儘管企業會花費大量資源來提高組織安全性，但不能做到絕對的100%安全。網路攻擊通常會影響企業資料的機密性，完整性和可用性。

勒索軟體

勒索軟體是一種專門用於阻止資料訪問的惡意軟體。勒索軟體通常對資料進行加密，因此資料不能像往常一樣被訪問。網路攻擊者使用這種惡意軟體加密資料，並要求提供解碼金鑰的贖金。因此得名勒索軟體。

資料洩露

資料洩露是網路攻擊者試圖獲取組織敏感資料的攻擊型別。一旦他們拿到資料就會竊取資料。然後將這些竊取的資料在各種市場上出售給感興趣的人，或者他們直接釋出這些資料。不管怎樣，這對組織來說都是巨大的風險。

拒絕服務 (DoS)

拒絕服務攻擊的目的是透過使企業的服務不可用來損害其運營。這是透過大量的請求使伺服器不堪重負，從而導致伺服器變慢或崩潰來實現的。

帳戶洩露

賬戶洩露通常不是網路攻擊的最終目標，而是中間步驟。網路攻擊者利用社會工程、暴力強迫或利用其他安全弱點來破壞賬戶。

在對企業網路進行破壞之前一般會有5個階段：

偵測

偵測是網路攻擊者攻擊週期的第一個階段，試圖熟悉目標。收集這些資訊可以建立一個目標的粗略藍圖，用來計劃他們的攻擊。偵測有兩種型別：

主動偵測：在這種型別中，攻擊者與目標交戰或通訊，目標系統可以檢測到偵測活動。主動偵察的一個簡單示例是 ping 探測器。

被動偵察：採用更隱蔽的方法。攻擊者不與目標系統互動，而是嘗試收集其他平臺上已有的資訊。例如，使用搜尋引擎或人員資料庫。

掃描

在此階段，網路攻擊者使用從上一階段收集的資訊，並嘗試找到可以利用的缺陷和安全漏洞。掃描可以非常簡單，只需識別攻擊者可能試圖攻擊的服務，或者執行漏洞掃描來識別要利用的現有漏洞。此外，駭客還可以使用網路掃描來探測目標的網路，以繪製目標的基礎設施。

開發

這是真正“入侵”發生的階段。網路攻擊者利用安全漏洞，破壞目標的安全性，並獲得訪問其系統的許可權。根據漏洞的型別和攻擊者的意圖，駭客可以執行各種惡意操作。例如，他們可以試圖獲得更高的特權或訪問網路中的關鍵系統，或竊取資料。

維護訪問

在大多數有針對性的網路攻擊中，當攻擊者成功突破防禦時，他們都有一個遵循的計劃。有時可能想進一步利用目標或執行更多惡意操作。因此，網路攻擊者通常會採取措施保持對被破壞系統的持續訪問。

覆蓋軌跡

完美的網路攻擊是指系統沒有意識到攻擊已經發生。出於這個目的，網路攻擊者會試圖清除他們可能留下的所有證據和痕跡。即使系統識別出了漏洞，刪除或修改一些資料，如日誌、登錄檔項等，也會使識別變得困難。

為了防止網路攻擊者在組織系統內長期潛伏，可以採取以下措施：

社交工程和密碼

組織培訓企業員工進行基本安全實踐方面培訓，瞭解社會工程及如何應對。使用強密碼，識別釣魚郵件及其他可疑資料等。除此之外，MFA和其他強大的身份驗證機制將增加更多的安全性。

漏洞管理

漏洞是網路攻擊者入侵系統的常用方式之一，除了投入精力修復漏洞外，在軟體開發期間透過靜態程式碼檢測有助於從源頭減少缺陷及漏洞，降低漏洞利用風險。

防火牆、IDS 和 IPS

如今，防火牆、IDS 和 IPS已成為網路安全常見的一部分。它們是抵禦 APT 的第一道防線。這些工具利用指示攻擊的規則，從而防止常見的 APT。

檢視安全關鍵活動

密切留意對安全至關重要的活動，例如新帳戶的建立、特權更改、新服務、日誌服務的問題等，這些活動可能是網路入侵的早期跡象。

檢測篡改

駭客試圖篡改關鍵檔案，如作業系統檔案、配置檔案和登錄檔項。如果不進行監視和調查，這些更改可能會在發起最終攻擊時使防禦薄弱，或者可能難以更深入地挖掘事件。

端點檢測和響應 (EDR)

EDR監視和控制端點活動。如果駭客計劃感染一個系統，然後透過網路傳播感染。EDR可以檢測第一個系統的感染並隔離資產，將其與網路中的其他節點隔離。

查詢異常

異常是任何不正常的行為。查詢異常有助於識別感染或持續存在的早期跡象。例如，如果有 2 個資產沒有理由相互通訊，但它們之間存在資料傳輸，則需要調查。

異常指任何不正常的行為。尋找異常可以識別感染或網路攻擊持續存在的早期跡象。

來源：

https://www.softwaresecured.com/preventing-attackers-from-gaining-persistence-within-your-environment/

如何降低網路攻擊者入侵風險

相關文章