Security+ 学习笔记2 认识网络攻击

一、网络攻击者

1.内部(internal) 攻击VS 外部(external)的攻击者：

网络攻击可能来自内部或外部来源。当我们想到网络安全的对手时，我们往往认为是外部攻击者，但内部攻击者可能构成更大的风险，因为他们有系统和资源的合法访问的权限。

2.按照攻击者的水平高低分类：

• 脚本小子(Script kiddies)：他们被称为 “脚本小子”，因为他们通常缺乏开发自己的漏洞的技术能力，只是简单地运行其他更复杂的攻击者创建的脚本。同时，脚本小子通常也是单独作战。通过基本的安全控制措施，如定期打补丁、终端安全软件、防火墙和入侵防御系统，可以轻松击败脚本小子。
• 黑客活动家(Hacktivists)：可能属于任何复杂程度的范围。他们可能并不比脚本儿童更有天赋，也可能拥有先进的技术技能。黑客活动家与其他攻击者的区别在于其动机。这些人正在寻求利用他们的黑客技能来推动政治或社会议程。
• 犯罪集团(Criminal syndicates)：被认为是一些勒索软件攻击和其他形式的网络勒索的幕后推手。他们可能拥有先进的技术技能，并且，他们都主要是为了经济利益而使用这些技能。
• 企业间谍活动(Corporate espionage)：竞争对手可能以企业为目标，寻求获得能给他们带来商业优势的专有信息。这种类型的企业间谍活动也不限于商业世界。
• 国家机构(Nation-states )：是最先进的攻击者之一，经常赞助先进的持续威胁(advanced persistent threat，或者称为APT)，或APT集团，由数百，甚至数千名高度熟练和资金充足的攻击者组成。APT集团通常是军事单位，或有一些军事训练。这些国家行为者采用极其先进的工具，非常难以检测。有些人认为APT攻击者只针对其他政府，但事实并非如此。虽然各国政府肯定会针对对方的网络安全防御系统，但他们也会针对可能拥有对推进国家利益有价值的信息或控制资源的民用目标。

3.按照攻击者意图分类：

• 白帽黑客(White hat)：是那些对目标有完全许可下工作的人，他们的动机是找到安全缺陷，然后进行修复。
• 黑帽黑客(Black hat)：是那些没有权限的黑客，他们这的动机是充满恶意的。
• 灰帽黑客(Gray hat)：介于两者之间。他们没有权限，活动通常是非法的，但他们黑客的动机是帮助他们的受害者提高安全性。重要的是要认识到这是不合法的，灰帽黑客被安全专家和执法部门所不齿。

  

二、防御内部网络威胁

1.内部威胁： 指公司、机构现任和前任雇员、承包商和其他内部人员可能利用他们对系统的特权访问，努力窃取信息或金钱，或对组织造成损害。内部攻击发生在最信任的用户手中，如系统管理员和高管，但并非所有的攻击都使用这些特权账户。特权升级攻击可以利用一个正常用户的账号，将其转化为强大的超级用户账户。最好防止内部攻击的方法，可以对潜在的雇员进行背景调查，以发现任何过去的法律问题的历史。另外应该遵循最小特权原则，即每个用户只应该拥有履行其工作职能所需的最小权限。对非常敏感的交易使用两人控制，要求在进行资金转移或其他关键操作之前，必须有两个人同意。

2.影子IT(shadow IT)： 影子IT是指员工个人未经技术领导批准而带入组织的技术。这种行为可能会对网络安全构成威胁，但没有恶意。其可能使你的数据暴露在一个不可接受的风险水平。

三、攻击向量(Attack ventors)

1. 攻击向量是攻击者用来获得初始访问的路径的方法。分类如下：

• E-mail：攻击者可以使用Email向不同的人发送大量的钓鱼信息和恶意内容邮件。只要内部网络中的一个用户被感染，那么可以打开攻击者通往其组织网络的大门。例如勒索病毒经常就是以这种方式传播。
• 社交软件：用和E-mail同样的方式传播恶意信息。例如在社交媒体中发布恶意链接，用户一旦点击，就会进入攻击者设置的恶意网站中。
• 可移动媒体：USB驱动器等可移动媒体是传播恶意软件的另一种常见方式。例如，攻击者可能会在停车场、机场或其他公共场所留下廉价的USB闪存驱动器，希望有人会发现这个驱动器并将其插入自己的电脑，希望看到其中的内容。一旦发生这种情况，该设备就会触发恶意软件感染，悄悄地损害发现者的计算机，并将其置于攻击者的控制之下。除了USB，常见的还有嵌入恶意芯片、卡片盗取器等。
• 云服务(Cloud Service)：攻击者经常扫描流行的云服务，寻找访问控制不当的文件、有安全缺陷的系统、或意外公布的API密钥或密码。
• 直接访问系统或网络：攻击者也可能利用直接访问系统或网络作为攻击媒介。例如如果在大楼的公共区域留下一个不安全的网络插口，就有可能受到这种类型的攻击；更加致命的是，狡猾的攻击者可能会试图干扰一个组织的IT供应链，在制造商处或在设备运送到客户处的过程中获得对设备的访问。在最终用户收到设备之前对其进行篡改，使攻击者能够插入后门，一旦客户将设备安装到他们的网络上，他们就可以控制该设备。
• 无线网络(Wireless Network)：无线网络是进入一个组织的网络的一个简单途径。如果攻击者能够坐在停车场访问该组织的无线网络，他们就不需要获得对网络的物理访问。

四、零日攻击(Zero days)和高级持久性威胁(Advanced persistent threat)

1.零日攻击：

及时的打补丁(patches)，能够保证攻击不会从漏洞(vulnerabilities)入侵，但是并不是所有的漏洞都能被及时发现。如果有些人发现了漏洞，但是并没有将其告诉相关出现漏洞的机构，这种类型的漏洞被称为 “零日漏洞”。漏洞被申报给提供商之前，零日漏洞是一种的强大武器。应用安全补丁并不能保护免受这种漏洞的影响，因为目前系统并没有发布补丁。 从有人发现一个新的漏洞到供应商发布补丁之间的时间，被称为漏洞之窗(Window of Vulnerablility)。

2.高级持久性威胁：

零日漏洞利用困难，因为需要对应的工具和技巧。但是高级持续性威胁，或APTs，是资金充足、技术高超的攻击者。他们通常是军事单位，他们能够利用这种漏洞。抵御APTs十分困难，一些比较有用的建议是，建立一个强有力的安全措施，包括使用强大的加密技术和严格的监控。

参考资料来源：

https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601