如何降低网络攻击者入侵风险-轻识

尽管企业会花费大量资源来提高组织安全性，但不能做到绝对的100%安全。网络攻击通常会影响企业数据的机密性，完整性和可用性。

网络攻击存在以下几种类型：

勒索软件

勒索软件是一种专门用于阻止数据访问的恶意软件。勒索软件通常对数据进行加密，因此数据不能像往常一样被访问。网络攻击者使用这种恶意软件加密数据，并要求提供解码密钥的赎金。因此得名勒索软件。

数据泄露

数据泄露是网络攻击者试图获取组织敏感数据的攻击类型。一旦他们拿到数据就会窃取数据。然后将这些窃取的数据在各种市场上出售给感兴趣的人，或者他们直接发布这些数据。不管怎样，这对组织来说都是巨大的风险。

拒绝服务 (DoS)

拒绝服务攻击的目的是通过使企业的服务不可用来损害其运营。这是通过大量的请求使服务器不堪重负，从而导致服务器变慢或崩溃来实现的。

帐户泄露

账户泄露通常不是网络攻击的最终目标，而是中间步骤。网络攻击者利用社会工程、暴力强迫或利用其他安全弱点来破坏账户。

在对企业网络进行破坏之前一般会有5个阶段：

侦测

侦测是网络攻击者攻击周期的第一个阶段，试图熟悉目标。收集这些信息可以建立一个目标的粗略蓝图，用来计划他们的攻击。侦测有两种类型：

主动侦测：在这种类型中，攻击者与目标交战或通信，目标系统可以检测到侦测活动。主动侦察的一个简单示例是 ping 探测器。

被动侦察：采用更隐蔽的方法。攻击者不与目标系统互动，而是尝试收集其他平台上已有的信息。例如，使用搜索引擎或人员数据库。

扫描

在此阶段，网络攻击者使用从上一阶段收集的信息，并尝试找到可以利用的缺陷和安全漏洞。扫描可以非常简单，只需识别攻击者可能试图攻击的服务，或者运行漏洞扫描来识别要利用的现有漏洞。此外，黑客还可以使用网络扫描来探测目标的网络，以绘制目标的基础设施。

开发

这是真正“入侵”发生的阶段。网络攻击者利用安全漏洞，破坏目标的安全性，并获得访问其系统的权限。根据漏洞的类型和攻击者的意图，黑客可以执行各种恶意操作。例如，他们可以试图获得更高的特权或访问网络中的关键系统，或窃取数据。

维护访问

在大多数有针对性的网络攻击中，当攻击者成功突破防御时，他们都有一个遵循的计划。有时可能想进一步利用目标或执行更多恶意操作。因此，网络攻击者通常会采取措施保持对被破坏系统的持续访问。

覆盖轨迹

完美的网络攻击是指系统没有意识到攻击已经发生。出于这个目的，网络攻击者会试图清除他们可能留下的所有证据和痕迹。即使系统识别出了漏洞，删除或修改一些数据，如日志、注册表项等，也会使识别变得困难。

如何减少网络攻击

为了防止网络攻击者在组织系统内长期潜伏，可以采取以下措施：

社交工程和密码

组织培训企业员工进行基本安全实践方面培训，了解社会工程及如何应对。使用强密码，识别钓鱼邮件及其他可疑数据等。除此之外，MFA和其他强大的身份验证机制将增加更多的安全性。

漏洞管理

漏洞是网络攻击者入侵系统的常用方式之一，除了投入精力修复漏洞外，在软件开发期间通过静态代码检测有助于从源头减少缺陷及漏洞，降低漏洞利用风险。

防火墙、IDS 和 IPS

如今，防火墙、IDS 和 IPS已成为网络安全常见的一部分。它们是抵御 APT 的第一道防线。这些工具利用指示攻击的规则，从而防止常见的 APT。

查看安全关键活动

密切留意对安全至关重要的活动，例如新帐户的创建、特权更改、新服务、日志服务的问题等，这些活动可能是网络入侵的早期迹象。

检测篡改

黑客试图篡改关键文件，如操作系统文件、配置文件和注册表项。如果不进行监视和调查，这些更改可能会在发起最终攻击时使防御薄弱，或者可能难以更深入地挖掘事件。

端点检测和响应 (EDR)

EDR监视和控制端点活动。如果黑客计划感染一个系统，然后通过网络传播感染。EDR可以检测第一个系统的感染并隔离资产，将其与网络中的其他节点隔离。

查找异常

异常是任何不正常的行为。查找异常有助于识别感染或持续存在的早期迹象。例如，如果有 2 个资产没有理由相互通信，但它们之间存在数据传输，则需要调查。

异常指任何不正常的行为。寻找异常可以识别感染或网络攻击持续存在的早期迹象。

来源：

https://www.softwaresecured.com/preventing-attackers-from-gaining-persistence-within-your-environment/