下载掌阅APP,畅读海量书库
立即打开
综合业界网络安全研究机构发布的报告,从攻击目标层面讨论,针对基础设施、Web 网站和服务、特定用户的攻击较为普遍。其中,针对基础设施的攻击占所有攻击事件的一半左右;针对Web网站和服务的攻击占所有攻击事件的26%;针对特定用户、终端设备、物联网设备和金融终端(如POS机、ATM机)的攻击也在所有攻击事件中占一定比例。
恶意黑客的身份可被大致分为如下几种类型。
(1)内部员工(对组织不满或无意识操作)。
(2)恶意黑客个体/组织。
(3)竞争对手。
(4)网络犯罪集团。
(5)恐怖分子。
(6)其他政府或情报部门。
以针对基础设施的攻击为例,典型的攻击方式如图3-1所示。
图3-1 典型攻击方式
下面对其中一些攻击方式进行介绍。
钓鱼攻击属于社会工程学攻击,恶意黑客会伪装成受害者信任的合法实体并与之交互,从而诱导受害者泄露自身相关的机密信息,如身份验证凭据(账号、密码等)或财务信息等。这些机密信息会被恶意黑客恶意利用,因此钓鱼攻击本质上是进行信息收集。
当受害者打开恶意的电子邮件、即时消息或文本消息时,如果点击了恶意链接,那么可能引发各类恶意动作,如恶意软件的安装、勒索软件的下载或敏感信息遭到泄露。
对个人而言,钓鱼攻击会给受害者造成声誉或财产方面的损失;对组织而言,其可能作为大规模攻击[如APT(Advanced Persistent Threat,高级持续性威胁)事件]的前奏,被用于绕过安全边界,在封闭环境中分发恶意软件或获得对敏感数据的特权访问,从而影响该组织的声誉和消费者对它的信任度,导致其市场份额降低,并遭受严重的财务损失。
根据影响程度的不同,钓鱼攻击甚至可能升级为安全事件。
除钓鱼攻击外,未及时给系统打补丁,从而使已知漏洞遭受攻击的场景也有很多。据研究,发生数据泄露的组织中,高达50%以上的组织认为,导致其数据泄露的罪魁祸首是他们尚未修补的已知漏洞;约34%的组织表示,他们在受到攻击之前就知道自己的系统存在漏洞。
通过安装软件更新来修补安全漏洞似乎是一件毫不费力的事情,但事实并非如此。一方面,在更新应用或打补丁之前,组织需要进行充分的测试,以避免破坏或影响自身的业务;另一方面,组织不仅需要考虑停机时间、历史遗留系统,以及其与现有软件和操作系统的兼容性问题,还需要与恶意黑客“赛跑”。在漏洞被利用之前,组织应在其所有系统中及时更新应用或打补丁。
若存在未打补丁的漏洞,则在组织中建设、完善有效的漏洞响应流程是很有必要的。漏洞响应团队应及时联合IT人员、安全人员,根据漏洞的利用风险确定补丁的优先级,尽可能实现漏洞响应流程自动化,并提高其响应效率。
DoS攻击是一种恶意尝试,旨在影响目标系统(如网站或应用程序)对合法用户的可用性。通常,恶意黑客会生成大量数据包或访问请求,以使目标系统不堪重负。DDoS攻击是指恶意黑客使用多个被破坏或受控制的来源,生成对目标系统的攻击。
按照OSI模型的层级,DDoS攻击一般发生在网络层、传输层和应用层。
广义上讲,DoS攻击和DDoS攻击可分为以下3种类型。
(1)基于流量的攻击:包括UDP泛洪、ICMP泛洪和其他欺骗性数据包泛洪。该攻击的目的是占满被攻击网站的带宽,从而使该网站无法为合法用户提供服务。衡量流量攻击强度的单位是BPS(Bits Per Second,每秒比特数)。
(2)基于协议的攻击:包括SYN泛洪、分片数据包攻击等。该攻击的目的是消耗网站服务器的资源,或者消耗防火墙和负载均衡设备的资源,从而使该网站无法为合法用户提供服务。衡量协议攻击强度的单位是PPS(Packets Per Second,每秒数据包个数)。
(3)应用层攻击:包括低速和慢速攻击,GET/POST泛洪,以及针对Apache服务器漏洞、Windows或Linux操作系统漏洞的攻击等。这些攻击由看似合法的请求组成,其目标是使Web服务器崩溃,从而使其无法为合法用户提供服务。衡量应用层攻击强度的单位是RPS(Requests Per Second,每秒请求数)。
SQL是一种查询语言,旨在管理关系型数据库中存储的数据,其可被用于读取、修改和删除数据,部分数据库系统还支持使用SQL命令来运行操作系统命令。
SQL注入攻击是注入攻击中的一种。恶意黑客将恶意代码插入SQL语句,并将该SQL语句传递到数据库服务器进行解析和执行,从而达成恶意目的。成功开展SQL注入攻击的前提是恶意黑客首先在前端的网页或Web应用程序中找到易受攻击的用户输入。SQL注入漏洞是指后台执行的SQL查询中,会使用此类攻击的恶意黑客可以操控内容的输入。该输入通常称为恶意负载,是攻击的关键。恶意黑客发送此内容后,将在数据库中执行恶意SQL命令。
如果恶意黑客成功实施了SQL注入攻击,那么其可以从数据库中读取敏感数据、修改数据库中的数据(对其进行插入、删除、更新),以及对数据库执行管理操作(如关闭数据库实例)。甚至在某些情况下,恶意黑客可以向服务器的操作系统发送命令。
除直接篡改用户的输入并拼接 SQL查询语句这种传统方式外,一些新型的 SQL注入攻击逐渐出现。例如,篡改本地的浏览器Cookie,并在Web应用程序处理Cookie信息时将SQL注入服务器数据库。此外,在网络协议中由客户端生成的参数(如 HTTP头)也可能被恶意黑客用作SQL注入攻击的载体。如果Web应用程序没有对这些输入进行清理,那么包含SQL注入的伪造头文件就可能将该代码注入数据库。
与SQL注入攻击类似,跨站脚本攻击也是一种客户端代码注入攻击,但二者在实现机制上存在很大不同。跨站脚本攻击是在合法的网页或网络应用程序中加入恶意代码,从而在受害者的网络浏览器中执行恶意脚本。当受害者访问包含恶意代码的网页或网络应用程序时,实际的攻击就会发生。通常,允许用户输入的网页(如留言板、论坛或网页评论区等)是跨站脚本攻击的常见载体。
恶意黑客将恶意脚本发送给对攻击无感知的最终用户后,最终用户的浏览器不知道该脚本不受信任,因此将正常执行该脚本。由于浏览器认为该脚本可信,因此允许其访问与该网站相关的缓存信息,如Cookie、会话令牌或其他敏感信息。更为严重的是,恶意脚本甚至可以重写HTML页面的内容。
产生跨站脚本攻击的原因多种多样,但其基本原理是类似的。如果Web应用程序在其生成的输出中使用来自用户的输入,而不进行验证或编码,那么最终用户的浏览器在解析此输出时,将解析其中嵌入的恶意代码,从而受到该漏洞的影响。恶意代码中的内容通常以在HTML中嵌入JavaScript代码,或者HTML、Flash、VBScript、ActiveX等形式体现。