What is the nature of network intrusion? How to deal with it
網絡安全入侵的本質,包括攻擊者常用的策略、技術和程序,以及他們所尋求的數據類型。文中指出幾乎所有的組織都至少間接地面臨著安全風險,特別是通過第三方關係。強調加強組織內部網絡安全的重要性,提供了有效的保護措施,包括最新技術的應用、員工培訓和積極的風險管理。此外還介紹在發生安全事件時的最佳響應實踐,包括建立詳盡的應急響應計劃和與執法機構及同行合作的重要性
文章速覽:
- 攻擊者常用的戰術、技術和程序(TTPs)
- 網絡攻擊者的目標數據類型
- 抵禦網絡威脅的三大最佳方法
- 事件響應的最佳實踐
- 評估事件響應團隊的標準
In the age of digitalization, cyber security has become an increasingly serious challenge. Organizations not only need to be aware of potential cyber threats, but also need to take effective measures to prevent and respond to these threats. As cyber attacks continue to evolve, how to effectively protect an organization's network security and prevent potential data leakage has become an important issue that every organization cannot avoid.
近期,SecurityScorecard與Cyentia Institute的報告顯示,98%的組織至少與一個過去兩年內遭遇過數據洩露的第三方有所關聯,這說明大多數組織至少間接面臨著其無法控制的環境風險。鑑於此,組織需瞭解數據洩露的形成過程、檢測手段及有效應對策略。
一、攻擊者常用的戰術、技術和程序(TTPs)
網絡攻擊者通常會運用多種戰術、技術和程序(TTPs)攻擊數字系統和網絡,並不斷升級攻擊手法以越過安全措施。這些惡意行為包括利用系統漏洞、未授權獲取敏感信息等一系列策略。
1、網絡釣魚攻擊
常見戰術之一是網絡釣魚電子郵件,攻擊者偽造看似合法的消息,誘導用戶點擊惡意鏈接或下載帶病毒的附件。攻擊者會通過社交工程的技巧,操縱目標的行為,使網絡釣魚攻擊能成為系統滲透的有效且普遍的方法。
2、利用零日漏洞
零日漏洞也是網絡攻擊者常用的一種技術。攻擊者利用操作系統、應用程序或固件的已知弱點進行未授權訪問。他們可能會使用自動化的工具掃描網絡漏洞,或對未修補的系統漏洞加以利用。這也強調了定期軟件更新和補丁的重要。
3、惡意軟件攻擊
攻擊者常常通過複雜的混淆技術,保障他們的惡意軟件避免被殺毒軟件發現。攻擊者會將惡意軟件引入到目標系統以執行未授權活動,如加密文件的勒索軟件或秘密收集敏感信息的間諜軟件。
4、中間人攻擊
中間人攻擊即攻擊者攔截或修改通信雙方的信息。實現的技術層面,如DNS欺騙或是會話劫持等,均可用於竊聽敏感數據交換。
5、憑證盜竊
憑證盜竊也是一種常見方法,通過鍵盤記錄、憑證釣魚或利用弱認證機制等方式盜取用戶名和密碼。一旦憑證洩露後,攻擊者可在網絡中橫向移動,升級其權限,獲取關鍵系統的訪問權限。
二、網絡攻擊者的目標數據類型
攻擊者不斷尋找各種敏感且有價值的數據,尋找可以用於金融利益、間諜活動或破壞操作的信息。他們目標的數據性質多樣,反映了網絡威脅不斷演變的情況。
1、財務數據
財務數據仍然是主要目標,包括信用卡詳情、銀行賬戶信息和個人身份信息(PII),可用於身份盜竊或欺詐交易。這些數據在暗網上通常具有很高的價值,在地下市場中價格不菲。
2、企業間諜活動
企業間諜活動是網絡攻擊背後的另一個驅動力,黑客會竊取知識產權、商業秘密和專有信息。這種間諜活動可能造成嚴重後果,影響公司的競爭優勢、研發努力和市場定位。
3、醫療數據
隨著醫療記錄數字化,醫療數據也成為了有利可圖的目標。病人信息,包括醫療歷史、治療計劃和保險細節,不僅可用於身份盜竊,還可用於對醫療機構的虛假保險索賠甚至敲詐。
4、政府和軍事數據
政府和軍事實體面臨著不斷的網絡攻擊風險,攻擊者尋求機密信息、防禦策略和敏感的外交通信。對國家安全的潛在影響使這些目標對有其它國家支持的黑客而言會特別誘人。
勒索軟件攻擊已成為顯著問題,網絡犯罪分子會加密受害者的數據,並索要贖金以釋放數據。這會對個人、企業乃至關鍵基礎設施造成影響,進而造成運營的中斷和經濟損失。
5、生物識別和物聯網數據
隨技術進步,如生物識別和物聯網(IoT)數據等新類型的數據成為攻擊者的新目標。
總體而言,網絡安全領域是動態的,攻擊者不斷調整策略,利用新漏洞竊取有價值的數據。組織和個人需保持警惕,採取強有力的網絡安全措施,防範這些不斷演變的威脅。
三、抵禦網絡威脅的最佳方法
為抵禦網絡威脅,保護組織免受不斷演變的網絡攻擊,實施強大網絡安全措施至關重要。有效的保護將涉及技術解決方案、員工培訓和主動風險管理三個方面的結合。
1. 最先進的防護技術
首先,組織需投資最新的網絡安全技術,包括但不限於防火牆、殺毒軟件和入侵檢測系統等網絡安全組件。定期更新和修補軟件的補丁對防禦潛在的攻擊行為而言至關重要。為敏感數據進行加密還提供了額外的保護層。
2. 員工培訓
其次,全面的員工培訓計劃至關重要。人為錯誤是網絡安全漏洞的重要因素,常常由網絡釣魚或誤下載惡意內容引發。培訓員工對釣魚嘗試進行識別、維護強密碼以及識別社交工程技巧,可顯著降低網絡攻擊風險。
3. 主動風險管理
最後,組織需採取主動的風險管理辦法。進行定期的網絡安全評估、漏洞測試,並制定事件響應計劃是這方面的關鍵。準備檢測、應對並恢復網絡風險事件與對其採取預防是同等重要的。
四、事件響應的最佳實踐
有效應對網絡攻擊,最小化損害、保護敏感信息和快速恢復運營至關重要。幾個最佳實踐確保組織能夠妥善應對和從網絡威脅中恢復。
1、詳細記錄的事件響應計劃
首先,擁有詳細記錄的事件響應計劃至關重要。這個計劃應該概述角色和職責、溝通協議以及識別、控制、根除、恢復和從事件中學習的應對SOPThe
2、定期培訓
定期培訓和演練,包括模擬不同類型網絡攻擊,評估組織準備情況,對確保事件響應團隊熟悉程序並能夠在壓力下迅速響應而言十分重要。
3、關鍵資產清單
此外,維護關鍵資產的詳盡清單,瞭解組織網絡架構,有助於快速識別和控制事件。使用先進威脅檢測工具,監控異常並實施實時警報,增強及時檢測和應對威脅的能力。
4、與執法機構和同行合作
與外部機構,如執法機關和行業同行合作,可在事件響應期間提供寶貴的見解和支持。事後分析和記錄有助於持續改進事件響應計劃,解決漏洞,增強整體網絡安全等級。在不斷演變的威脅環境中,這些最佳實踐使組織能夠有效應對並減輕網絡攻擊的影響
五、評估事件響應團隊的標準
以下這幾個標準,可以作為評估事件響應人員和團隊的重要參考指標:
- 是否有應對各類網絡事件的經驗,如勒索軟件攻擊、數據洩露和網絡釣魚嘗試?以及幫助第三方應對的經驗如何?
- 是否有進行事件響應演練的經驗,如桌面演習或紅隊評估?
- 能否評估並理解SIEM數據?
- 是否有與外部合作伙伴,如執法部門或網絡保險公司合作的經驗?
- 是否能採取合法可接受的取證方法,並對可能受損的設備和/或防火牆日誌進行復雜數字取證調查?
- 是否有與媒體、保險、法律和其他合作伙伴合作的經驗?這些合作伙伴是否已簽約並在發生數據洩露時可用?
SecurityScorecard專業服務助力組織防禦、應對並擴展網絡安全和第三方風險管理程序。作為首家提供全面網絡安全服務的評級公司,SecurityScorecard專業服務團隊在政府和私營部門的網絡安全調查中擁有超過100年的集體經驗,我們的專長包括數字取證、事件響應、滲透測試、紅隊行動、桌面演習和第三方風險管理等。近期,SecurityScorecard与Cyentia Institute的报告显示,98%的组织至少与一个过去两年内遭遇过数据泄露的第三方有所关联,这说明大多数组织至少间接面临着其无法控制的环境风险。鉴于此,组织需了解数据泄露的形成过程、检测手段及有效应对策略。
