1、Zero-days
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
(1) 攻击威胁
在过去安全漏洞被利用一般需要几个月甚至更长的时间,而如今发现与利用之间的间隔已经减少到数天。攻击由之前的被动式、传播缓慢的文件和宏病毒,演化为更主动、自我传播的电子邮件蠕虫和混合威胁。一般使用防火墙、入侵检查系统和防病毒软件来保护关键业务IT基础设施。尽管这些系统提供了良好的第一保护,但不能完全避免零日漏洞攻击。
(2) 防御方法
预防:安装和遵守适应业务与应用需要的防火墙政策,随时升级防病毒软件,阻止潜在有害的文件附件,随时修补所有系统抵御已知漏洞。漏洞扫描是评估预防规程有效性的好办法。
实时保护:部署提供全面保护的入侵防护系统。在考虑IPS时,寻找以下功能:网络级保护、应用完整性检查、应用协议“征求意见”确认、内容确认和取证能力。
计划的事件响应:即使企业采用以上措施,仍可能会受到“零日漏洞”影响。周密计划的事件响应措施、及包括关键任务活动优先次序在内的规则和规程,可以让企业损失减少到最小。
即使“零日漏洞”对企业的攻击性高,但是部署到位的安全保护措施,可以大大降低关键数据和系统面临的风险。
2、未修补的软件
研究表明,未修补的漏洞是绝大多数数据泄露的根源,未修补或未更新的软件可能是主要的IT安全风险。在现实中,许多公司并不总是立即更新他们的浏览器,即使这附带了很大的风险。
解决办法:确保始终更新软件,执行此操作的最佳方法是允许软件在更新可用时自动更新。,每当有人使用该软件时,它将检查是否有可用的更新,并将安装此更新,以确保您的计算机免受攻击。
3、 恶意软件
恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。恶意软件由多种威胁组成,会不断弹出,需要采取多种方法和技术来进行反病毒保护。
4、社会工程学
近年来,很多黑客利用社会工程学手段,突破信息安全防御措施的事件,以不同的形式与多样的攻击向量进行传播。如下所示:
(1) 伪造一封来自好友的电子邮件:这是一种常见的利用社会工程学策略,从网络人群中攫取信息的方式。攻击者只要窃取一个电子邮件帐户,并发送含有间谍软件的电子邮件到联系人邮箱上。通常人们容易相信来自熟人的邮件附件或链接,这让攻击者更加轻松得手。
(2) 钓鱼攻击:大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者。通常网络骗子会冒充成你所信任的服务提供商来发送邮件,要求通过给定的链接尽快完成账户资料更新或升级现有的软件而获取用户信息。
(3) 诱饵计划:在这类型的社会工程学阴谋中,攻击者利用用户对于最新电影或者热门MV的超高关注,对其个人信息进行挖掘。另一个流行方法是以低价贱卖热门商品,用户也很容易上钩。邮件中提供的商品通常是不存在的,而攻击者却利用了你的eBay账户获得银行信息。
(4) 主动提供技术支持:攻击者冒充来自于微软等公司的技术支持团队,回应用户的一个解决技术问题的请求。尽管用户从没寻求过这样的帮助,但会因为自己正在微软产品并存在技术问题而尝试点击邮件中的链接享用这样的“免费服务”。用户一旦回复了这类的邮件,与攻击者建立了互动,攻击者就会伪造一些命令在用户的系统中运行,从而获得系统的更大权限,窃取个人资料。
5、密码攻击
尝试获取或解密用户的密码以供非法使用。黑客可以在密码攻击中使用破解程序,字典攻击和密码嗅探器,针对密码攻击的防御相当有限,但通常包括密码策略,包括最小长度,无法识别的单词和频繁的更改。
6、 MITM
中间人攻击(MITM)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段,将被入侵者所控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间。中间人攻击更早前就成为了客常用的攻击手段,至今还具有极大的扩展空间。
在网络安全方面,MITM攻击的使用是很广泛的,曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
7、数据泄露
数据泄露是一种安全事件,其中敏感,受保护或机密数据被未经授权的个人复制、传输、查看、窃取或使用。数据泄露可能涉及财务信息,如信用卡或银行详细信息,个人健康信息(PHI),个人身份信息(PII),公司的商业秘密或知识产权。
8、 配置错误
如果组件因为不安全的配置选项而容易受到攻击,就有可能会发生安全性错误配置漏洞。这通常是由于不安全的默认配置,缺乏文档的默认配置或可选配置的文档记录不良而导致的,可能包括未能在Web服务器上设置有用的安全标头,以及忘记禁用可授予攻击者管理访问权限的默认平台功能。
9、拒绝服务
拒绝服务攻击即是攻击者想办法让目标机器停止提供服务。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,原因是网络协议本身的安全缺陷。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。
10、用户错误
错误的安全配置可能会发生在应用栈的任何一个层级上,包括平台,Web服务器,应用服务器,数据库,框架,以及自定义代码。开发者以及系统管理员需要协作以确保整个栈被正确的配置。自动扫描器对检测未打补丁,错误配置,使用默认用户,不必要的服务等很有帮助。
11、物理访问
物理访问指的是人们物理访问计算机系统的能力,开辟了各种黑客攻击途径。入侵者可能能够从CD或其他外部媒体启动,读取硬盘驱动器上的未加密数据,他们也可能利用引导加载程序中缺少访问控制,还可以使用恶意设备访问安全性较差的无线网络,如果信号足够强大,甚至可能不需要突破周边。
12、内幕人士/合伙人/顾问/供应商/第三方
这是一种内部威胁,是指前员工或现员工,有权限访问组织的网络系统、数据等信息的承包商或业务合作伙伴,利用这种机会来窃取机密,破坏组织网络系统的完整性或可用性。内部威胁可能包括欺诈,盗窃知识产权或商业秘密,进行未经授权的交易,间谍活动以及破坏IT基础设施。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安