1. 偵察:在這一環(huán)節����,黑客可能會(huì )調查外部網(wǎng)絡(luò )��、社交媒體活動(dòng)和任何存儲的憑據����。根據“憑據轉儲”使黑客能夠滲入到組織的電子郵件賬戶(hù)或虛擬專(zhuān)用網(wǎng)(VPN)����。
2. 滲透:初始掃描和探測可讓黑客找到一條或多條潛在的攻擊途徑�����。一旦發(fā)現薄弱環(huán)節�����,不法分子會(huì )企圖用它來(lái)訪(fǎng)問(wèn)其他易受攻擊的賬戶(hù)和硬件�。
3. 漏洞研究:訪(fǎng)問(wèn)低級賬戶(hù)可帶來(lái)關(guān)于操作系統���、網(wǎng)絡(luò )組織及層次結構以及數字資產(chǎn)位置的大量信息�����。黑客可以利用IPConfig��、ARP緩存和Netstat等操作系統實(shí)用工具來(lái)收集有關(guān)攻擊目標數字環(huán)境的其他信息����。
4. 額外的憑據和訪(fǎng)問(wèn)權竊?�。汉诳褪褂眠@一級訪(fǎng)問(wèn)權來(lái)擴大目標網(wǎng)絡(luò )的控制權���。擊鍵記錄程序�、網(wǎng)絡(luò )釣魚(yú)嘗試和網(wǎng)絡(luò )嗅探器等工具���,可以使用一個(gè)受感染的IT區域收集另一個(gè)IT區域的信息���。
5. 進(jìn)一步的系統入侵:如果有足夠的權限����,攻擊者可以不間斷地訪(fǎng)問(wèn)這些受感染資產(chǎn)����,并可以使用PowerShell和遠程桌面軟件等控制類(lèi)應用軟件��,繼續發(fā)動(dòng)攻擊����。
成功的橫向移動(dòng)攻擊可以使攻擊者闖入用戶(hù)現有系統�����,并訪(fǎng)問(wèn)系統資源���。橫向移動(dòng)攻擊的特點(diǎn)是����,黑客利用在某個(gè)點(diǎn)非法獲取的網(wǎng)絡(luò )訪(fǎng)問(wèn)權�,收集系統其他部分的信息并實(shí)施攻擊活動(dòng)�����。這包括訪(fǎng)問(wèn)額外的憑據���、利用配置不當的功能以及鉆軟件漏洞的空子等�����。如果沒(méi)有適當的預防措施��,黑客獲取網(wǎng)絡(luò )中某個(gè)點(diǎn)的訪(fǎng)問(wèn)權后���,就能訪(fǎng)問(wèn)另外幾個(gè)點(diǎn)�����。
2�����、態(tài)勢感知之安德斯雷理論模型米卡·安德斯雷在1995年發(fā)表了一個(gè)SA狀態(tài)的理論框架模型��,對SA狀態(tài)的組成描述為三個(gè)步驟或階段�����。第一級SA——感知:達至SA的第一步是感知對環(huán)境中相關(guān)元素的狀態(tài)��、屬性和動(dòng)向�����。因此����,最基本的SA包括了監察��、偵察線(xiàn)索及簡(jiǎn)單的辨認���,以致意識到多個(gè)情境元素及它們目前的狀態(tài)(地點(diǎn)�、境況�、模式�����、動(dòng)作)����。第二級SA——理解:SA的下一階段包含了模式辨認�、解釋和評價(jià)���,把還沒(méi)有關(guān)聯(lián)的第一級SA的元素綜合起來(lái)���。第二級SA需要把資訊整合起來(lái)����,并明白它會(huì )怎樣對目的和目標做成影響��。這包括了發(fā)展出一幅對所關(guān)注的事物的整體畫(huà)面����。第三級SA——預測:第三及最高級別的SA包括了對環(huán)境元素的未來(lái)動(dòng)向作出投影���。第三級SA需要同時(shí)先獲得狀態(tài)����、動(dòng)向及情況的理解(第一及二級SA)�����,然后將這個(gè)資訊在時(shí)間上往前推以判斷它會(huì )怎樣影響操作環(huán)境的未來(lái)����。安德斯雷的SA模型也指出數個(gè)對發(fā)展及維持SA有影響的變數����,包括個(gè)人����、事務(wù)���、環(huán)境性因素�����。
網(wǎng)絡(luò )安全威脅運營(yíng)團隊的態(tài)勢感知以簡(jiǎn)明��、豐富�����、通常是圖形化��、優(yōu)先化且易于搜索的視圖的形式出現�����,這些視圖位于安全責任區域內部或與之相關(guān)的系統)����。不同的研究分析了在電子健康�����、網(wǎng)絡(luò )安全����、或使用協(xié)作方法來(lái)提高用戶(hù)意識的背景下對安全和隱私的感知�����。也有研究努力使通信網(wǎng)絡(luò )信息的處理自動(dòng)化����,以獲得或提高網(wǎng)絡(luò )態(tài)勢感知�����。
共享計算機現如今已經(jīng)成為普遍的網(wǎng)絡(luò )行為�,但是這種資源共享行為很可能會(huì )無(wú)意間泄露用戶(hù)的隱私信息����。由于同一臺計算機上運行的多個(gè)程序可能共享相同的內存資源�����,因此它們中存放的隱私數據(例如存儲在計算機內存中的加密密鑰或用戶(hù)密碼)可能會(huì )被惡意程序通過(guò)“內存時(shí)序側信道攻擊”竊取����。側信道內存攻擊目前在現實(shí)中并不常見(jiàn)���,原因在于�����,這種攻擊通常具有高度的復雜性�,不僅需要定制攻擊程序�����,還要對電信號的工作原理以及操縱模式非常了解����。但是�,研究發(fā)現����,一些高級攻擊者已經(jīng)開(kāi)始利用該技術(shù)對高價(jià)值目標發(fā)起針對性攻擊�。值得一提的是���,北卡羅來(lái)納州立大學(xué)研究人員不久前正是通過(guò)側信道攻擊�����,實(shí)現了對同態(tài)加密技術(shù)的繞過(guò)�����。攻擊方僅通過(guò)監聽(tīng)執行同態(tài)加密編碼操作的設備功耗����,就成功以明文形式提取了同態(tài)加密中的數據����。這件事情也為行業(yè)敲響了警鐘�����,警示我們即便是下一代加密技術(shù)也同樣需要針對側信道攻擊的有效防護機制�。
隨著(zhù)物聯(lián)網(wǎng)市場(chǎng)規模不斷擴大�,且與人們生活聯(lián)系日益密切���,遭受黑客攻擊的可能性也不斷增加�����。數據顯示����,70%以上的物聯(lián)網(wǎng)設備都可能存在類(lèi)似問(wèn)題����。為了防范聯(lián)網(wǎng)設備遭受攻擊�,防堵信息漏洞��,芯片廠(chǎng)商紛紛在新一代的網(wǎng)絡(luò )通信產(chǎn)品中增加各種驗證手段與硬體加解密功能��,強化系統的軟硬件防護能力���。安全性成為未來(lái)一段時(shí)期芯片廠(chǎng)商重點(diǎn)強調的性能�。
1����、AES����。高級加密標準是美國政府以及其他組織使用的可信標準算法��。盡管128位形式已經(jīng)非常安全了���,但AES還會(huì )使用192位和256位密鑰來(lái)實(shí)現非??量痰募用苣康?���。
2��、三重DES���。三重DES是原始數據加密標準(DES)算法的繼承者�����,該算法是為應對試圖破壞DES的黑客而創(chuàng )建的���。TripleDES對每個(gè)數據塊應用三次DES算法�,通常用于加密UNIX密碼和ATMPIN����。
3��、RSA�����。RSA是一種公鑰加密非對稱(chēng)算法���,是對網(wǎng)絡(luò )傳輸的信息進(jìn)行加密的標準���。RSA加密功能強大且可靠���,它會(huì )產(chǎn)生大量亂碼����,破解會(huì )耗費大量時(shí)間和精力�。
4�、Blowfish���。Blowfish是另一種旨在替代DES的算法�����。這個(gè)對稱(chēng)工具將消息分成64位塊并單獨加密它們����。Blowfish在速度�����、靈活性和堅不可摧方面享有盛譽(yù)��。
5���、Twofish�����。TWofish算法是典型的分組加密算法����,即對固定長(cháng)度的一組明文進(jìn)行加密的算法��。它將明文按一定的位長(cháng)分組�,明文組和密鑰組的全部經(jīng)過(guò)加密運算得到密文組�����。解密時(shí)密文組和密鑰組經(jīng)過(guò)解密運算(加密運算的逆運算)��,還原成明文組�。
數據加密是將數據從可讀格式轉換為加擾信息的過(guò)程�����。這樣做是為了防止窺探者讀取傳輸中的機密數據�����。加密可以應用于文檔��、文件�、消息或任何其他形式的網(wǎng)絡(luò )通信�。為保持數據完整性��,加密作為重要工具的價(jià)值不容小覷�。我們在互聯(lián)網(wǎng)上看到的所有東西����,幾乎都經(jīng)過(guò)某種加密層���,無(wú)論是網(wǎng)站還是應用程序����,使用數據加密技術(shù)是保護企業(yè)數據的首選�。
5��、網(wǎng)絡(luò )攻擊從1G到5G的一個(gè)嬗變1G:1G網(wǎng)絡(luò )攻擊是病毒感染���,主要是軟盤(pán)污染���。20世紀80年代后期�,軟盤(pán)在獨立PC之間傳輸文件��。
2G:始于20世紀90年代中期�����,互聯(lián)網(wǎng)開(kāi)始流行�。由于所有企業(yè)都渴望與互聯(lián)網(wǎng)連接���,一旦連接到互聯(lián)網(wǎng)���,任何人都可以進(jìn)入網(wǎng)絡(luò )�����。為阻止這種情況發(fā)生����,防火墻應運而生����。
3G:二十一世紀初開(kāi)始�,網(wǎng)絡(luò )犯罪開(kāi)始傾向于有組織犯罪����。攻擊的目標已經(jīng)變得特別像郵件服務(wù)器�����、網(wǎng)絡(luò )服務(wù)器和應用程序�����,因為犯罪分子它可以成為黑客的經(jīng)濟收入來(lái)源���。竊取個(gè)人和公司信息成為其工作目標���。
4G:時(shí)間到了2007年�,網(wǎng)絡(luò )攻擊進(jìn)入4G時(shí)代�。這個(gè)時(shí)代的攻擊是使用可以輕松進(jìn)入任何易受攻擊的機器并從中竊取數據的工具完成的�����。
5G:當2017年勒索病毒爆發(fā)�����,首當其沖的是英國的醫療����、和我國的教育行業(yè)大面積受影響���。專(zhuān)家認為這些攻擊特征之一���,是由國家贊助的����,并使用由國家組織開(kāi)發(fā)的技術(shù)�。比如美國CIA開(kāi)發(fā)的Vault 7以及Vault 8系列攻擊���。這類(lèi)攻擊覆蓋網(wǎng)絡(luò )�����、移動(dòng)設備甚至云端�。
信息技術(shù)發(fā)展是迅猛的�����,而帶來(lái)的變革也是日新月異的���。近現代計算機信息技術(shù)的短短幾十年間的變化��,安全防護與侵入攻擊也在同步發(fā)展中����。網(wǎng)絡(luò )攻擊的發(fā)展已經(jīng)成為規模�����,并且穩健的增長(cháng)著(zhù)�,正應了尤金卡巴斯基的一個(gè)觀(guān)點(diǎn)�,基本上是如果我們面對網(wǎng)絡(luò )攻擊�����,一味單打獨斗最終必然面臨的是失敗�。如何綜合考慮應對網(wǎng)絡(luò )攻擊����,打組合拳變得十分重要��。
6���、網(wǎng)絡(luò )保險業(yè)的未來(lái)網(wǎng)絡(luò )保險是個(gè)正在嘗試的新險種���,這意味著(zhù)許多現有客戶(hù)實(shí)際上是試驗品�����。而且當前不斷增加的保費和除外責任以抵消不斷上升的索賠的模式是不可持續的���。保險公司已經(jīng)意識到這一點(diǎn)����,并正在積極尋求解決方案�����。雙方的目的是一樣的�,提高安全性����,降低網(wǎng)絡(luò )攻擊造成的損失����。Resilience首席執行官Vishaal Hariprasad認為�,解決方案將伴隨著(zhù)投保人�����、網(wǎng)絡(luò )安全和保險公司之間的新關(guān)系而產(chǎn)生��?��!霸?016年����,可以購買(mǎi)價(jià)值100萬(wàn)美元的網(wǎng)絡(luò )保險��。經(jīng)紀人會(huì )問(wèn)����,你有IT人員嗎?你們買(mǎi)了防火墻嗎?但他們從來(lái)沒(méi)有問(wèn)防火墻是否打開(kāi)過(guò)����,因為整個(gè)保險業(yè)都不在乎�。但這是必須改變的�,保險公司需要知道���,你的防火墻打開(kāi)了嗎?它是否一直在更新?是否不斷引入正確的數據源?是否在監控?”保險人和被保險人之間需要一種新的合作關(guān)系����。換句話(huà)說(shuō)����,保險公司通過(guò)與威脅信息共享機構的關(guān)系���,要成為客戶(hù)的網(wǎng)絡(luò )安全顧問(wèn)��。投保人和保險人都在尋求同一個(gè)目的——更好的網(wǎng)絡(luò )安全�����。
網(wǎng)絡(luò )保險是一項正在進(jìn)行的工作�,許多現有客戶(hù)實(shí)際上是“小白鼠”��。網(wǎng)絡(luò )保險業(yè)的基本問(wèn)題很容易陳述����,但很難解決��。收入(保費)必須超過(guò)支出(索賠)約30%(運營(yíng)成本+利潤)��。如果索賠增加����,保險模式的保費也必須增加���,才能維持下去����。網(wǎng)絡(luò )保險和網(wǎng)絡(luò )安全必須學(xué)會(huì )協(xié)調工作�����,而不是被視為彼此的替代品��。
(1)所有敏感數據集中在一處�,這就好比“將雞蛋放在一個(gè)籃子里”��,而且���,這個(gè)“籃子”里還可能包含信用卡詳細信息以及安全票據��。
(2)備份并非總是可行�����。如果服務(wù)器出現故障���,用戶(hù)將唯一的希望寄托在提供商身上;如果用戶(hù)將存儲庫在一臺設備上保持離線(xiàn)狀態(tài)��,這種風(fēng)險會(huì )成倍增加����。
(3)并非所有設備都足夠安全�����。黑客利用相同的漏洞便能在一次攻擊中獲取用戶(hù)的所有登錄信息��。如果用戶(hù)設備感染了惡意軟件����,密碼管理器也可能會(huì )被黑����,用戶(hù)輸入主密碼會(huì )被記錄下來(lái)�����,從而使網(wǎng)絡(luò )犯罪分子獲得對存儲數據的完全訪(fǎng)問(wèn)權限���。
(4)不使用生物特征認證��。生物識別身份驗證是增加額外安全防護層的好方法����。
(5)糟糕的密碼管理器�。如果一款密碼管理器具有較弱的加密功能�,提供的功能很少�,并且用戶(hù)反饋很差的話(huà)����,很難全面適應���。
(6)忘記主密碼�。在用戶(hù)是唯一知道主密碼的人�,同時(shí)密碼管理器沒(méi)有重置功能的情況下�����,可能需要逐個(gè)恢復每個(gè)登錄�����。
盡管密碼管理器(Password Manager���,簡(jiǎn)稱(chēng)“PM”)很可靠�����,且絕大多數網(wǎng)絡(luò )安全專(zhuān)家都同意密碼管理器確實(shí)是保護密碼最安全的方法之一���。但是隨著(zhù)攻擊者技術(shù)和手段的不斷迭代和更新���,以及最新安全漏洞的出現��,整個(gè)安全行業(yè)不可避免地會(huì )受到?jīng)_擊�,這其中也包括PM行業(yè)�����。雖然存在上述所有問(wèn)題�����,但一款好的密碼管理器仍然極難攻破����。確保一個(gè)強大的密碼組合是關(guān)鍵�����。