一、 主要网络攻击类型分类
- 基于传播方式的恶意软件类攻击:
- 病毒: 附着在合法程序上的恶意代码,执行时自我复制并感染其他文件/程序。
- 蠕虫: 独立的恶意程序,利用系统或网络漏洞自我复制和传播,无需宿主文件。
- 木马: 伪装成合法软件的恶意程序,用户主动运行后,为攻击者建立后门或窃取信息。
- 勒索软件: 加密用户文件或锁定系统,要求支付赎金以恢复访问。
- 间谍软件: 在用户不知情下秘密收集敏感信息(如密码、浏览记录、键盘输入)。
- 广告软件: 强制显示广告,通常捆绑在免费软件中,可能收集用户信息。
- 僵尸网络: 大量被植入恶意软件(Bot)的设备组成网络,受攻击者控制发起DDoS、发送垃圾邮件等。
- 针对访问凭证的攻击:
- 密码攻击:
- 暴力破解: 尝试所有可能的密码组合。
- 字典攻击: 尝试常用密码或字典中的单词组合。
- 密码喷洒: 对大量账户尝试少量常用密码。
- 彩虹表攻击: 利用预先计算的哈希值表破解密码。
- 凭证窃取:
- 键盘记录器: 恶意软件记录用户击键,窃取账号密码。
- 网络钓鱼: 诱导用户访问假冒网站/打开恶意文件,欺骗其输入凭证。
- 中间人攻击: 拦截通信(如通过恶意Wi-Fi),窃听或篡改信息,包括凭证。
- 凭证填充: 利用在其他网站泄露的用户名密码组合,尝试登录其他系统(用户重复使用密码)。
- 密码攻击:
- 利用软件漏洞的攻击:
- 零日攻击: 在软件漏洞被发现但尚未发布补丁之前发起的攻击。
- 未修复漏洞攻击: 利用已知但未打补丁的系统或应用漏洞。
- 注入攻击:
- SQL注入: 攻击者通过在Web表单输入恶意SQL代码,操控后台数据库,窃取、篡改或删除数据。
- 跨站脚本攻击: 在网页中注入恶意脚本,当其他用户访问时执行,窃取其Cookie、会话或重定向到钓鱼网站。
- LDAP注入、OS命令注入: 类似原理,但针对不同系统。
- 溢出攻击:
- 缓冲区溢出: 利用程序未严格检查输入数据长度的漏洞,将恶意代码送入内存并执行。
- 堆栈溢出: 缓冲区溢出的特定形式。
- 拒绝服务攻击:
- DoS攻击: 单台或多台主机向目标发送大量请求,耗尽目标资源(带宽、处理能力),使其无法提供正常服务。
- DDoS攻击: 利用分布式僵尸网络(Botnet)发起的大规模DoS攻击,更难防御和溯源。
- 社会工程学攻击: 利用人的心理弱点而非技术漏洞。
- 网络钓鱼: 假冒合法来源(银行、公司、政府)的欺诈邮件、短信,诱导点击链接、下载附件或泄露信息。变种包括鱼叉式钓鱼(针对特定目标)、鲸钓(针对高管)、短信钓鱼。
- 钓鱼电话: 假冒官方人员(如IT支持、银行客服)索要敏感信息或诱导操作。
- 诱饵攻击: 利用人的好奇或贪婪(如免费U盘、奖品),诱导连接恶意设备或下载恶意文件。
- 假冒: 伪装成受信任的个人或组织(CEO欺诈)。
- 尾随: 跟随授权人员进入安全区域。
- 高级持续性威胁:
- APT攻击: 通常由国家支持或有组织背景,针对特定目标(政府、企业、关键基础设施)进行长期、复杂、多阶段的秘密攻击,旨在窃取敏感信息或实施破坏。攻击链长,组合多种技术。
- 其他重要类型:
- 中间人攻击: 攻击者在通信双方之间秘密拦截、篡改或窃听数据(如通过ARP欺骗、恶意热点)。
- DNS欺骗/投毒: 篡改DNS解析结果,将用户引导到恶意网站。
- 端口扫描和嗅探: 攻击者扫描目标主机开放的端口和服务,寻找潜在漏洞。嗅探网络流量以捕获明文传输的数据(如密码)。
- 加密劫持: 未经用户许可,利用其设备资源(CPU、GPU)进行加密货币挖矿。
- 供应链攻击: 通过攻击软件供应商、服务提供商,在合法软件/硬件/服务中植入后门或恶意代码,影响其下游用户。
- 撞库攻击: 与凭证填充类似,特指使用一组用户名密码尝试登录多个网站/服务。
二、 核心网络防御策略和措施
防御是一个多层次的综合策略(“深度防御”),没有单一方法能解决所有问题。以下措施覆盖了人员、流程和技术层面:
- 更新与补丁管理:
- 及时更新: 对所有操作系统、应用程序、固件、防病毒软件进行及时更新,修复已知漏洞。启用自动更新。
- 补丁管理流程: 企业应建立严格的测试和部署补丁流程,平衡安全性与系统稳定性。
- 防病毒/反恶意软件:
- 安装并维护: 在所有设备上部署可靠的防病毒/反恶意软件解决方案(包括端点检测与响应解决方案)。
- 定期扫描与更新: 保持病毒库和引擎实时更新,并定期进行全系统扫描。
- 防火墙:
- 部署防火墙: 在网络边界(硬件防火墙)和每个主机(软件防火墙)部署并配置防火墙。
- 合理配置规则: 只允许必要的端口和服务进出网络/主机,遵循最小权限原则。
- 网络安全隔离:
- 网络分段: 将网络划分为不同的安全区域(如办公网、服务器区、DMZ区),不同区域之间实施访问控制策略,限制攻击的横向移动。
- VLAN: 利用虚拟局域网技术隔离广播域和设备组。
- 安全访问控制与身份认证:
- 强密码策略: 要求使用长、复杂、唯一的密码(>12位,含大小写、数字、特殊字符)。强制定期更换。
- 禁用默认账户/凭证: 更改所有默认用户名和密码。
- 最小权限原则: 只授予用户和程序完成任务所必需的最小权限。
- 多因素认证: 对关键系统和应用(邮箱、服务器管理、远程访问)强制启用MFA,即使密码泄露也能提供保护。
- 零信任模型: 不默认信任任何内外部用户/设备,持续进行身份验证和授权。
- 邮件与网络过滤:
- 部署过滤器: 在邮件服务器和网关部署垃圾邮件过滤、恶意URL过滤、附件过滤等技术。
- Web内容过滤: 限制访问已知恶意网站或高风险类别的网站。
- 加密:
- 传输层加密: 强制使用HTTPS (SSL/TLS) 访问网站,加密浏览器与服务器之间的通信。
- 数据静止加密: 对存储在设备、服务器和云端的敏感数据进行加密(如全盘加密)。
- VPN: 在远程访问或使用公共Wi-Fi时使用VPN加密通信通道。
- 备份与恢复:
- 定期备份: 对关键业务数据和系统进行定期、自动化备份。
- 3-2-1原则: 至少保留3份备份,使用2种不同介质(如硬盘+磁带),其中1份存放异地(或隔离的云存储)。
- 离线/不可变备份: 针对勒索软件,确保有离线或不可变(写后不能修改/删除)的备份。
- 测试恢复: 定期测试备份文件是否可恢复,确保备份有效性。
- 入侵检测与防护系统:
- 部署IDS/IPS: 在网络边界和关键网段部署IDS检测可疑活动,IPS可尝试自动阻止已知攻击。
- 安全意识培训:
- 定期培训: 对所有员工进行持续的网络安全意识培训,内容覆盖:
- 识别钓鱼邮件/网站/电话(尤其是附件和链接)。
- 密码安全(强密码、不共享、不重复使用)。
- 安全使用移动设备和U盘。
- 物理安全。
- 公共Wi-Fi风险。
- 了解最新网络诈骗手法。
- 模拟测试: 定期进行模拟钓鱼演练,检验培训效果。
- 定期培训: 对所有员工进行持续的网络安全意识培训,内容覆盖:
- 事件响应计划:
- 制定并演练: 制定详细的网络安全事件响应计划,明确角色、职责、报告流程和处置步骤。定期进行模拟演练。
- 其他技术措施:
- 端点检测与响应: 提供比传统AV更强的威胁检测、调查和响应能力。
- 安全信息和事件管理: 集中收集、关联和分析来自不同设备的安全日志,提升威胁可见性。
- Web应用防火墙: 专门保护Web应用免受注入、XSS等攻击。
- 禁用不必要的服务: 关闭或卸载系统上非必需的服务、端口和功能(如远程桌面、SMBv1)。
- 访问日志与审计: 启用并定期审查关键系统的访问日志。
关键原则总结
- 深度防御: 没有单一的“银弹”,需要层层设防。
- 最小权限: 用户和设备只能访问必要资源。
- 零信任: 持续验证,永不默认信任。
- 持续监控与响应: 及时发现并处置威胁。
- 人员是薄弱环节: 安全意识至关重要。
- 计划先行: 备份和事件响应计划是最后的防线。
- 保持更新: 威胁在不断变化,防御策略和技术也需持续更新。
防御网络攻击是一个持续的、动态的过程,需要组织和个人持续投入资源、保持警惕并适应新的威胁形势。结合技术手段、流程管理和人员意识提升,才能构建起较为坚固的网络安全防护体系。