盤點：你最可能面對的五種網路攻擊

作為一名諮詢師，我看到的最大的安全問題之一是感知：企業認為他們面臨的威脅往往與構成最大風險的威脅大不相同。例如，他們僱用我來部署最先進的公鑰基礎結構(PKI)或企業級入侵檢測系統時，其實他們真正需要的是更好的補丁。

事實上，大多數公司都面臨著同樣的威脅，並且應該盡最大努力來抵消這些風險。以下是五種最常見的(也是最成功的)網路攻擊型別。

1.社交工程惡意軟體

最近通常由資料加密勒索軟體引導的社交工程惡意軟體提供了頭號攻擊方法(不是緩衝區溢位，錯誤配置或高階攻擊)。終端使用者以某種方式被欺騙執行木馬程式，這些程式通常來自他們信任並經常訪問的網站。其他無辜的網站是暫時妥協交付惡意軟體，而不是正常的網站編碼。

惡意網站告訴使用者安裝一些新的軟體以訪問網站，執行假的防病毒軟體，或者執行其他“關鍵”軟體。經常指示使用者點選瀏覽器或作業系統發出的任何安全警告，並禁用任何可能妨礙他們的防禦措施。

有時木馬程式假裝做一些合法的事情，有時它會逐漸消失，開始進行流氓行為。社交工程的惡意軟體程式每年都會造成數億次駭客攻擊。與這些數字相比，所有其他駭客型別都不值一提。

對策： 社交工程惡意軟體程式最好透過持續的終端使用者教育來處理，這些教育涵蓋了當今的威脅(例如，提示使用者執行驚喜軟體的可信網站)。企業可以透過不允許使用者使用提升的憑證在網上衝浪或回覆電子郵件來進一步保護自己。一個最新的反惡意軟體程式是必要的，但是強大的終端使用者教育提供了更好的價效比。

2.密碼網路釣魚攻擊

緊隨其後的是密碼網路釣魚攻擊。大約60%到70%的電子郵件是垃圾郵件，其中大部分是網路釣魚攻擊，目的是欺騙使用者的登入憑證。幸運的是，反垃圾郵件供應商和服務已經取得了很大的進步，所以我們大多數人都有相當乾淨的收件箱。儘管如此，我們每天還是會收到幾封垃圾郵件，其中至少有幾封是仿冒合法郵件的釣魚郵件。

我認為一封有效的網路釣魚郵件是一件腐敗的藝術品:每樣東西看起來都很棒;它甚至警告讀者不要上當受騙。唯一能讓它消失的是要求保密資訊的流氓連結。

對策： 密碼網路釣魚攻擊的主要對策是擁有無法放棄的登入。這意味著雙因素身份驗證(2FA)，智慧卡，生物識別和其他帶外認證方法(如電話或簡訊)。如果您可以為登入啟用除簡單登入名/密碼組合之外的其他內容，並且只需要更強大的方法，那麼您就打敗了密碼釣魚遊戲。

如果您遇到一個或多個系統的簡單登入名/密碼組合，請確保使用準確的防網路釣魚產品或服務，並透過更好的終端使用者培訓降低風險。我也喜歡在URL字串中突出顯示主機真實域名的瀏覽器。例如windowsupdate.microsoft.com。malware.com更為明顯。

3.未修補的軟體

緊隨社交工程惡意軟體和網路釣魚之後的是具有(可用)未修補漏洞的軟體。最常見的未打補丁和被利用的程式是瀏覽器外掛程式，如Adobe Reader和人們經常用來網上衝浪的便捷程式。多年以來一直是這種方式，但奇怪的是，我曾經審計過的公司中，沒有一家能完美修復軟體。甚至都不是很接近，讓我非常費解。

對策：立即 停止您正在做的事情並確保您的補丁是完美的。如果你做不到，請確保它在開發的產品周圍是完美的，無論它們在給定的時間段內發生了什麼。每個人都知道，更好的修補是降低風險的好方法。成為少數真正做到這一點的組織之一。更好的是，確保您100%地修補了最有可能被利用的程式，而不是試圖在所有軟體程式上完全修補。

4.社交媒體威脅

我們的網路世界是一個社交世界，他由Facebook、Twitter、領英(LinkedIn)或其他國家流行的社交網站主導。社交媒體威脅通常以惡意朋友或應用程式安裝請求的形式出現。如果你很不幸地接受了這個請求，你通常會放棄比你預想的更多的社交媒體賬號訪問權。企業駭客喜歡利用企業社交媒體賬戶來收集可能在社交媒體網站和企業網路之間共享的密碼。目前許多最糟糕的駭客攻擊開始只是簡單的社交媒體攻擊，大家千萬不要低估它的潛力。

對策:必須對社交媒體威脅進行終端使用者教育。也要確保你的使用者知道，不要與任何其他外國網站分享他們的公司密碼。在這裡，使用更復雜的2FA登入也會有所幫助。最後，確保所有的社交媒體使用者都知道如何舉報一個被劫持的社交媒體賬戶，無論是他們自己的賬戶，還是其他人的賬戶。有時候可能是他們的朋友首先發現了問題。

5. 先進的持續威脅

據我所知，只有一家大公司沒有因為高階持續威脅(APT)竊取智慧財產權而遭受重大損失。APT通常透過社交工程木馬或網路釣魚攻擊獲得立足點。

一種非常流行的方法是，讓APT攻擊者向多個員工電子郵件地址傳送特定的網路釣魚活動(稱為魚叉式網路釣魚)。網路釣魚電子郵件包含木馬附件，至少會有一名員工被欺騙執行。在最初的執行和計算機接管後，APT攻擊者可以在幾小時內危及整個企業。這很容易實現，但清理其實十分麻煩。

對策： 檢測和預防APT可能很困難，尤其是面對高階駭客時。前面提到的所有建議都適用，但您還必須學會了解網路中合法的網路流量模式，並對意外流量發出警報。APT不知道哪臺計算機通常與哪臺計算機通訊，但你可以。現在就開始跟蹤您的網路流量，並很好地處理從哪裡到哪裡的流量。APT會把大量的資料從一臺伺服器複製到另一臺伺服器上通常不通訊的計算機上。當他們這樣做的時候，你可以抓住他們。

其他常見的攻擊型別，如SQL隱碼攻擊、跨站點指令碼、傳遞雜湊和密碼猜測，與這裡列出的五種攻擊型別相比，幾乎沒有達到高階別攻擊。保護自己不受前五種威脅的影響，你就能大大降低環境中的風險。

最重要的是，我強烈建議每個企業確保其防禦和緩解措施與最重要的威脅保持一致。不要成為那種把錢花在高投入、高知名度專案上的公司，而壞人卻繼續利用那些很容易被封鎖的路線潛入。

最後，利用專門檢測APT型別攻擊的產品或服務。這些產品或服務可以在您的所有計算機上執行，比如基於主機的入侵檢測服務，可以整理事件日誌，尋找惡意跡象。你很難檢測到APT的日子已經一去不復返了。無數的供應商已經填補了之前的空白，正等著向你出售保護。

總的來說，要找出您的企業最大的威脅是什麼，並做好最充分的準備。太多的公司把資源浪費在錯誤的、不太可能發生的情況上。將他們的威脅情報與您的環境的組成和漏洞進行比較，並確定您應該為什麼做最充分的準備。