关灯
开启左侧

网络罪犯如何进入你的系统

[复制链接]
哥不帅但很坏 发表于 2019-2-25 14:43:31 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
 
本帖最后由 哥不帅但很坏 于 2019-2-25 14:48 编辑

本文介绍了网络罪犯在攻击企业网络的初始阶段使用的主要技术。

针对公司部门的网络攻击有几个危险阶段。企业遇到的第一个问题可以归结为对其系统的初始访问。此时,攻击者的目标是将一些恶意代码存放到系统上,并确保它可以进一步执行。

驱动下载

描述[tr]*[tr]这项技术的要点[tr]就是欺骗受害者打开一个网站,该网站包含各种浏览器和插件、模糊框架或恶意JavaScript文件,这些文件可以在用户意识之外下载到目标系统。

如何保护自己:
  • [tr]使用最新的网页浏览器和插件,并运行反病毒解决方案。Microsoft建议使用增强型缓解体验工具包([tr]EMET[tr])和Windows Defender漏洞保护([tr]WDEG.)
开发面向公众的应用程序

描述[tr]这种方法涉及到具有开放网络端口的应用程序(SSH网络服务、Web服务器、SMB 2等)中已知的故障、错误和漏洞。这,这个,那,那个[tr]十大web应用程序漏洞[tr]由OWASP定期出版。

如何保护自己:
  • 用防火墙。
  • 使用[tr]DMZ.
  • 遵循安全的软件开发实践。
  • ]避免被记录在案的问题[tr]CWE[tr]还有OWASP。
  • 扫描网络边界以查找漏洞。
  • 监视日志和流量是否异常活动。
硬件添加

描述:计算机、网络设备和计算机附件可能附带负责提供初始访问的隐蔽硬件组件。开源产品和商用产品都可能包括隐身网络连接、mitm(中间人)攻击的加密破解、击键注入、通过读取内核内存等功能。[tr]DMA[tr],添加新的无线网络等。

如何保护自己:
  • 采用网络访问控制策略,如设备证书和IEEE802.1X标准。
  • 限制使用[tr]DHCP[tr]注册的设备。
  • ]阻止与未注册设备的网络交互。
  • 使用主机保护机制(用于设备监视的端点安全代理)禁用未知外部设备的添加。
可移动介质

描述]这种技术导致通过自动运行特性执行流氓代码。为了欺骗用户,攻击者可以事先修改或重命名“合法”文件,然后将其复制到可移动驱动器上。恶意软件也可以嵌入到可移动媒体的固件中,或者通过初始格式化工具执行。

如何保护自己:
  • 禁用Windows中的自动运行功能。
  • 将可移动媒体的使用限制在公司的安全策略级别。
  • 使用杀毒软件。
鱼叉-钓鱼-附件

描述:这一机制的前提是网络钓鱼电子邮件附带的病毒的分布。电子邮件正文通常包含一个看似合理的原因,为什么用户应该打开附加的文件。

如何保护自己:
  • 使用IDS(入侵检测系统)和一个反病毒套件来扫描电子邮件中的恶意附件,并删除或阻止它们。
  • 配置策略以阻止电子邮件附件的某些格式。
  • 培训员工如何识别和避免网络钓鱼。
鱼叉-钓鱼-链接

描述:网络罪犯可能会发送带有恶意软件链接的电子邮件。

如何保护自己:
  • 查看接收到的电子邮件,查看导致已知恶意网站的URL。
  • 使用IDS和防病毒软件。
  • 对员工进行钓鱼意识培训。
鱼叉式钓鱼服务

描述:在这种情况下,威胁行为者通过社交网络、个人电子邮件帐户和公司无法控制的其他服务发送陷入陷阱的信息。

他们可能会使用虚假的社交网络个人资料发送工作邀请或类似的引人注目的信息。这允许他们建立信任,然后询问目标员工在企业中使用的策略和软件,并说服受害者单击恶意链接和附件。通常,犯罪人首先建立联系,然后将恶意实体发送到员工在工作场所使用的电子邮件地址。

如何保护自己:
  • 考虑阻止对个人电子邮件帐户、社交网络等的访问。
  • 使用应用程序白名单,IDS和防病毒软件。
  • 建立一个以防钓鱼为重点的人员意识计划。
供应链妥协

描述:这种方法可以归结为在供应阶段将各种后门、漏洞和其他黑客工具注入软件和硬件。可能的攻击矢量如下:

  • 操作软件开发工具和环境,
  • 滥用源代码存储库,
  • 干扰软件更新和分发机制,
  • 损害和污染操作系统图像,
  • 修改合法软件,
  • 销售假冒伪劣产品和
  • 在装运阶段拦截。

网络罪犯通常专注于破坏软件分发和更新渠道。

如何保护自己:
  • 实施供应链[tr]风险管理[tr])和SDLC(软件开发生命周期)管理系统。
  • 对承包商进行连续的评审。
  • 严格限制您在供应链中的访问权限。
  • 使用过程控制二进制文件的完整性。
  • 扫描病毒分发包。
  • 测试所有软件,并在部署前进行更新。
  • 亲自检查正在购买的硬件以及载有软件分发包和支持文件的媒体,以确定伪造的迹象。
可信关系

描述:恶意代理可以利用可能访问目标企业基础结构的组织。公司在与受信任的第三方交互时,经常使用不太安全的做法,而不是定期从外部访问。受信任的第三方可能包括IT服务承包商、安全供应商和基础设施维护承包商。此外,受信任方用于访问公司的帐户可以被黑客入侵,并可用于初始访问。

如何保护自己:
  • 使用网络分割和隔离重要的IT基础设施组件,这些组件不应该在组织之外被广泛访问。
  • 管理受信任的第三方使用的帐户和特权。
  • 检查需要特权访问的承包商的安全程序和策略。
  • 监控第三方供应商和受信任个人的活动。
使用有效帐户

描述*犯罪分子可以在社会工程的帮助下,窃取特定用户帐户或服务帐户的凭证,或者在侦察过程中检索凭证。然后,可以使用受损的凭据绕过访问管理系统,访问远程系统和外部服务,例如远程桌面,[tr]VPN[tr]和Outlook在网络上,或获得提升的特权在特定的系统和领域的网络。如果这一企图成功,肇事者可以决定不使用恶意软件,从而使检测复杂化。此外,攻击者可能会创建新的帐户来维护访问,以防其他技术失败。

如何保护自己:
  • 远离不同服务和系统之间的凭据重叠。
  • 采用密码策略并遵循企业网络管理指南来限制特权帐户的使用。
  • 监视域和本地帐户及其特权,以确定哪些帐户可以允许对手广泛访问网络。
  • 使用安全信息和事件管理跟踪帐户活动([tr]暹粒[tr])解决办法。

当然,网络罪犯需要对您的IT基础设施进行初始访问是有原因的。这取决于妥协的目标。如果对手想要的是工业间谍活动,他们就会窃取专有信息。如果你遇到一个不择手段的竞争对手的恶作剧,数字突袭可能会导致你的业务中断,并破坏你的公司的声誉。

[tr]无论如何,入侵本身仅仅是遵循许多常见阶段的第一步。这包括恶意代码执行、建立持久性、升级特权、防御规避、凭据访问、企业环境中的横向移动、数据收集、外过滤以及最终的命令和控制。

[tr]由于阻止初始未经授权访问的影响可能是至关重要的,因此将重点放在主动保护机制上是个好主意。自动化系统,如WDEG、EMET、IDS、SCRM、SDLC和[tr]暹粒[tr]不仅是花哨的缩略语,当然也值得他们的盐,但请记住,人的因素往往是最薄弱的环节在一个组织的安全。因此,对您的人员进行安全意识培训是预防攻击的基本要素之一。

回复

使用道具 举报

 
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


排行榜

关注我们:QQ交流群

官方微信

APP下载

全国服务热线:

4000-888-888

公司地址:上海市嘉定区

运营中心:上海市嘉定区百达国际大厦25楼

邮编:200000 Email:admin@mr-technos.com

Copyright   ©2015-2018  先森科技Powered by©Discuz!技术支持:先森科技     ( 浙ICP备18046157号-1 )|网站地图