是無意的,具體取決于內部人員的意圖以及其是否有同伙。他們通常可以訪問各種系統,在某些情況下還具有管理權限,能夠對系統或系統的安全策略進行重要更改。此外,公司內部人員通常對公司的網絡安全架構以及公司如何應對威脅有深入的了解。對這些情況的了解有助于他們獲取受限區域訪問權限,更改安全設置,或者推斷進行攻擊的最佳時機。這些攻擊可能會導致數據泄露、經濟損失和聲譽損失,甚至可能產生法律后果。這些威脅通常可以通過數字和行為指標檢測到。
中間人攻擊
中間人(MITM) 網絡攻擊是指黑客利用網絡安全漏洞來竊取兩個人、兩個網絡或兩臺計算機之間來回發送的數據。這些攻擊之所以稱為“中間人”攻擊,是因為黑客將自己置于想要溝通的兩方的“中間”。實際上,黑客監視雙方之間的互動。在MITM攻擊中,雙方當事人不會察覺到他們的溝通有何異常。他們不知道的是,在消息到達目的地之前,實際發送消息的人會非法修改或訪問消息。這些攻擊通常發生在公共WiFi等不安全的網絡上。
竊聽攻擊是指黑客攔截通過網絡發送的流量,企圖收集用戶名、密碼和其他機密信息(例如信用卡信息)。竊聽可以是主動的,也可以是被動的。主動竊聽是指黑客在網絡流量路徑中插入軟件,以收集信息進行分析,從中獲得有用的數據。被動竊聽攻擊的不同之處在于,黑客“監聽”或竊聽傳輸過程,希望找到可竊取的有用數據。主動竊聽和被動竊聽都屬于MITM攻擊。
會話劫持是多種MITM攻擊之一。在這種攻擊中,黑客接管客戶端和服務器之間的會話。用于攻擊的計算機用自己的互聯網協議 (IP))地址取代客戶端計算機的IP地址,服務器則繼續會話,毫不懷疑正在與其通信的是黑客而不是客戶端。這種攻擊很容易得逞,因為服務器使用客戶端的IP地址來驗證客戶端的身份。如果黑客的IP地址在會話過程中被插入,則服務器可能不會懷疑存在漏洞,因為它已經建立了可信的連接。
網絡釣魚攻擊
網絡釣魚攻擊是指惡意黑客發送貌似來自可信合法來源的電子郵件,試圖從目標獲取敏感信息。網絡釣魚攻擊結合了社交工程和技術,之所以叫這個名字,因為黑客實際上通過使用貌似可信的發送者作為“誘餌”來“釣獲”禁區訪問權限。它通過編造虛假的敘述來欺騙受害者泄露敏感信息,從而使網絡罪犯合法化。不良行為者會將自己偽裝成受害者熟悉的發件人,如朋友、同事、經理或公司。
為了執行這種攻擊,不法分子可能會發送鏈接,將您帶到某個網站,然后誘騙您下載流氓軟件(例如病毒)或者向黑客提供您的私人信息。在許多情況下,目標可能不會意識到自己受到了攻擊,沒有人懷疑存在惡意活動,這使得黑客可以繼續攻擊同一組織中的其他人。
鯨釣攻擊之所以叫這個名字,是因為它的攻擊對象是組織中的“大人物”——通常包括高管或其他管理者。這些個人很可能擁有對黑客有價值的信息,例如,關于企業或其運營情況的專有信息。如果被攻擊的“大人物”下載了勒索軟件,他們更有可能支付贖金,以防止他們被成功攻擊的消息泄露出去,避免他們本人或其組織的聲譽受損。
魚叉式網絡釣魚是指特定類型的有針對性的網絡釣魚攻擊。黑客會花時間研究其預期目標,然后編寫可能會使目標覺得與其個人相關的消息。這種攻擊被貼切地稱為“魚叉式”網絡釣魚,因為黑客以某種方式攻擊某個特定目標。消息看起來是合法的,因此很難發現魚叉式網絡釣魚攻擊。
通常,魚叉式網絡釣魚攻擊使用電子郵件欺騙,電子郵件的“發件人”部分的信息是假的,使電子郵件看似來自不同的發件人。這個假的發件人可能是目標信任的人,例如,社交網絡上認識的人、好友或業務合作伙伴。黑客還可能使用網站克隆使通信看起來合法。通過網站克隆,黑客復制合法的網站,讓受害者放下戒備。于是,受害者認為網站是真實的,然后放心地輸入自己的私人信息。
DNS欺騙
通過域名系統 (DNS)欺騙,黑客可以更改DNS記錄,將流量發送到虛假或“假冒”網站。進入詐騙網站后,受害者可能會輸入敏感信息,這樣黑客就有機會利用或出售這些信息。黑客還可能會構建包含貶損性或煽動性內容的劣質網站,以詆毀競爭對手公司。在DNS欺騙攻擊中,黑客會設法讓用戶認為他們訪問的網站是合法的。這樣,黑客就能以清白無辜的公司的名義實施犯罪——至少網絡訪客是這樣認為的。
基于身份的攻擊
攻擊者通過冒充合法用戶或竊取用戶身份來非法訪問系統或數據。基于身份的攻擊也稱為冒充攻擊或身份盜用,是指網絡犯罪分子利用他人的身份來欺騙他人,或獲得敏感信息和對系統的訪問權限。網絡犯罪分子通過竊取個人的個人數據并入侵他們的在線賬戶來進行基于身份的攻擊。可以用被竊的身份信息進行的攻擊的例子包括:以受害者的名義開信用卡、竊取失業救濟金、進入銀行賬戶以及將受害者的房屋所有權轉移到自己名下。
路過式攻擊
在路過式攻擊中,黑客將惡意代碼嵌入到不安全的網站。當用戶訪問嵌入了惡意代碼的網站時,腳本會在用戶的計算機上自動執行,感染計算機。這種攻擊之所以稱為“路過式攻擊”,是因為受害者只要“路過”惡意網站就會被感染,即使他們沒有點擊網站上的任何內容或輸入任何信息。
物聯網攻擊
物聯網攻擊通過智能設備(如智能電視、智能燈泡和其他需要互聯網連接的實物)發起。網絡犯罪分子利用這些設備來訪問您的網絡,因為大多數受害者并沒有對這些設備采取相同的網絡安全標準。一旦網絡犯罪分子獲得了物聯網設備的訪問權限,他們就能竊取您的數據并入侵您的網絡。
應對策略
針對性應對
DOS和DDoS防御
網絡帶寬擴容與流量清洗,使用專業的DDoS防護服務或硬件設備;智能路由與負載均衡,將攻擊流量導向黑洞或其他可以吸收攻擊的地方;建立IP黑名單,阻斷已知攻擊源,優先保證白名單內的流量正常訪問;對服務器操作系統和網絡設備的協議棧進行加固,修復已知漏洞,減少協議層攻擊;部署IPS、IDS安全設備,實時監測與應急響應;建立應急預案,發生DDoS攻擊時能快速啟動防御機制。
惡意軟件防御
在計算機上安裝防病毒軟件,并定期更新;在網絡邊界部署防火墻、防毒墻等安全設備提升安全性;謹慎點擊郵件附件或URL鏈接;使用SSL工具檢查網站安全性,避免訪問未知或可疑網站;及時打補丁以修復漏洞,并遵循最佳網絡安全實踐;定期更新操作系統和應用程序補丁,使用強密碼、限制管理員權限等;
Web攻擊防護
部署Web應用防火墻(WAF);系統定期更新應用程序和所有相關組件,及時安裝安全補丁,遵循最小化權限原則;使用SSL/TLS證書對網站進行加密,對存儲在服務器上的敏感數據(如用戶密碼、數據庫憑據等)進行加密處理;實施強密碼策略,為敏感賬戶啟用多因素認證,配置訪問控制列表;部署入侵檢測和預防系統(IDS/IPS),制定應急響應計劃;定期組織安全意識培訓和模擬攻防演練;實施安全的編碼標準,確保開發人員在編寫代碼時遵循最佳安全實踐;定期對系統進行安全審計,以發現可能存在的漏洞和弱點并及時修復。
SQL注入防護
使用參數化查詢或預編譯語句:通過將用戶輸入作為參數傳遞給SQL語句,而不是直接拼接到SQL語句中,可以確保輸入被正確轉義,并且不會被解釋為SQL代碼的一部分;對所有用戶輸入進行嚴格的驗證,確保它們符合預期的格式、類型和長度。拒絕或清理不符合規則的輸入,特別是那些包含SQL注入特征的輸入(如單引號、雙引號、分號等);對象關系映射(NHibernate)框架通常內置了防止SQL注入的機制,通過自動處理數據查詢和持久化,減少了直接編寫SQL的需要;確保數據庫連接或用戶賬戶僅擁有完成其任務所需的最小權限。這限制了即使攻擊者成功注入SQL代碼,他們所能造成的損害范圍;遵循安全編碼規范,避免在代碼中直接拼接用戶輸入和SQL語句。使用安全的函數或庫來處理用戶輸入。
XSS防護
對所有用戶輸入的數據進行嚴格驗證,確保其符合預期的數據類型、長度和格式。拒絕或清理不符合規范的輸入,防止惡意代碼被注入;對可能導致HTML或ECMAScript代碼執行的特殊字符(如<、>、&、"等)進行嚴格的過濾或轉義處理;在將用戶輸入的數據輸出到HTML頁面時,應使用HTML實體編碼(如將<轉換為<,將>轉換為>等),以防止惡意腳本被瀏覽器解析和執行;對于用戶輸入中可能作為URL參數的部分,應進行URL編碼,以防止攻擊者利用URL進行XSS攻擊;使用安全HTTP頭部,設置HttpOnly和Secure標記的Cookie:將Cookie設置為HttpOnly屬性,這樣ECMAScript就無法訪問它,從而防止攻擊者通過XSS攻擊竊取Cookie。
密碼攻擊防護
密碼應包含大寫字母、小寫字母、數字和特殊字符,并且長度應足夠長(一般建議至少8位)。避免使用容易被猜到的信息作為密碼,如生日、電話號碼、常見單詞等;在用戶身份驗證過程中,除了輸入正確的用戶名和密碼外,還要求用戶提供第二種或更多種不同的證明信息,如手機驗證碼、指紋識別、面部識別等。這可以大大提高賬戶的安全性;設置賬戶登錄嘗試次數的限制,當連續多次登錄失敗時,賬戶將被鎖定一段時間或需要進行額外的驗證步驟。這可以防止暴力破解攻擊;定期更換密碼可以降低密碼被盜用的風險。建議用戶每隔一段時間(如每三個月)更換一次密碼。
供應鏈攻擊防護
企業應加強對員工的安全意識培訓,使員工了解供應鏈攻擊的風險和防范措施,同時要求供應鏈伙伴也建立健全的信息安全管理制度,并對員工進行定期的安全培訓,確保整個供應鏈的安全意識得到提升;建立供應商評估和審查制度,對供應商進行定期的安全檢查,確保他們的安全措施得到有效實施;在與供應鏈伙伴之間的數據傳輸和存儲過程中,應采用加密技術,保障數據的安全性,防止被黑客竊取或篡改,確保供應鏈中的通信協議都采用了安全的標準和加密方法,如HTTPS、SSL/TLS等;實施最小特權原則,為員工和合作伙伴提供最基本的工作權限,限制他們對敏感數據和系統的訪問權限,以降低供應鏈被攻擊的風險。
內部威脅防御
限制員工的敏感系統訪問權限,僅允許在工作上有需要的員工訪問敏感系統;對需要訪問敏感系統的人使用多重身份驗證,要求他們至少提供自己知道的一件事以及擁有的一件東西,才能訪問敏感系統。例如,用戶可能必須輸入密碼并插入USB設備。在其他配置中,訪問號碼在用戶需要登錄的手持設備上生成。只有密碼和號碼都正確時,用戶才能訪問安全區域。
對于涉及敏感信息的崗位,企業應與員工簽訂保密協議,明確員工在離職或轉崗時需承擔的保密責任;部署安全監控系統,實時監測員工的網絡訪問行為,及時發現異常操作。同時,建立完善的審計機制,對關鍵操作進行記錄和分析;對存儲在服務器上的敏感數據進行加密處理,防止未經授權的人員獲取數據。加密技術包括對稱加密、非對稱加密等,可以根據數據的敏感程度和需求選擇合適的加密方。
中間人攻擊防護
采用SSL/TLS等加密協議,確保通信內容在傳輸過程中被加密。這樣,即使攻擊者截獲了數據,也難以解密,從而保護通信內容的機密性和完整性;在網頁瀏覽等場景中,使用HTTPS代替HTTP,確保數據傳輸過程中的加密和完整性校驗;在建立加密連接時,客戶端應驗證服務器的證書和域名,確保連接的是正確的服務器,而不是攻擊者偽造的服務器。這可以通過檢查證書頒發機構(CA)的簽名、證書的有效期、證書的域名等信息來實現。
網絡釣魚攻擊防御
網絡釣魚防御需要綜合考慮用戶、技術、管理和應急響應等多個方面。通過提高用戶警惕性、加強技術防護、完善管理制度以及提升應急響應能力等措施,可以有效地降低網絡釣魚攻擊的風險和危害,重點:仔細檢查電子郵件所有字段的詳細信息,并確保用戶不會點擊任何無法驗證其目標合法的鏈接。
DNS欺騙防護
企業應優先考慮使用知名且信譽良好的DNS服務提供商,這些服務商通常擁有強大的安全防護機制和快速的響應能力,能夠及時發現并抵御潛在的DNS欺騙攻擊,也可以考慮部署本地的DNS服務器,以減少對外部DNS服務的依賴,提高DNS解析的安全性和穩定性;DNSSEC是一種為DNS提供數據完整性和來源認證的安全機制。通過啟用DNSSEC,可以對DNS查詢結果進行加密簽名和驗證,確保用戶接收到的DNS信息未被篡改;DNS over HTTPS(DoH)或DNS over TLS(DoT):使用這些加密技術來加密DNS請求和響應,可以防止中間人攻擊,進一步提升DNS通信的安全性。
基于身份的攻擊防護
除了傳統的用戶名和密碼認證外,增加額外的認證因素,如手機驗證碼、指紋識別、面部識別等,提高身份認證的復雜性和安全性;要求用戶設置復雜且難以猜測的密碼,并定期更換密碼。同時,系統應提供密碼強度檢測功能,確保用戶密碼的安全性;實施嚴格的權限管理制度,確保每個用戶只能訪問其需要的數據和服務,避免權限濫用;使用安全的會話管理機制,如HTTPS協議,確保用戶會話的安全性。同時,限制會話持續時間,并在會話結束后及時清理會話信息。
路過式攻擊防護
用戶應確保在計算機上運行最新的軟件,包括在上網時可能需要使用的應用程序,例如Adobe Acrobat和Flash。此外,您可以使用網頁過濾軟件,這種軟件能夠在用戶訪問網站之前檢測網站是否安全。
物聯網防御
確保設備具有強大的身份驗證和訪問控制機制,如使用強密碼、多因素認證等;定期進行安全漏洞掃描和修復,確保設備的安全性得到及時更新;定期更新路由器、交換機等網絡設備的操作系統和固件,以修復已知的安全漏洞;禁用不必要的network service和協議,如HTTP、SNMP等,減少潛在的攻擊面;使用IPSec、TLS等加密協議對物聯網設備之間的通信進行加密,防止數據在傳輸過程中被竊取或篡改;對物聯網設備產生的敏感數據進行加密存儲和傳輸,確保數據在存儲和傳輸過程中的安全性。
整體性應對
建立健全的網絡安全政策
網絡安全政策可作為企業為提高網絡安全效率而采取的所有措施的正式指南。正確的策略可幫助安全專家和員工達成一致,并描述基本的全公司信息安全實踐。
保護企業的周邊和物聯網連接
由于遠程工作、云環境和物聯網設備顯著名擴大了攻擊面,當今企業的邊界遠遠超出了防火墻和DMZ的范圍。物聯網呈上升趨勢——物聯網市場預計將從2021年的約3840億美元增長到2027年的約5670億美元。安全攝像頭、門鈴、智能門鎖、供暖系統和辦公設備——其中許多都連接到互聯網,可以用作潛在的攻擊媒介。例如,受損的打印機可能允許惡意分子查看所有打印或掃描的文檔。
考慮通過保護邊界路由器和建立屏蔽子網來保護企業周邊。為了增強企業數據庫的安全性,還可以將敏感數據與企業網絡隔離并限制對此類數據的訪問。企業可以將防火墻、VPN等傳統保護措施與零信任模型相結合來保護自己。基于從不信任、始終驗證的概念,零信任要求不斷驗證企業中的用戶和設備,以防止未經授權訪問用戶的個人數據。
教育和監控企業員工
以技術為中心的網絡安全方法不足以確保全方位保護,因為黑客經常利用人作為切入點。根據Verizon的2023年數據泄露調查報告,74%的泄露涉及人為因素。以人為本的方法可以幫助減少與人相關的風險。在以人為本的安全中,一個重要的邊界是工人本身。對于以人為本的安全環境,教育和監控員工是需要考慮的主要事項。
控制對敏感數據的訪問
默認情況下授予員工許多權限允許他們訪問敏感數據,即使他們不需要。這種方法增加了內部威脅的風險,并允許黑客在破壞員工帳戶后立即訪問敏感數據。應用最小權限模型(也稱為最小權限原則)是一個更好的解決方案。這意味著為每個用戶分配盡可能少的訪問權限,并且僅在必要時提升權限。如果不需要訪問敏感數據,則應撤銷相應的權限。
除了最小權限原則和零信任模型之外,即時訪問管理方法還可以更精細地控制用戶權限。這種方法意味著根據要求在特定時間和正當理由下向員工提供訪問權限。企業還可以結合這些訪問管理技術。考慮特別注意對基礎設施的遠程訪問。確保遠程員工的安全需要采取多種措施相結合,例如提高遠程員工操作的可見性以及正確配置網絡。
明智管理密碼
員工憑據使網絡犯罪分子可以直接訪問企業敏感數據和有價值的業務信息。暴力攻擊、社會工程和其他方法可用于在員工不知情的情況下危及員工的憑據。如何防止暴力攻擊和其他威脅,企業可以使用專門的密碼管理工具來控制員工的憑據,從而降低帳戶泄露的風險。優先選擇提供無密碼身份驗證、一次性密碼和密碼加密功能的密碼管理工具。如果仍然信任員工管理自己的密碼,請考慮將以下建議添加到網絡安全策略中:為每個帳戶使用不同的密碼;擁有單獨的個人帳戶和商業帳戶;?使用特殊符號、數字和大寫字母創建冗長的密碼;使用助記符或其他策略來記住長密碼;使用密碼管理器和生成器;切勿與其他員工共享憑據 在以下位置更改密碼至少每三個月一次。
監控特權用戶和第三方用戶的活動
有權訪問基礎設施的特權用戶和第三方擁有一切手段來竊取敏感數據而不被注意。即使這些用戶沒有惡意行為,他們也可能無意中造成網絡安全漏洞。為了降低特權用戶和第三方帶來的風險,請考慮采取以下措施:保護敏感數據的最有用方法是監控組織IT環境中特權用戶和第三方用戶的活動。用戶活動監控可以幫助用戶提高可見性、檢測惡意活動并收集證據以進行取證調查。
管理供應鏈風險
企業的供應商、合作伙伴、分包商、供應商和有權訪問企業資源的其他第三方可能容易受到供應鏈攻擊。根據供應鏈狀況報告顯示,僅2023年就檢測到245,000起軟件供應鏈攻擊,是2019年至2022年整個期間的兩倍。在供應鏈攻擊中,網絡犯罪分子會滲透或破壞供應商之一,并利用其進一步升級供應鏈下游的攻擊,這可能會影響企業。在solarwinds黑客攻擊期間,網絡犯罪分子通過在Solarwinds軟件更新中插入惡意軟件,成功訪問了數千個組織的網絡和數據。
加強數據保護和管理
如何管理業務數據對于企業的隱私和安全至關重要。企業可以首先在數據管理策略中記錄信息管理流程。考慮描述數據的收集、處理和存儲方式、誰有權訪問數據、存儲在何處以及何時必須刪除。在數據保護政策中概述數據保護措施也很重要。考慮圍繞信息安全的關鍵原則構建數據保護措施:機密性 — 保護信息免遭未經授權的訪問;完整性 — 確保未經授權的用戶無法在數據生命周期的任何階段修改數據;可用性 — 確保授權用戶始終可以訪問他們需要的數據。
高德納咨詢公司概述了可用于實施這些原則的四種關鍵數據網絡安全技術:信息安全最佳實踐還包括實施內部風險管理和數據丟失防護解決方案來管理數據安全風險。托管文件傳輸平臺可以幫助您與第三方安全地交換數據。
采用生物識別安全
生物識別技術可確保快速身份驗證、安全訪問管理和精確的員工身份識別。生物識別技術是在提供對寶貴資產的訪問權限之前驗證用戶身份的可靠方法,這對于企業的安全至關重要。這就是生物識別市場快速增長的原因:生物識別技術提供比密碼更可靠的身份驗證,這是因為它們經常用于多重身份驗證 (MFA))。然而,身份驗證并不是生物識別技術的唯一用途。安全員可以應用各種生物識別驅動的工具來實時檢測受損的特權帳戶。
行為生物識別對于確保用戶活動的安全特別有用,因為它允許企業分析用戶與輸入設備交互的獨特方式。如果檢測到異常行為,安全人員可以收到通知,以便他們立即做出反應。分析用戶活動的用戶和實體行為分析 (UEBA))系統采用以下行為生物識別因素:擊鍵動態 — 監控打字速度以及在某些單詞中犯典型錯誤的傾向,以創建用戶行為檔案;鼠標動態 — 跟蹤單擊之間的時間以及光標移動的速度、節奏和風格。
使用多重身份驗證
多重身份驗證通過添加額外的安全層來幫助企業保護敏感數據。激活MFA后,惡意分子即使擁有密碼也無法登錄。他們仍然需要其他身份驗證因素,例如手機、指紋、語音或安全令牌。雖然MFA看似簡單,但它是最好的網絡安全保護方法之一,并且受到大多數網絡安全要求的強制要求,包括通用數據保護條例 (GDPR)、支付卡行業數據安全標準 (PCI DSS))和SWIFT客戶安全計劃 (CSP)。谷歌和Twitter等科技巨頭敦促其用戶采用MFA。除此之外,MFA允許區分共享帳戶的用戶,從而提高用戶的訪問控制能力。
定期進行網絡安全審計
定期進行審核可以幫助評估企業的網絡安全狀態并根據需要進行調整。在審核期間,用戶可以檢測到:網絡安全漏洞,合規差距,員工、特權用戶和第三方供應商的可疑活動;審計的質量取決于不同來源的數據的完整性:審計日志、會話記錄和元數據。
簡化技術基礎設施
部署和維護大量工具既昂貴又耗時。此外,資源要求較高的軟件可能會減慢企業的工作流程。采用一種或幾種包含所有必要功能的綜合解決方案。這樣,可簡化企業的安全基礎設施。如果用戶還想降低成本和響應時間,請確保選擇的解決方案集成了企業需要的所有工具。
發展趨勢
中國計算機學會(中國計算機學會夏培肅獎)計算機安全專委會來自國家網絡安全主管部門、高校、科研院所、國有企業及民營企業界的專家學者,投票評選出了2024年網絡安全十大發展趨勢。
人工智能安全技術
人工智能(AI)技術是當前科學與工程研究的一大熱點,以ChatGPT為代表的生成式人工智能技術帶來了通用人工智能(AGI)的曙光。隨著人工智能技術在眾多領域的深入應用,網絡安全和數據安全的問題也日益突出。網絡攻擊的方式和手段,在人工智能技術的推動下也在不斷演變,呈現出分布式、智能化和自動化的特點;與此同時,人工智能訓練和應用過程中,會遇到數據非法獲取、數據濫用、算法偏見與歧視以及敏感數據泄露等安全問題。2023年11月,包括中國、美國與歐盟在內的28個國家代表,在全球首屆AI安全峰會中簽署了《布萊切利宣言》,一致同意加強國際合作,建立面向人工智能的監管框架。在這種背景下,人工智能安全技術正在被全球監管機構、行業參與者和工業界持續關注和積極參與。
網絡安全基礎設施和公共安全服務
國內外學界已經不斷就網絡安全的公共服務屬性進行深入討論,并逐步擴大了將網絡安全視為社會公共服務觀點的影響力。在數字技術不斷重塑經濟和社會的背景下,網絡安全的公共安全屬性、非排他性和外部性不斷凸顯。面對迅速蔓延的網絡安全威脅,單靠傳統的網絡安全責任機制加市場化供應模式,已逐漸難以有效應對網絡安全治理問題。因此,借鑒公共安全治理模式以推進網絡安全公共安全服務機制的形成變得極為重要。展望2024年,網絡安全基礎設施作為國家安全體系的基礎組成部分,其協同運作的模式預計將得到進一步加強,而網絡安全的公共服務化也將成為網絡空間治理的新趨勢和新模式。
生成式人工智能在網絡安全領域應用
2023年3月,微軟公司宣布推出Microsoft 證券 Copilot,作為生成式人工智能在網絡安全領域的一個典型代表,它能夠利用大型語言模型的強大表達能力和專用安全模型的專業知識,實現對復雜多變的網絡安全環境的深度理解和智能決策,生成適合的防御措施和修復方案,并自動執行或輔助專業人員完成相關任務。隨著大語言模型與多模態技術的日益融合加速,預計生成式人工智能將在威脅檢測與響應、自動化安全防護與修復、實時威脅情報與預測,以及自適應安全策略與防御、人機協同防御等多個方面發揮更大的作用。2024年,預計生成式人工智能技術將在網絡安全領域得到廣泛應用并初步展現其顯著效能。
供應鏈安全管理
隨著經濟全球化和信息技術的快速發展,網絡產品和服務的供應鏈已演變為全球性的復雜網絡結構。供應鏈安全問題已不僅限于產品范疇,而是波及到整個供應鏈的各個環節。統計顯示,2023年,受供應鏈安全威脅和風險攻擊的比例高達所有網絡攻擊的一半,同比增長78%,而專業人士中有高達80%的人預計,在未來三年內,供應鏈攻擊將成為企業面臨的最大網絡威脅之一。隨著關鍵信息基礎設施安全保護條例、網絡安全審查辦法等相關法律法規的制定和施行,對供應鏈安全提出了更高標準的規定與要求。在數字化轉型的大背景下,供應鏈安全不僅關系到企業的正常運營和發展,也是國家的網絡空間安全專業和社會穩定的基石。可以預見,隨著安全技術的不斷完善和發展,供應鏈安全管理的戰略地位將日漸上升,其重要性也將更加凸顯。
隱私計算
隨著中華人民共和國網絡安全法、中華人民共和國個人信息保護法、中華人民共和國密碼法、中華人民共和國數據安全法、中華人民共和國民法典等多部與數據安全相關的法律法規落地實施,我國形成了較為完備的數據安全法律體系。在此體系基礎上,隱私計算得到了政策和市場需求的雙重推動,產業正處于快速增長階段。尤其在數據要素加速開放共享的新形勢下,隱私計算正成為支撐數據要素流通的核心技術基礎設施。該領域的技術,如聯邦學習、多方安全計算、可信執行環境等,在確保數據不泄漏、限定數據處理目的方面具有原生的優勢。據預測,隱私計算將在2024年獲得學術界與產業界更廣泛的關注,并在相關技術研究中占據重要地位。
勒索軟件的攻擊
在全球經濟發展不景氣和地緣政治動蕩的雙重影響下,網絡犯罪團伙持續涌入勒索軟件攻擊領域以掠取豐厚的非法利潤。勒索軟件攻擊不僅危害個人用戶的隱私和財產,還可能影響政府、醫療、教育等機構和企業的正常運行,甚至威脅到國家安全和社會穩定。隨著勒索軟件即服務(RaaS) 運營模式不斷成熟和勒索軟件構件(IABs)的興起,勒索軟件的門檻和成本顯著下降,勒索攻擊活動更為猖獗。據2023年數據顯示,全球共發生了4832起勒索軟件攻擊事件,較前一年增加了83%,且呈現出全球迅速擴散的趨勢。展望2024年,網絡安全將面臨著嚴峻的挑戰,隨著黑客組織不斷更新和改進攻擊策略和技術,如智能化、多重勒索常態化等,新一代的勒索軟件攻擊會變得更加難以預防和處置。
高級持續性威脅(APT)攻擊
在全球網絡空間博弈日益激烈和國際局勢不穩定的背景下,組織化程度高、策劃及執行效率出眾、目標針對性明確的網絡攻擊活動更為頻繁。作為一種針對特定目標的復雜、隱蔽和持久的網絡攻擊手段,高級持續性威脅(APT)攻擊近年來已演化為集各種社會工程學攻擊與零日漏洞利用的綜合體,成為了最嚴峻的網絡空間安全專業威脅之一。據統計,2023年上半年, MITRE跟蹤的138個APT組織中約有41個(約 30%)處于活躍狀態,全年全球安全廠商共披露了30余個APT組織,表明APT活動呈現持續上升趨勢。未來,APT攻防較量更趨復雜,同時APT事件的調查與應對趨向政治化,這無疑將在網絡空間與現實地緣政治交融中構成新的風險點。
國產密碼技術
密碼技術作為我國網絡與數據安全的戰略性核心技術,是國家安全的基礎支撐。得益于國家政策的有力支持,我國的密碼技術始終保持持續發展勢頭,無論是在密碼算法、密碼芯片、密碼產品還是密碼服務等方面,均取得了重大的技術進展,逐步構建了一套相對完善的商用密碼體系,并贏得了國際認可。近年來,在中華人民共和國網絡安全法、中華人民共和國密碼法、關鍵信息基礎設施安全保護條例等政策法規的驅動下,我國密碼行業正向著成熟與規范化方向穩步邁進。隨著國家“十四五”規劃及其他一系列促進數字化發展戰略的深入實施,我們預計國產密碼技術將在基礎信息網絡、關乎國計民生的重要信息系統、重要工業控制系統以及面向社會服務的政務信息系統中實現更為廣泛的推廣與應用。
關鍵信息基礎設施保護
關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益。各行各業正逐漸意識到保護關鍵信息基礎設施的重要性。隨著相關國家政策和標準的實施推行,我國對于關鍵信息基礎設施的保護工作將迎來新的發展格局。這些法規為相關產業帶來了發展的新空間和商機。據預測,到2024年,我國對關鍵信息基礎設施保護的需求將保持增長趨勢,尤其在網絡安全建設方面,國家重要行業及關鍵領域的資金投入預計將顯著提升。
個人信息保護
隨著網絡技術的發展和普及,個人信息的收集、使用乃至濫用問題日益突出,個人信息保護不只關乎個人隱私權益,也事關國家安全層面,成為全球普遍關注的議題。自中華人民共和國個人信息保護法、數據出境安全評估辦法、個人信息出境標準合同辦法等個人信息保護相關法律法規發布施行,我國構建起較為完善的個人信息保護體系。2023年8月,國家網信辦發布《個人信息保護合規審計管理辦法(征求意見稿)》,進一步凸顯出持續加強個人信息保護立法與監管的趨勢。同時,加密技術、匿名化處理、人工智能和區塊鏈等創新技術的應用,在識別和防范數據泄露和隱私侵犯方面也發揮著越來越重要的作用。隨著法律法規的逐步完善、公眾意識的提高和技術的發展,個人信息保護的力度預計將持續加強。
網絡安全風險評估技術方法
風險評估程序
資產評估:確定需要保護的資源。
威脅評估:確定可能對資產造成危害的威脅。
弱點評估:確定資產及其所處環境中的弱點。
影響評估:確定資產受到威脅時可能造成的影響。
風險計算:依據威脅、弱點和影響等因素,計算出資產面臨的風險值。
風險評估模型
風險評估模型包括定性和定量兩種。定性評估模型通常用于判斷風險的相對大小,而定量評估模型則可以精確計算風險值。
比較常見的定量評估模型有CVSS(Common Vulnerability Scoring System,通用漏洞評分系統)評估模型和DREAD評估模型。CVSS評估模型將漏洞分為攻擊向量、攻擊復雜度和影響范圍三個維度,最終得出漏洞的風險值。DREAD評估模型則包括破壞性、復現性、擴散性、波及范圍、可檢測性五個要素,通過對每個要素進行評估,最終得出漏洞的風險值。
具體評估方法
資產信息收集:通過調查表形式,查詢資產登記數據庫,對被評估的網絡信息系統的資產信息進行收集,以掌握被評估對象的重要資產分布。
網絡拓撲發現:獲取被評估網絡信息系統的資產關聯結構信息,進而獲取資產信息。常見的網絡拓撲發現工具有ping、traceroute以及網絡管理綜合平臺。
漏洞掃描:自動搜集待評估對象的漏洞信息,以評估其脆弱性。一般可以利用多種專業的掃描工具,如Nessus、openvas、Metasploit等,對待評估對象進行漏洞掃描,并對不同的掃描結果進行交叉驗證,形成掃描結果記錄。掃描內容主要包括軟件系統版本號、開放端口號、開啟的network service、安全漏洞情況、網絡信息共享情況、密碼算法和安全強度、弱口令分布狀況等。
人工檢查:進行人工檢查前要事先設計好檢查表(CheckList),然后評估工作人員按照檢查表進行查找,以發現系統中的網絡結構、網絡設備、服務器、客戶機等所存在的漏洞和威脅。所有的檢查操作應有書面的記錄材料。
網絡安全滲透測試:在獲得法律授權后,模擬黑客攻擊網絡系統,以發現深層次的安全問題。主要工作包括目標系統的安全漏洞發現、網絡攻擊路徑構造、安全漏洞利用驗證等。
問卷調查:采用書面的形式獲得被評估信息系統的相關信息,以掌握信息系統的基本安全狀況。問卷一般根據調查對象進行分別設計,管理類調查問卷涵蓋安全策略、安全組織、資產分類和控制、人員安全、業務連續性等,主要針對管理者、操作人員;技術類調查問卷主要包括物理和環境安全、網絡通信、系統訪問控制和系統開發與維護。
網絡安全訪談:通過安全專家和網絡系統的使用人員、管理人員等相關人員進行直接交談,以考查和證實對網絡系統安全策略的實施、規章制度的執行和管理與技術等一系列情況。
審計分析:包括侵害行為檢測、異常事件監測、潛在攻擊征兆發覺等。審計數據分析常常采用數據統計、特征模式匹配等多種技術,從審計數據中尋找安全事件有關信息。
入侵監測:利用入侵監測軟件和設備進行監測,按照其用途來劃分,可粗略分成主機入侵監測、網絡入侵監測、應用入侵監測。
網絡安全風險評估工具
Nessus:一款流行的漏洞掃描工具,可以掃描企業網絡中存在的漏洞,并對其進行風險評估。與其他漏洞掃描工具相比,Nessus更加易于使用和配置。
openvas:一個開源的漏洞掃描工具,也可以自動執行漏洞掃描和風險評估。OpenVAS的最大優點是其強大的擴展性,可以通過豐富的插件對漏洞庫進行更新。
Metasploit:一款流行的漏洞利用工具,既可以作為漏洞掃描器,也可以作為漏洞利用平臺。Metasploit可以對漏洞進行詳細的測試,以便確定漏洞是否可以被利用。
Wireshark:原名ethereal,是一個網絡封包分析軟件,可以截取網絡封包,并盡可能顯示出最為詳細的網絡封包資料。
Nmap:一款用于網絡瀏覽或安全審計的免費開源工具。
Aircrack:一套用于破解WEP和WPA的工具套裝,一般用于無線網絡的密鑰破解,從而非法進入未經許可的無線網絡。
網絡安全風險評估技術方法與工具多種多樣,在實際應用中需要根據具體場景和需求靈活選擇。同時,網絡安全風險評估是一個持續的過程,需要定期進行以確保網絡系統的安全性。
重點防范境外惡意網址和惡意IP
?關聯IP地址:38.165.82.8;歸屬地:美國/加利福尼亞州/圣何塞;威脅類型:僵尸網絡;病毒家族:XorDDoS。
這是一種Linux僵尸網絡病毒,主要通過內置用戶名、密碼字典進行Telnet和SSH暴力破解的方式擴散。其在加解密中大量使用了Xor,同時運用多態及自刪除的方式隨機生成進程名,可實現對網絡設備進行掃描和對網絡攝像機、路由器等IOT設備的攻擊,攻擊成功后,可利用僵尸程序形成一個僵尸網絡,對目標網絡發起分布式拒絕服務(DDos)攻擊,造成大面積網絡癱瘓或無法訪問網站或在線服務。
?關聯IP地址:104.155.138.21;歸屬地:美國/艾奧瓦州/康瑟爾布拉夫斯;威脅類型:僵尸網絡;病毒家族:XorDDoS。
?這是一種Linux僵尸網絡病毒,主要通過內置用戶名、密碼字典進行Telnet和SSH暴力破解的方式擴散。其在加解密中大量使用了Xor,同時運用多態及自刪除的方式隨機生成進程名,可實現對網絡設備進行掃描和對網絡攝像機、路由器等IOT設備的攻擊,攻擊成功后,可利用僵尸程序形成一個僵尸網絡,對目標網絡發起分布式拒絕服務(DDos)攻擊,造成大面積網絡癱瘓或無法訪問網站或在線服務。
?關聯IP地址:104.131.68.180;歸屬地:美國/新澤西州/克利夫頓;威脅類型:僵尸網絡;病毒家族:MooBot。
?這是一種Mirai僵尸網絡的變種,常借助各種IoT設備漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等進行入侵,攻擊者在成功入侵設備后將下載MooBot的二進制文件并執行,進而組建僵尸網絡并可能發起DDoS(分布式拒絕服務)攻擊。
?關聯IP地址:104.131.68.180;歸屬地:美國/新澤西州/克利夫頓;威脅類型:僵尸網絡;病毒家族:MooBot。
?這是一種Mirai僵尸網絡的變種,常借助各種IoT設備漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等進行入侵,攻擊者在成功入侵設備后將下載MooBot的二進制文件并執行,進而組建僵尸網絡并可能發起DDoS(分布式拒絕服務)攻擊。
?關聯IP地址:173.208.162.39;歸屬地:美國/密蘇里州/北堪薩斯城;威脅類型:后門;病毒家族:AsyncRAT。
?該惡意地址關聯多個AsyncRAT病毒家族樣本,部分樣本的MD5值為31bfa56bcd984d9a334a3006d3cc323d。該網絡后門采用C#語言編寫,主要功能包括屏幕監控、鍵盤記錄、密碼獲取、文件竊取、進程管理、開關攝像頭、交互式SHELL,以及訪問特定URL等。主要通過移動介質、網絡釣魚等方式進行傳播,現已發現多個關聯變種,部分變種主要針對民生領域的聯網系統。
?惡意地址:
?關聯IP地址:23.20.239.12;歸屬地:美國/弗吉尼亞/阿什本;威脅類型:竊密;病毒家族:AmosStealer。
?該惡意地址關聯到AmosStealer病毒家族樣本,部分樣本的MD5值為9841c50833e3c05e74bffd97b3737d46。AmosStealer(也稱為“Atomic Stealer”)是一種針對macOS系統的信息竊取惡意軟件,能夠竊取用戶的登錄憑證、瀏覽器數據、加密貨幣錢包信息等,該惡意軟件通過偽裝成合法軟件或利用惡意廣告(malvertising)進行傳播。
?惡意地址:34.58.66.17
?歸屬地:美國/加利福尼亞州/山景城;威脅類型:后門;病毒家族:AsyncRAT。
?該惡意地址關聯多個AsyncRAT病毒家族樣本,部分樣本的MD5值為91aa773721ad37dc7205accac80dbf76。該網絡后門采用C#語言編寫,主要功能包括屏幕監控、鍵盤記錄、密碼獲取、文件竊取、進程管理、開關攝像頭、交互式SHELL,以及訪問特定URL等。主要通過移動介質、網絡釣魚等方式進行傳播,現已發現多個關聯變種,部分變種主要針對民生領域的聯網系統。
?惡意地址:
?關聯IP地址:46.246.86.20;歸屬地:瑞典/斯德哥爾摩省/斯德哥爾摩;威脅類型:后門;病毒家族:NjRAT。
?該惡意地址關聯到NjRAT病毒家族樣本,部分樣本程序的MD5值為b28304414842bcacb024d0b5c70fc2ea。該后門是一種由C#編寫的遠程訪問木馬,具備屏幕監控、鍵盤記錄、密碼竊取、文件管理(上傳、下載、刪除、重命名文件)、進程管理(啟動或終止進程)、遠程激活攝像頭、交互式 Shell(遠程命令執行)、訪問特定 URL 及其它多種惡意控制功能,通常通過移動存儲介質感染、網絡釣魚郵件或惡意鏈接進行傳播,用于非法監控、數據竊取和遠程控制受害者計算機。
?惡意地址:serisbot.geek
?關聯IP地址:139.59.53.195;歸屬地:印度/卡納塔克邦/班加羅爾;威脅類型:僵尸網絡;病毒家族:Mirai。
?這是一種Linux僵尸網絡病毒,通過網絡下載、漏洞利用、Telnet和SSH暴力破解等方式進行擴散,入侵成功后可對目標網絡系統發起分布式拒絕服務(DDoS)攻擊。
相關法律法規
日本
日本于2014年頒布《網絡安全基本法》,明確設立“網絡安全戰略本部”以統一協調各部門的網絡安全政策,并對電力、金融等基礎設施運營方落實網絡安全相關措施提出了要求。2025年4月,日本國會眾議院表決通過了“主動網絡防御”相關法案,預計法案在交付參議院審議通過后,將于本屆國會會期內正式立法,并于2027年度開始施行。“主動網絡防御”是日本在網絡空間安保戰略的關鍵舉措,法案擴大了日本政府對網絡實施常態化監視的權限,并授權警察和自衛隊可對網絡入侵者采取先制性攻擊手段。分析人士指出,法案將強化對日本重要計算機系統、基礎設施網絡等的保護,但同時也引發了外界對公民隱私權及地區安全局勢的廣泛關注。
美國
聚焦國家戰略資產,保護國家關鍵基礎設施。在關鍵基礎設施保護立法方面,美國走在了世界前列。作為全球信息技術最為發達、應用最為廣泛的國家,美國明確將“數字基礎設施”作為“國家戰略資產”,先后出臺《1996年國家信息基礎設施保護法案》《2001年關鍵基礎設施保護法案》《聯邦信息安全管理法案》《2002年關鍵基礎設施信息法案》四部法律以及多部總統令和行政令,從定義關鍵基礎設施的概念入手,對關鍵基礎設施保護范圍、責任和具體要求進行了規定。
美國于2002年出臺了全面系統規定聯邦政府信息安全保護要求的《聯邦信息安全管理法》,并于2012年將該法更新為《聯邦信息安全改革法》,強調對計算機網絡進行實時、自動監控,加強聯邦政府網絡安全保護。美國于2014年通過了《國家網絡安全保護法》,強化了國土安全部的國家網絡安全和通信集成中心在聯邦部門和私營部門共享網絡安全信息方面的重要作用,為立足國家層面部署和加強公共和私營部門網絡安全信息共享提供了法律依據。
中國
2015年7月6日,中國《國家網絡安全法》(草案)正式發布,作為中國網絡安全領域具有最高效力的法律,《國家網絡安全法》共七章六十八條,從網絡運行安全、關鍵信息基礎設施安全、網絡信息安全、法律責任等方面進行了明確規定,將等級保護、網絡產品與服務安全、網絡安全信息共享、個人信息保護等多項工作納入法律軌道,為保障國家網絡安全、促進中國信息化健康發展提供了高層次的法律依據。未來隨著《國家網絡安全法》的推進實施,中國網絡安全必將迎來新的發展局面,網絡安全保障相關工作都將有法可依,違反網絡安全法律規定的行為也都必將受到嚴懲。
2016年11月7日,第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》決議。
歐盟
歐盟按照1992年通過的《信息安全框架決定》的要求,先后于1995、2002、2006年分別通過了《數據保護指令》、《隱私與電子通信指令》和《數據留存指令》,為歐盟個人數據保護法律體系奠定了基礎,而后,遵循歐盟上述指令要求,包括英國、法國、德國、荷蘭、西班牙、瑞典、意大利、比利時、匈牙利、希臘等多國在內的歐盟成員國普遍制定實施了保護個人數據信息的相關法律,重點明確了個人數據保護的基本原則以及對個人數據進行留存、處理、使用的安全保護要求。
相關事件
中國國內網絡安全事件
美對中國大型商用密碼產品提供商進行網絡攻擊
2025年4月28日,中國網絡空間安全協會發布的一份調查報告顯示,國家互聯網應急中心CNCERT發現并處置一起美情報機構對中國大型商用密碼產品提供商進行網絡攻擊的事件。專家表示,普通人日常使用的金融交易等場景都依賴商用密碼的保護,美對我密碼產品實施攻擊會危害國家網絡安全。
美對中國大型科技企業機構網絡攻擊
2024年12月18日,國家互聯網應急中心CNCERT發布公告,發現處置兩起美對我大型科技企業機構網絡攻擊事件。本報告將公布對其中我國某智慧能源和數字信息大型高科技企業的網絡攻擊詳情,為全球相關國家、單位有效發現和防范美網絡攻擊行為提供借鑒。
犯罪團伙用“木馬”的電子郵件等進行網絡攻擊
2023年6月,福州公安機關發現,以崔某珊、傅某等為首的犯罪團伙招募大量成員,發送帶有“木馬”的電子郵件、圖片、鏈接和程序,對企業、個體商戶的計算機信息系統實施“投毒”,非法獲取大量的公司和個人數據,向境外詐騙團伙提供精準目標。7月,專案組在重慶、海南省、河南省等5省市抓獲崔某珊、傅某等犯罪嫌疑人8名,現場提取固定“木馬”樣本7個,排查全國受害企業、個體商戶2000余家。
中國某大型高科技企業遭疑似美國情報機構網絡攻擊
2023年5月,中國某智慧能源和數字信息大型高科技企業遭疑似美國情報機構網絡攻擊。經分析,攻擊者使用多個境外跳板,利用微軟Exchange漏洞,入侵控制該公司郵件服務器并植入后門程序,持續竊取郵件數據。同時,攻擊者又以該郵件服務器為跳板,攻擊控制該公司及其下屬企業30余臺設備,竊取該公司大量商業秘密信息。
犯罪團伙非法入侵企業網站
2023年2月,廈門公安機關接到某科技公司報案稱,其公司信息系統被攻擊,導致大量用戶信息泄露。經查,犯罪嫌疑人馬某發現該科技公司信息系統中的交易記錄等信息具有經濟價值,遂指使楊某、陳某等人,通過黑客手段入侵該系統,非法獲取大量公民個人信息,并轉賣至李某濤、劉某海、黃某南等人。李某濤利用上述信息,通過撥打騷擾電話、郵寄產品等方式,向受害人進行精準營銷。3月,廈門公安機關組織集中收網抓捕行動,抓獲犯罪嫌疑人7名,涉案金額200余萬元。此外,廈門公安機關還依法對該科技公司未履行網絡安全保護義務的行為給予行政處罰。
2022年6月,西北工業大學發布《公開聲明》稱,西北工業大學電子郵件系統遭受網絡攻擊,有來自境外的黑客組織和不法分子向該校師生發送包含木馬程序的釣魚郵件,企圖竊取相關師生郵件數據和公民個人信息。
技術團隊先后從西北工業大學的多個信息系統和上網終端中提取到了多款木馬樣本,綜合使用國內現有數據資源和分析手段,并得到了歐洲、南亞部分國家合作伙伴的通力支持,全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自美國國家安全局(NSA)“特定入侵行動辦公室”(Office of Tailored Access Operation,后文簡稱TAO)。
國際網絡安全事件
黎巴嫩突發尋呼機大規模群體爆炸
2024年9月,黎巴嫩首都境內用于通訊的大量尋呼機被遠程引爆,造成至少12人死亡,約2800多人受傷,其中包括數十名黎巴嫩真主黨成員和伊朗駐黎巴嫩大使。爆炸是由發出信號的尋呼機引發的,這些尋呼機在引爆前會發出聲響。報告顯示,這些設備在爆炸前會發出嗶嗶聲或震動,促使用戶將其靠近臉部,從而增加了使用者遭受重傷的可能性。調查顯示,爆炸物可能隱藏在尋呼機的鋰電池內。這種復雜的方式使得在設備被激活之前幾乎不可能被檢測到。
黎巴嫩移動設備爆炸事件揭示了一個令人不安的趨勢:網絡攻擊正在從虛擬領域向現實物理世界擴展,并已經能夠對現實世界造成切實的破壞和傷害。傳統的網絡攻擊主要側重于竊取數據、破壞數字電路,或通過軟件和網絡漏洞削弱基礎設施。然而,黎巴嫩移動終端爆炸事件表明,網絡手段能夠直接造成物理破壞,數字攻擊可能轉化成為實際的人員傷亡。
美國國家公共數據黑客事件影響1.7億人
2024年8月,美國國家公共數據披露發生嚴重的敏感數據泄露事件,引發了對處理敏感個人信息的組織的數據安全實踐的嚴重擔憂。在該事件中,黑客暴露了敏感的個人信息,包括社會安全號碼、地址和電話號碼。此次數據泄露事件涉及29億條記錄,可能影響到多達1.7億人,涵蓋美國、英國和加拿大。
2023年底,黑客試圖滲透國家公共數據的系統。攻擊者利用了NPD基礎設施中的多個安全漏洞,包括未修補的軟件缺陷和薄弱的訪問控制。這些弱點使他們能夠獲得未經授權的訪問權限,并在網絡內橫向移動,未被檢測到長達數月。到2024年4月,被盜數據已在暗網上出售。泄露的全部范圍在2024年8月變得明顯,導致多起針對該公司的訴訟。國家公共數據因此面臨嚴重后果。該公司于2024年10月申請破產,并最終在12月關閉。
網絡攻擊導致西雅圖-塔科馬國際機場陷入混亂
2024年8月,由西雅圖港管理的西雅圖-塔科馬國際機場(SEA)遭遇了一次重大的勒索軟件攻擊,導致廣泛的運營混亂和干擾。這一事件因其對機場服務的影響以及在高峰旅行期間給旅客帶來的挑戰而備受關注,并提醒業界針對關鍵基礎設施的網絡犯罪分子所帶來的威脅正在不斷增長。勒索軟件組織Rhysida在發起攻擊后,要求支付600萬美元的比特幣,威脅稱如果不滿足他們的要求,將公開從機場系統中竊取的敏感數據。
此次攻擊影響了多個關鍵系統,包括乘客顯示屏、Wi-Fi連接、自助值機、售票和行李處理系統和flySEA移動應用程序和西雅圖港網站等。盡管航班繼續運營,但許多服務受到嚴重影響。由于自動化系統的故障,乘客不得不依賴人工值機和紙質登機牌。這種情況在繁忙的國際勞動節周末造成了長隊和旅客間的混亂。到9月初,西雅圖港宣布大部分受影響的系統已恢復。然而,一些關鍵功能在攻擊后仍然離線數周。聯邦調查局(FBI)和其他機構對該事件展開了調查。雖然在攻擊過程中一些數據被加密,但在系統恢復后沒有發現其他惡意活動的證據。
CrowdStrike更新失誤致全球Windows系統崩潰
2024年7月19日發生的CrowdStrike更新故障導致的微軟“藍屏死機”故障被認為是歷史上最大的IT中斷事件之一,影響了全球數百萬個系統,并導致各行業面臨重大運營挑戰。此次故障的估計財務損失約為100億美元,使其在規模和對全球商業運營的影響方面成為歷史性事件。
此次故障是由于CrowdStrike的Falcon Sensor安全軟件的配置更新錯誤引發的。該更新被識別為Channel File 291,包含一個邏輯錯誤,導致軟件驅動程序(CSagent.sys)發生越界內存讀取,從而導致系統崩潰。受影響的Windows系統出現了臭名昭著的藍屏死機。全球約有850萬臺Windows受到影響,導致航空、銀行、醫療和緊急服務等關鍵行業出現廣泛中斷。此次事件導致的運營失敗包括航班取消、支付處理問題和基本服務中斷。
倫敦多家NHS醫院因勒索攻擊運營受影響
2024年6月初,病理學和診斷服務提供商Synnovis遭受勒索軟件攻擊,嚴重影響倫敦幾家大型英國國家醫療服務體系(NHS)醫院的運營,攻擊迫使受影響的醫院取消部分醫療程序,部分患者被轉至其他醫院。NHS發出緊急呼吁,倡議倫敦市民捐獻O型血。Synnovis是歐洲最大的醫療檢測和診斷提供商SYNLAB的病理學合作伙伴。6月3日,Synnovis在其網站上發布公告,承認遭遇勒索軟件攻擊,攻擊影響了Synnovis的所有IT系統,導致許多病理學服務中斷。
倫敦NHS發表了關于Synnovis勒索軟件攻擊的聲明,證實該事件對蓋伊醫院和圣托馬斯醫院、倫敦國王學院醫院以及倫敦東南部初級保健服務產生重大影響。NHS確認勒索軟件攻擊已擾亂血液配型測試,因此受影響的醫院正在為無法等待血液配型檢測的患者使用O型血液,NHS呼吁市民緊急捐獻O型血。
Snowflake 被黑導致165家企業數據泄露
2024年4月中旬開始,Snowflake披露遭遇重大數據泄露事件,影響了包括Ticketmaster、Santander和AT&T等大型公司在內的至少165個組織,導致大量敏感數據被盜。此次泄露導致超過3000萬條銀行賬戶信息、2800萬條信用卡號碼和大量員工的個人身份信息(PII)被曝光。
黑客組織ShinyHunters利用了Snowflake客戶的薄弱安全實踐,特別是缺乏多因素認證(MFA)和不良的密碼管理,使用從非Snowflake系統的惡意軟件攻擊中獲得的有效憑證獲得了訪問權限。此次泄露導致敏感客戶數據的未經授權訪問,包括財務信息和個人身份信息。報告顯示,黑客試圖在暗網論壇上出售這些數據,聲稱擁有數百萬客戶的記錄。在泄露事件發生后,Snowflake公司強調此次事件并非由于其平臺的缺陷,而是由于用戶賬戶被攻陷。他們敦促客戶實施多因素認證并加強安全配置。
Change Healthcare 因勒索攻擊損失25億美元
2024年2月披露的美國醫療支付服務提供商 Change Healthcare 遭遇的勒索軟件攻擊事件,導致數千家藥房和醫療提供者因此面臨重大運營挑戰,約1億人的個人信息受到影響。臭名昭著的勒索軟件組織ALPHV/BlackCat聲稱對此次泄露事件負責。攻擊者通過從缺乏多因素認證的Citrix門戶獲取的被盜憑證訪問了Change Healthcare的系統。他們在網絡中潛伏了大約九天,未被發現,隨后部署了勒索軟件。
此次攻擊干擾了超過100個Change Healthcare應用程序,導致系統中斷,影響了全國范圍內的計費、保險索賠處理、處方藥交付等關鍵功能。由于系統被加密,許多醫院和藥房無法正常處理索賠和接收付款,導致醫療服務中斷。此外,攻擊還導致了大量敏感數據被盜,包括個人身份信息、醫療記錄、賬單記錄和保險數據等。與此次攻擊相關的總成本預計將超過 24.5 億美元,包括贖金支付、恢復工作和法律責任。據報道,Change Healthcare支付了2200萬美元的贖金,盡管這一支付并未阻止另一個名為RansomHub的組織進行進一步的敲詐。
2024年1月,微軟披露其遭到了威脅組織“午夜暴風雪”的攻擊。攻擊者主要針對微軟的高級領導團隊成員以及網絡安全、法務等部門的員工,竊取了部分電子郵件和附件,同時還訪問了一些源代碼庫和內部系統。攻擊者首先通過一個遺留的非生產測試租戶賬戶獲得訪問權限,使用密碼噴灑攻擊,這種攻擊方式涉及同時對多個賬戶嘗試大量常見密碼。在獲得初步立足點后,他們從被攻陷的賬戶中竊取了電子郵件和文件。雖然微軟表示此次攻擊并未影響客戶環境、生產系統、源代碼或人工智能系統,但事件暴露了微軟內部網絡的安全漏洞,包括未啟用的多因素認證(MFA)和測試賬號權限過大等問題。
Ivanti零日漏洞被大規模利用
在2024年初,研究人員觀察到Ivanti云服務設備的Connect Secure和Policy Secure網關中存在多個零日漏洞被利用。關于進一步漏洞和實際利用的報告迅速出現,影響了包括政府、軍事、電信、技術、金融、咨詢和航空航天等多個行業的Ivanti客戶。
在攻擊過程中,攻擊者同時利用了多個漏洞,特別是CVE-2024-9379、CVE-2024-9380和CVE-2024-9381,以及之前披露的路徑遍歷漏洞CVE-2024-8963。這種鏈接允許攻擊者提升權限并執行任意命令,從而顯著增加數據泄露和系統泄露的風險。美國網絡安全和基礎設施安全局(CISA)在1月發布了一項緊急指令,要求所有政府民用聯邦機構緩解這些零日漏洞的風險。
參考資料 >
黑客對網絡攻擊的流程與手法(15類),如何防護各種網絡攻擊,你知道嗎?.濮陽網警.2025-05-11
專家解讀|完善法律責任制度 筑牢網絡安全屏障.中國網信網.2025-05-11
2024 年預防網絡攻擊的 12 項網絡安全最佳實踐措施.微信公眾平臺.2025-05-11
中國計算機學會計算機安全專委會發布2024年網絡安全十大發展趨勢.新華社.2025-05-11
信息安全工程師網絡安全風險評估技術方法與工具.內蒙古工業大學網絡空間安全研究所.2025-05-11
重點防范境外惡意網址和惡意IP.湖北省互聯網信息辦公室.2025-05-11
專家:多國力推網絡安全立法 美頒4部法保護關鍵基礎設施.中國網信網.2025-05-11
日本“主動網絡防御”相關法案獲眾議院通過.百家號.2025-05-11
中華人民共和國網絡安全法.中國網信網.2025-05-11
中方再次披露美情報機構對我網絡攻擊事件.環球時報.2025-05-11
美網絡攻擊我國某智慧能源和數字信息大型高科技企業事件調查報告.國家互聯網應急中心CNCERT.2025-05-11
網絡安全宣傳周|這些真實案例 可能就在身邊發生.中國網信網.2025-05-11
CNCERT發現處置兩起美對我大型科技企業機構網絡攻擊事件.國家互聯網應急中心.2025-05-11
詳情公布!西北工業大學遭美國國家安全局網絡攻擊.澎湃新聞.2025-05-11
2024年十大網絡安全事件盤點.中共長沙市委黨校(長沙行政學院).2025-05-11