攻擊樹測試

攻擊樹測試

攻擊樹測試

• 用(你的學號%10)+1 確定序號，完成下面的內容：

1 給如何偷汽車建立攻擊樹。在這道題以及其他攻擊樹的練習題中，可以透過圖來描述攻擊樹，也可以使用一個編號的列表來描述攻擊樹（比如，1，1.1，1.2，1.2.1，1.2.2，1.3，…）。

2 給如何不付費進入體育館建立攻擊樹。

3 給如何不付費就從餐館獲得食物建立攻擊樹。

4 給如何獲得某人網上銀行賬戶名和口令建立攻擊樹。

5 給如何閱讀某人的電子郵件建立攻擊樹。

6 給如何阻止某人閱讀他的電子郵件建立攻擊樹。

7 給如何偽裝成某人傳送電子郵件建立攻擊樹。這裡攻擊者的目標是讓電子郵件的收件人相信她收
到的一封郵件是發自某人的（例如 Bob），而 Bob 實際上並沒有傳送過這封郵件。

8 尋找最近三個月內公佈或釋出的新產品或系統，
選擇一個你瞭解的資產併為如何損壞那個資產建立攻擊樹。

9 從媒體報導或者個人經歷中選擇一個實際的案例，在案例中攻擊者沒有利用最脆弱環節就成功地
攻擊系統。描述一下整個系統，並解釋你所認為系統中最脆弱的環節及原因，接著描述一下系統是如何被攻破的。

10 描述一個實際的案例說明“針對一種型別的攻擊來提高系統的安全
性會增加其他攻擊成功的可能性”。

我的學號是20211308 （2021138%10）+1=9

9 從媒體報導或者個人經歷中選擇一個實際的案例，在案例中攻擊者沒有利用最脆弱環節就成功地
攻擊系統。描述一下整個系統，並解釋你所認為系統中最脆弱的環節及原因，接著描述一下系統是如何被攻破的。

系統描述

• 索尼影業的資訊系統是一個龐大的網路，包含了大量的伺服器、工作站、移動裝置等，用於儲存電影、員工資料、財務資訊等敏感資料。該系統採用多層防禦機制，包括防火牆、入侵檢測系統、資料加密和訪問控制等。

最脆弱環節

• 在這個系統中，最脆弱的環節可能是員工的安全意識。儘管技術防護措施可能很強大，但人為因素往往是安全防護中的弱環節。員工可能會透過點選釣魚郵件、使用簡單密碼或未經授權的裝置訪問公司網路等行為，無意中給攻擊者提供入侵的機會。

攻破過程

• 在索尼影業的案例中，駭客組織“朝鮮守衛者”（Guardians of Peace）透過釣魚郵件誘導索尼員工點選了惡意連結或附件，從而植入了惡意軟體。這一行為沒有直接針對系統的技術脆弱點，而是利用了員工的安全意識不足。一旦惡意軟體被啟用，駭客就能夠侵入網路，獲取控制權，並最終洩露了大量敏感資料，包括未發行電影、員工個人資訊等。

在這個案例中，儘管系統可能具備先進的技術防護措施，但由於人為因素的脆弱性，駭客仍然成功實施了攻擊。這表明在安全防護中，提高員工的安全意識和培訓是非常重要的。