譯者 | 劉睿暄

審校 | 趙立京

現(xiàn)代網(wǎng)絡(luò)安全采用分層方法來(lái)保護(hù)網(wǎng)絡(luò)的邊緣和界限。任何網(wǎng)絡(luò)構(gòu)成要素——端點(diǎn)設(shè)備、數(shù)據(jù)路徑、應(yīng)用程序或用戶，都可能成為攻擊者的切入點(diǎn)。由于潛在威脅較多，組織機(jī)構(gòu)通常會(huì)部署多種網(wǎng)絡(luò)安全措施，旨在應(yīng)對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施中不同層面、不同類型的威脅。這種方法稱為縱深防御。

2023 年的 5 大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

1. 供應(yīng)鏈攻擊

供應(yīng)鏈攻擊是利用了組織機(jī)構(gòu)與外部之間的信任關(guān)系，例如以下幾種方法：

• 第三方訪問(wèn)：企業(yè)通常允許供應(yīng)商及其他外部人員訪問(wèn)他們的IT 環(huán)境和系統(tǒng)。如果攻擊者獲得了受企業(yè)信任的合作伙伴的網(wǎng)絡(luò)訪問(wèn)權(quán)限，便可以利用合作伙伴的合法身份訪問(wèn)該企業(yè)系統(tǒng)。
• 可信的外部軟件：所有公司都會(huì)使用第三方軟件并使其在公司網(wǎng)絡(luò)上可用。如果攻擊者將惡意代碼注入第三方軟件或更新包將其變成惡意軟件，那么惡意軟件便可以訪問(wèn)組織機(jī)構(gòu)環(huán)境中受信任且敏感的數(shù)據(jù)、系統(tǒng)。這是全球 SolarWinds 黑客的攻擊方式。
• 第三方代碼：幾乎所有應(yīng)用程序都包含第三方、開(kāi)源代碼和庫(kù)。此外部代碼可能被攻擊者濫用于漏洞或惡意功能。如果您組織機(jī)構(gòu)的應(yīng)用程序漏洞較多或依賴于惡意代碼，則非常容易成為被攻擊和利用的目標(biāo)。Log4j 漏洞是備受關(guān)注的利用第三方代碼攻擊。

2. 勒索軟件

勒索軟件是一種惡意軟件，目的是鎖定目標(biāo)計(jì)算機(jī)上的數(shù)據(jù)并顯示勒索字條。勒索程序通常會(huì)用加密技術(shù)鎖定數(shù)據(jù)，并要求受害者用加密貨幣付款以換取密鑰。

網(wǎng)絡(luò)罪犯經(jīng)常去深層網(wǎng)絡(luò)購(gòu)買勒索軟件的工具包。通過(guò)這樣的軟件工具，攻擊者能夠生成具有某些功能的勒索軟件，并將其發(fā)送給受害者以索要贖金。獲取勒索軟件的另一種方式是勒索軟件即服務(wù) (RaaS)。勒索軟件即服務(wù)可以提供價(jià)格合理的勒索程序，只需很少，甚至不需要任何專業(yè)技術(shù)知識(shí)就能運(yùn)行。這種方式不需要網(wǎng)絡(luò)罪犯費(fèi)什么力，就能簡(jiǎn)單、快速地發(fā)起攻擊。

勒索軟件的類型

網(wǎng)絡(luò)罪犯會(huì)使用多種類型的勒索軟件進(jìn)行勒索，且每種軟件的勒索方式各不相同。以下是較為常見(jiàn)的類型：

• 恐嚇軟件：恐嚇軟件會(huì)模仿技術(shù)支持或安全軟件。受害者可能會(huì)持續(xù)收到彈出通知，提示系統(tǒng)有惡意軟件。通常只有受害者對(duì)彈窗進(jìn)行響應(yīng)，彈窗才會(huì)消失。
• 加密勒索軟件：這種軟件會(huì)加密受害者的數(shù)據(jù)，并要求支付費(fèi)用才能解密。但即使受害者協(xié)商或遵守要求，也有可能無(wú)法取回?cái)?shù)據(jù)。
• 主引導(dǎo)記錄勒索軟件：這種軟件不僅僅會(huì)加密用戶的文件，還會(huì)加密整個(gè)硬盤驅(qū)動(dòng)器，使受害者無(wú)法訪問(wèn)操作系統(tǒng)。
• 移動(dòng)勒索軟件：攻擊者通過(guò)部署移動(dòng)勒索軟件，竊取手機(jī)數(shù)據(jù)或?qū)ζ溥M(jìn)行加密。受害者需支付贖金才能解鎖設(shè)備或還原數(shù)據(jù)。

3. API攻擊

API 攻擊是對(duì)應(yīng)用程序編程接口 (API) 的惡意使用或破壞。API 安全是防止攻擊者利用和濫用 API 的措施和技術(shù)。API是現(xiàn)代Web應(yīng)用程序和微服務(wù)架構(gòu)的核心，所以黑客常常以此為目標(biāo)。

API 攻擊包括：

• 注入攻擊：當(dāng)API未正確驗(yàn)證輸入，且允許攻擊者提交惡意代碼作為API 請(qǐng)求的一部分時(shí)，會(huì)發(fā)生注入攻擊。SQL 注入 (SQLi) 和跨站點(diǎn)腳本 (XSS) 是最著名的攻擊案例。大多數(shù)針對(duì)網(wǎng)站和數(shù)據(jù)庫(kù)的傳統(tǒng)注入攻擊同樣也可攻擊 API。
• DoS/DDoS 攻擊：在拒絕服務(wù)(DoS) 或分布式拒絕服務(wù)(DDoS) 攻擊中，攻擊者會(huì)試圖讓目標(biāo)用戶無(wú)法使用API。速率限制可以緩解小規(guī)模的DoS攻擊；但大規(guī)模的DDoS攻擊會(huì)影響數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)，且只能通過(guò)云規(guī)模的反 DDoS 技術(shù)來(lái)解決。
• 數(shù)據(jù)暴露：API 會(huì)經(jīng)常處理和傳輸敏感數(shù)據(jù)，包括信用卡信息、密碼、會(huì)話令牌或個(gè)人身份信息(PII)。當(dāng)API 處理數(shù)據(jù)時(shí)出現(xiàn)錯(cuò)誤、被誘導(dǎo)向未經(jīng)授權(quán)的用戶提供數(shù)據(jù)，或者攻擊者設(shè)法破壞 API 服務(wù)器時(shí)，都可能對(duì)數(shù)據(jù)造成損害。

4. 社會(huì)工程攻擊

社會(huì)工程攻擊采用各種心理操縱戰(zhàn)術(shù)，例如欺騙和脅迫，使受害者執(zhí)行特定操作。以下是常見(jiàn)的社會(huì)工程學(xué)攻擊：

• 網(wǎng)絡(luò)釣魚(yú)：網(wǎng)絡(luò)釣魚(yú)是企圖誘騙收件人進(jìn)行某種有利于攻擊者的行動(dòng)。攻擊者使用各種平臺(tái)發(fā)送網(wǎng)絡(luò)釣魚(yú)消息，例如電子郵件、企業(yè)通信應(yīng)用程序和社交媒體等。這些消息會(huì)誘使收件人打開(kāi)惡意附件、泄露敏感信息（如登錄憑據(jù)）或單擊惡意鏈接。
• 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)：這是針對(duì)特定個(gè)人或群體的網(wǎng)絡(luò)釣魚(yú)攻擊，通常會(huì)使用有關(guān)目標(biāo)的信息使網(wǎng)絡(luò)釣魚(yú)消息看起來(lái)更可信。例如財(cái)務(wù)人員可能會(huì)收到合法供應(yīng)商未付發(fā)票的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件。
• 短信釣魚(yú)：攻擊者使用 SMS 文本消息，或者利用有共同特征的短鏈接服務(wù)等方式來(lái)誘騙受害者點(diǎn)擊惡意鏈接。
• 語(yǔ)音釣魚(yú)：攻擊者會(huì)通過(guò)電話的方式，試圖說(shuō)服受害者執(zhí)行特定操作或泄露敏感數(shù)據(jù)（如登錄憑據(jù)或信用卡信息）。

5.  中間人攻擊

MitM 攻擊或中間人攻擊也是一種網(wǎng)絡(luò)攻擊。攻擊者會(huì)攔截雙方之間的數(shù)據(jù)傳輸或?qū)υ挘⑥D(zhuǎn)換、冒充其中一方。

通過(guò)攔截通信，攻擊者會(huì)插入惡意鏈接等方式，竊取或更改參與者之間傳輸?shù)臄?shù)據(jù)。當(dāng)雙方意識(shí)到被攻擊時(shí)，為時(shí)已晚。MitM 攻擊的常見(jiàn)目標(biāo)包括金融應(yīng)用程序、電子商務(wù)網(wǎng)站和需要進(jìn)行身份驗(yàn)證的用戶。

MitM 攻擊有多種方式，比如破壞公共免費(fèi) Wi-Fi 熱點(diǎn)。當(dāng)用戶連接到被破壞的熱點(diǎn)時(shí)，攻擊者將了解他們的活動(dòng)。除此之外還有 IP 欺騙、ARP 欺騙和 DNS 欺騙，這些都是將用戶重新定向到惡意網(wǎng)站，或?qū)⒂脩籼峤坏臄?shù)據(jù)重新定向到攻擊者。

結(jié)論

本文解釋了網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)，并舉出了 5 個(gè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

• 勒索軟件：旨在鎖定目標(biāo)計(jì)算機(jī)上的數(shù)據(jù)并顯示勒索信息。
• API 攻擊：惡意使用或破壞應(yīng)用程序編程接口。
• 社會(huì)工程攻擊：采用各種心理操縱戰(zhàn)術(shù)，使受害者執(zhí)行特定操作。
• 供應(yīng)鏈攻擊：利用組織與外部各方之間的關(guān)系進(jìn)行攻擊。
• MitM 攻擊：攔截雙方之間的傳輸數(shù)據(jù)或?qū)υ?，轉(zhuǎn)換、冒充其中一方。

當(dāng)您遭受網(wǎng)絡(luò)攻擊時(shí)，希望本文能幫助您采取適當(dāng)?shù)拇胧?/p>

原文標(biāo)題：???Top 5 Network Security Risks in 2023???，作者：Gilad David Maayan