每個(gè)IT安全專(zhuān)業(yè)人員應(yīng)該知道的12種根本漏洞
每年,IT安全專(zhuān)業(yè)人員都面臨著數(shù)千個(gè)新的軟件漏洞和數(shù)百萬(wàn)個(gè)不同的惡意軟件程序,但只有12種根本漏洞會(huì)讓這些軟件漏洞和惡意軟件程序攻擊你的設(shè)備。了解這些根本原因,你就可以阻止黑客攻擊和惡意軟件。以下是十二種根本漏洞:
1. Zero-days
“零日漏洞”(zero-day)又叫零時(shí)差攻擊,是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講,即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi),相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。
(1) 攻擊威脅
雖然還沒(méi)有出現(xiàn)大量的“零日漏洞”攻擊,但其威脅日益增長(zhǎng),證據(jù)如下:黑客更加善于在發(fā)現(xiàn)安全漏洞不久后利用它們。過(guò)去,安全漏洞被利用一般需要幾個(gè)月時(shí)間。最近,發(fā)現(xiàn)與利用之間的時(shí)間間隔已經(jīng)減少到了數(shù)天。利用漏洞的攻擊被設(shè)計(jì)為迅速傳播,感染數(shù)量越來(lái)越多的系統(tǒng)。攻擊由之前被動(dòng)式的、傳播緩慢的文件和宏病毒演化為利用幾天或幾小時(shí)傳播的更加主動(dòng)的、自我傳播的電子郵件蠕蟲(chóng)和混合威脅。人們掌握的安全漏洞知識(shí)越來(lái)越多,就有越來(lái)越多的漏洞被發(fā)現(xiàn)和利用。一般使用防火墻、入侵檢測(cè)系統(tǒng)和防病毒軟件來(lái)保護(hù)關(guān)鍵業(yè)務(wù)IT基礎(chǔ)設(shè)施。這些系統(tǒng)提供了良好的第一級(jí)保護(hù),但是盡管安全人員盡了最大的努力,他們?nèi)圆荒苊庠馐芰闳章┒垂簟?/p>
(2) 防御方法
- 預(yù)防:良好的預(yù)防安全實(shí)踐是必不可少的。這些實(shí)踐包括謹(jǐn)慎地安裝和遵守適應(yīng)業(yè)務(wù)與應(yīng)用需要的防火墻政策,隨時(shí)升級(jí)防病毒軟件,阻止?jié)撛谟泻Φ奈募郊?,隨時(shí)修補(bǔ)所有系統(tǒng)抵御已知漏洞。漏洞掃描是評(píng)估預(yù)防規(guī)程有效性的好辦法。
- 實(shí)時(shí)保護(hù):部署提供全面保護(hù)的入侵防護(hù)系統(tǒng)(IPS)。在考慮IPS時(shí),尋找以下功能:網(wǎng)絡(luò)級(jí)保護(hù)、應(yīng)用完整性檢查、應(yīng)用協(xié)議“征求意見(jiàn)”(RFC)確認(rèn)、內(nèi)容確認(rèn)和取證能力。
- 計(jì)劃的事件響應(yīng):即使在采用以上措施后,企業(yè)仍可能受到“零日漏洞”影響。周密計(jì)劃的事件響應(yīng)措施以及包括關(guān)鍵任務(wù)活動(dòng)優(yōu)先次序在內(nèi)的定義的規(guī)則和規(guī)程,對(duì)于將企業(yè)損失減少到最小程度至關(guān)重要。
- 防止傳播:這可以通過(guò)將連接惟一限制在滿足企業(yè)需要所必須的機(jī)器上。這樣做可以在發(fā)生初次感染后,減少利用漏洞的攻擊所傳播的范圍。
“零日漏洞”攻擊對(duì)于警惕性最高的系統(tǒng)管理人員來(lái)說(shuō)也是一種挑戰(zhàn)。但是,部署到位的安全護(hù)保措施可以大大降低關(guān)鍵數(shù)據(jù)和系統(tǒng)面臨的風(fēng)險(xiǎn)。
2. 未修補(bǔ)的軟件
研究表明,未修補(bǔ)的漏洞是大多數(shù)數(shù)據(jù)泄露的根源。未修補(bǔ)的軟件或未更新的軟件可能是主要的IT安全風(fēng)險(xiǎn)。如果您不更新軟件,則會(huì)讓您容易受到攻擊者攻擊。一旦(安全)更新可用于軟件包,攻擊者就會(huì)針對(duì)尚未更新的軟件包。在現(xiàn)實(shí)中,許多公司并不總是立即更新他們的瀏覽器,即使這附帶了很大的風(fēng)險(xiǎn)。
這個(gè)問(wèn)題很容易解決。確保始終更新軟件。執(zhí)行此操作的最佳方法是允許軟件在更新可用時(shí)自動(dòng)更新。這樣,每當(dāng)有人使用該軟件時(shí),它將檢查是否有可用的更新,并將安裝此更新,以確保您的計(jì)算機(jī)免受攻擊。
3. 惡意軟件
惡意軟件是指在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲(chóng)和特洛伊木馬的程序,通過(guò)破壞軟件進(jìn)程來(lái)實(shí)施控制。騰訊移動(dòng)安全實(shí)驗(yàn)室發(fā)布的數(shù)據(jù)顯示,惡意軟件由多種威脅組成,會(huì)不斷彈出,所以需要采取多種方法和技術(shù)來(lái)進(jìn)行反病毒保護(hù)。在上篇文章中,我們已經(jīng)詳細(xì)討論過(guò)惡意軟件,在此不再?gòu)?fù)述。
4. 社會(huì)工程學(xué)
社會(huì)工程學(xué),準(zhǔn)確來(lái)說(shuō),不是一門(mén)科學(xué),而是一門(mén)藝術(shù)。社會(huì)工程學(xué)利用人的弱點(diǎn),以順從你的意愿、滿足你的欲望的方式,讓你上當(dāng)?shù)囊恍┓椒?、一門(mén)藝術(shù)與學(xué)問(wèn)。說(shuō)它不是科學(xué),因?yàn)樗皇强偰苤貜?fù)和成功,而且在信息充分多的情況下,會(huì)自動(dòng)失效。社會(huì)工程學(xué)的竅門(mén)也蘊(yùn)涵了各式各樣的靈活的構(gòu)思與變化因素。社會(huì)工程學(xué)是一種利用人的弱點(diǎn)如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
現(xiàn)實(shí)中運(yùn)用社會(huì)工程學(xué)的犯罪很多。短信詐騙如詐騙銀行信用卡號(hào)碼,電話詐騙如以知名人士的名義去推銷(xiāo)詐騙等,都運(yùn)用到社會(huì)工程學(xué)的方法。
近年來(lái),更多的黑客轉(zhuǎn)向利用人的弱點(diǎn)即社會(huì)工程學(xué)方法來(lái)實(shí)施網(wǎng)絡(luò)攻擊。利用社會(huì)工程學(xué)手段,突破信息安全防御措施的事件,已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)。
社會(huì)工程學(xué)攻擊是以不同形式和通過(guò)多樣的攻擊向量進(jìn)行傳播的。這是一個(gè)保持不斷完善并快速發(fā)展的藝術(shù)。但一些社會(huì)工程攻擊誤區(qū)仍然時(shí)有出現(xiàn),如下所示。
(1) 偽造一封來(lái)自好友的電子郵件:這是一種常見(jiàn)的利用社會(huì)工程學(xué)策略從大堆的網(wǎng)絡(luò)人群中攫取信息的方式。在這種情況下,攻擊者只要黑進(jìn)一個(gè)電子郵件帳戶并發(fā)送含有間諜軟件的電子郵件到聯(lián)系人列表中的其他地址簿。值得強(qiáng)調(diào)的是,人們通常相信來(lái)自熟人的郵件附件或者是鏈接,這便讓攻擊者輕松得手。
在大多數(shù)情況下,攻擊者利用受害者賬戶給你發(fā)送電子郵件,聲稱你的“朋友”因旅游時(shí)遭遇搶劫而身陷國(guó)外。他們需要一筆用來(lái)支付回程機(jī)票的錢(qián),并承諾一旦回來(lái)便會(huì)馬上歸還。通常,電子郵件中含有如何匯錢(qián)給你“被困外國(guó)的朋友”的指南。
(2) 釣魚(yú)攻擊:這是個(gè)運(yùn)用社會(huì)工程學(xué)策略獲取受害者的機(jī)密信息的老把戲了。大多數(shù)的釣魚(yú)攻擊都是偽裝成銀行、學(xué)校、軟件公司或政府安全機(jī)構(gòu)等可信服務(wù)提供者,例如FBI。
通常網(wǎng)絡(luò)騙子冒充成你所信任的服務(wù)提供商來(lái)發(fā)送郵件,要求你通過(guò)給定的鏈接盡快完成賬戶資料更新或者升級(jí)你的現(xiàn)有軟件。大多數(shù)網(wǎng)絡(luò)釣魚(yú)要求你立刻去做一些事,否則將承擔(dān)一些危險(xiǎn)的后果。點(diǎn)擊郵件中嵌入的鏈接將把你帶去一個(gè)專(zhuān)為竊取你的登錄憑證而設(shè)計(jì)的冒牌網(wǎng)站。
釣魚(yú)大師們另一個(gè)常用的手段便是給你發(fā)郵件聲稱你中了彩票或可以獲得某些促銷(xiāo)商品,要求你提供銀行信息以便接收彩金。在一些情況下,騙子冒充FBI表示已經(jīng)找回你“被盜的錢(qián)”,因此需要你提供銀行信息一邊拿回這些錢(qián)。
(3) 誘餌計(jì)劃:在此類(lèi)型的社會(huì)工程學(xué)陰謀中,攻擊者利用了人們對(duì)于例如最新電影或者熱門(mén)MV的超高關(guān)注,從而對(duì)這些人進(jìn)行信息挖掘。這在例如Bit torrent等P2P分享網(wǎng)絡(luò)中很常見(jiàn)。
另一個(gè)流行方法便是以1.5折的低價(jià)賤賣(mài)熱門(mén)商品。這樣的策略很容易被用于假冒eBay這樣的合法拍賣(mài)網(wǎng)站,用戶也很容易上鉤。郵件中提供的商品通常是不存在的,而攻擊者可以利用你的eBay賬戶獲得你的銀行信息。
(4) 主動(dòng)提供技術(shù)支持:在某些情況下,攻擊者冒充來(lái)自于微軟等公司的技術(shù)支持團(tuán)隊(duì),回應(yīng)你的一個(gè)解決技術(shù)問(wèn)題的請(qǐng)求。盡管你從沒(méi)尋求過(guò)這樣的幫助,但你會(huì)因?yàn)樽约赫谖④洰a(chǎn)品并存在技術(shù)問(wèn)題而嘗試點(diǎn)擊郵件中的鏈接享用這樣的“免費(fèi)服務(wù)”。
一旦你回復(fù)了這樣的郵件,便與想要進(jìn)一步了解你的計(jì)算機(jī)系統(tǒng)細(xì)節(jié)的攻擊者建立了一個(gè)互動(dòng)。在某些情況下攻擊者會(huì)要求你登錄到“他們公司系統(tǒng)”或者只是簡(jiǎn)單尋求訪問(wèn)你的系統(tǒng)的權(quán)限。有時(shí)他們發(fā)出一些偽造命令在你的系統(tǒng)中運(yùn)行。而這些命令僅僅為了給攻擊者訪問(wèn)你計(jì)算機(jī)系統(tǒng)的更大權(quán)限。
5. 密碼攻擊
嘗試獲取或解密用戶的密碼以供非法使用。黑客可以在密碼攻擊中使用破解程序,字典攻擊和密碼嗅探器。針對(duì)密碼攻擊的防御相當(dāng)有限,但通常包括密碼策略,包括最小長(zhǎng)度,無(wú)法識(shí)別的單詞和頻繁的更改。
6. MITM
中間人攻擊(Man-in-the-MiddleAttack,簡(jiǎn)稱“MITM攻擊”)是一種“間接”的入侵攻擊,這種攻擊模式是通過(guò)各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間,這臺(tái)計(jì)算機(jī)就稱為“中間人”。中間人攻擊很早就成為了黑客常用的一種古老的攻擊手段,并且一直到如今還具有極大的擴(kuò)展空間。
在網(wǎng)絡(luò)安全方面,MITM攻擊的使用是很廣泛的,曾經(jīng)猖獗一時(shí)的SMB會(huì)話劫持、DNS欺騙等技術(shù)都是典型的MITM攻擊手段。在黑客技術(shù)越來(lái)越多的運(yùn)用于以獲取經(jīng)濟(jì)利益為目標(biāo)的情況下時(shí),MITM攻擊成為對(duì)網(wǎng)銀、網(wǎng)游、網(wǎng)上交易等最有威脅并且最具破壞性的一種攻擊方式。
7. 數(shù)據(jù)泄露
數(shù)據(jù)泄露是一種安全事件,其中敏感,受保護(hù)或機(jī)密數(shù)據(jù)被未經(jīng)授權(quán)的個(gè)人復(fù)制,傳輸,查看,竊取或使用。數(shù)據(jù)泄露可能涉及財(cái)務(wù)信息,如信用卡或銀行詳細(xì)信息,個(gè)人健康信息(PHI),個(gè)人身份信息(PII),公司的商業(yè)秘密或知識(shí)產(chǎn)權(quán)。大多數(shù)數(shù)據(jù)泄露涉及過(guò)度曝光和易受攻擊的非結(jié)構(gòu)化數(shù)據(jù) – 文件,文檔和敏感信息。
8. 配置錯(cuò)誤
如果組件由于不安全的配置選項(xiàng)而容易受到攻擊,則可能會(huì)發(fā)生安全性錯(cuò)誤配置漏洞。這些漏洞通常是由于不安全的默認(rèn)配置,缺乏文檔的默認(rèn)配置或可選配置的文檔記錄不良而導(dǎo)致的。這可能包括未能在Web服務(wù)器上設(shè)置有用的安全標(biāo)頭,以及忘記禁用可授予攻擊者管理訪問(wèn)權(quán)限的默認(rèn)平臺(tái)功能。
9. 拒絕服務(wù)
拒絕服務(wù)攻擊即是攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù),是黑客常用的攻擊手段之一。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分,只要能夠?qū)δ繕?biāo)造成麻煩,使某些服務(wù)被暫停甚至主機(jī)死機(jī),都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決,究其原因是因?yàn)榫W(wǎng)絡(luò)協(xié)議本身的安全缺陷,從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊,實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果:一是迫使服務(wù)器的緩沖區(qū)滿,不接收新的請(qǐng)求;二是使用IP欺騙,迫使服務(wù)器把非法用戶的連接復(fù)位,影響合法用戶的連接。
10. 用戶錯(cuò)誤
11. 物理訪問(wèn)
物理訪問(wèn)指的是人們物理訪問(wèn)計(jì)算機(jī)系統(tǒng)的能力。根據(jù)格雷戈里·懷特的說(shuō)法,“鑒于對(duì)辦公室的物理訪問(wèn),知識(shí)淵博的攻擊者將很快能夠找到訪問(wèn)該組織的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)所需的信息。” 物理訪問(wèn)開(kāi)辟了各種黑客攻擊途徑。邁克爾邁耶斯指出,“如果你不能在物理上保護(hù)你的系統(tǒng),那么最好的網(wǎng)絡(luò)軟件安全措施就會(huì)變得毫無(wú)用處”,因?yàn)槿肭终呖梢院?jiǎn)單地走出服務(wù)器并在閑暇時(shí)破解密碼。物理訪問(wèn)還允許安裝硬件鍵盤(pán)記錄器。入侵者可能能夠從CD或其他外部媒體啟動(dòng),然后讀取硬盤(pán)驅(qū)動(dòng)器上的未加密數(shù)據(jù)。他們也可能利用引導(dǎo)加載程序中缺少訪問(wèn)控制; 例如,在某些版本的Microsoft Windows啟動(dòng)時(shí)按F8,指定’init = / bin / sh’作為L(zhǎng)inux的啟動(dòng)參數(shù)(通常通過(guò)編輯GRUB中的命令行來(lái)完成)等。還可以使用惡意設(shè)備訪問(wèn)安全性較差的無(wú)線網(wǎng)絡(luò); 如果信號(hào)足夠強(qiáng)大,甚至可能不需要突破周邊。
12. 內(nèi)幕人士/合伙人/顧問(wèn)/供應(yīng)商/第三方
這是一種內(nèi)部威脅,是指前員工或現(xiàn)員工,有權(quán)限訪問(wèn)組織的網(wǎng)絡(luò)系統(tǒng),數(shù)據(jù)等信息的承包商或業(yè)務(wù)合作伙伴有意或無(wú)意的利用這種機(jī)會(huì)來(lái)竊取機(jī)密,破壞組織網(wǎng)絡(luò)系統(tǒng)的完整性或可用性。內(nèi)部威脅可能包括欺詐,盜竊知識(shí)產(chǎn)權(quán)(IP)或商業(yè)秘密,進(jìn)行未經(jīng)授權(quán)的交易,間諜活動(dòng)以及破壞IT基礎(chǔ)設(shè)施。