什么是网络攻击?
网络攻击是针对计算机系统、网络、Web 应用或 API 等基础设施的恶意活动,以破坏、窃取或操纵数据为目的。
网络攻击是指个人或组织蓄意破坏其他个人或组织的信息系统,通常以窃取数据、破坏运营或对个人、组织或国家造成破坏为意图。
网络攻击类型
攻击者会使用各种复杂的工具和手段对其目标发起网络攻击。一些最常见的网络攻击类型包括:
1. 恶意软件攻击
恶意软件指代旨在渗透、破坏、中断或未授权访问计算机系统、网络或设备的恶意软件。恶意软件往往通过电子邮件或消息中的可点击链接进行传播,旨在感染系统并损害其安全性。为了缓解恶意软件的影响,请务必在所有设备上安装防病毒软件,在打开可疑电子邮件或附件时要小心谨慎,并避开打开可疑网站。常见的恶意软件类型包括:
- 病毒:一种恶意代码,可以附加到合法软件或文件,在执行时可以进行复制。
- 蠕虫:自我复制的恶意软件,无需用户干预即可在网络和系统之间进行传播。
- 木马:伪装成合法软件的恶意软件,安装后会执行一系列恶意操作,例如窃取数据或为攻击者提供远程访问权限。
- 间谍软件:可监控用户的活动,在用户不知情或未经用户同意的情况下收集敏感信息(如凭据或信用卡号)。
2. 网络钓鱼攻击
网络钓鱼是一种涉及欺骗性电子邮件或消息的攻击,诱骗个人泄露敏感信息,如密码、信用卡号或个人数据。看似来自正当来源,实则受控于网络犯罪分子的欺诈性电子邮件、网站或消息是此类攻击通常会采用的几种形式。此类攻击还存在一种更有针对性的形式,称为鱼叉式网络钓鱼,涉及为特定个人或组织量身定制消息内容,使信息请求看起来更正当。为了防止网络钓鱼攻击,用户应谨慎对待来路不明的电子邮件,特别是要求提供个人或财务信息的电子邮件,切勿点击可疑链接或下载来自未知发件人的附件。
3. DDoS 攻击
分布式拒绝服务 (DDoS) 攻击可致使系统无法运行,让合法用户无法使用系统。DDoS 攻击会利用流量淹没目标资源,使其超载到无法运行的程度,从而降低基础设施的性能。DDoS 攻击涉及多个来源或僵尸网络(由攻击者控制的遭入侵计算机或设备组成的网络),攻击者会协调上述多个来源并针对目标发动攻击。源自单一来源的攻击称为拒绝服务 (DoS) 攻击。
容量耗尽或洪水攻击是 DDoS 攻击的一种类型,通常针对第 3 层、第 4 层或第 7 层,而 SYN 洪水是一种非常常见的攻击,可能会淹没网络防火墙和其他关键网络基础设施。
预防 DDoS 攻击需要结合多种防御措施来建立分层式防御,包括流量过滤和速率限制机制。这些措施可以阻止恶意网络流量,并检测流量模式中可能表明存在 DDoS 攻击的异常。实施基于云的 DDoS 预防服务可以获得专用且可扩展的缓解功能,以防御 DDoS 攻击。通过这些服务重定向流量,组织可以充分利用先进的缓解技术与实时威胁情报所带来的益处,并可受益于专业提供商的专业知识。
5. 社会工程学攻击
社会工程学攻击以心理操纵的手段来欺骗受害者,致使对方泄露敏感信息、采取行动或做出有损安全性的决定。在某些情况下,攻击者可能会冒充可信的人员(如同事、主管或 IT 人员),以说服受害者共享敏感数据或泄露用户名、密码或其他身份验证凭据。使用这些信息,攻击者可以在未经授权的情况下,获得系统、帐户和敏感数据的访问权限。通常会结合使用网络钓鱼和社会工程学来操纵受害者,并且可能采用非常有针对性的手段(例如网络钓鱼电子邮件),再冒充可信人员(比如来自银行或 IT 部门)致电。尽管强身份验证实践(如 MFA)有助于限制社会工程学攻击本身所带来的影响,但防止社会工程学攻击的主要方法是通过向用户普及和教导用户有关网络钓鱼和社会工程学策略的相关知识。
6. 内部人员威胁
内部人员威胁是指组织内有权访问组织系统、数据或网络的个人所构成的安全风险。这些人可能是现任或前任员工、承包商、合作伙伴或任何拥有合法访问权限的人员。内部人员威胁可能是一种有意或无意的行为,可能导致各种类型的网络安全事件,包括破坏、数据盗窃、数据处理不当以及网络钓鱼或社会工程学攻击。在识别内部人员威胁方面,员工的意识和培训对于防止内部人员威胁所带来的风险非常重要,强大的访问控制(如最低权限原则)和加强型的用户身份验证方法(验证用户身份并防止未授权访问)也同等重要。
7. Web 应用攻击
这些恶意攻击针对 Web 应用、网站和 Web 服务,目的是利用漏洞并破坏上述目标的安全性。随着应用的现代化,以及许多传统 Web 应用因此在混合云和多云环境中向 API 型系统的演变,致使威胁面大幅扩大。
安全团队必须考虑 Web 应用和 API 的许多风险,包括:
- 漏洞利用:软件中的弱点或缺陷,网络犯罪分子可将这些对象视为目标,以此破坏安全性,包括执行恶意代码。这些通常是由不受支持或未修补的软件、软件错误或错误配置所致。
- 自动化威胁:指由 Bot、脚本或黑客工具包而不是由人类实施的恶意攻击。这些威胁可能利用 Web 应用和 API 中的固有漏洞,导致安全漏洞、数据盗窃、帐户接管、欺诈和其他不利后果。
- 业务逻辑滥用:指代攻击者操纵 Web 应用的预期行为以实现恶意目的的情况,通常使用自动化手段。这可能涉及操纵应用的工作流程,以获取对受限区域的访问权限,或执行未经授权的交易或访问敏感数据。
- 绕过身份验证和授权控制:当访问控制和授权实施不充分时,攻击者就可能获得对未经授权的功能或数据的访问权限。
- 客户端攻击:针对用户设备(如 Web 浏览器或已安装的应用)中的软件或组件的威胁。客户端攻击的一种常见形式是跨站脚本 (XSS),攻击者将恶意客户端脚本(如 JavaScript)注入到其他用户查看的网页中。这可能导致敏感信息被盗,如登录凭据、个人数据或会话 Cookie。现代应用通常具有许多相互依赖项,例如第三方集成、库和框架。安全团队可能无法查看在客户端执行的所有上述组件,攻击者可借此威胁向量,直接从 Web 浏览器执行恶意脚本和泄露数据。
- 安全配置错误:攻击者会试图找到未修补的缺陷、常见端点、使用不安全默认配置运行的服务,或未受保护的文件和目录,以获得对系统的未授权访问。随着架构不断分散并分布在多云环境中,安全配置错误的风险也与日俱增。
网络攻击的目的
网络攻击牵扯各种目的,这取决于发动攻击的威胁行为者的动机和目标。
经济利益是勒索软件攻击和欺诈等网络攻击的常见动机,数据盗窃也是如此,可轻松在暗网上获利。可供出售的敏感数据包括知识产权、商业秘密、凭据和财务信息。间谍活动是网络攻击的另一个动机,民族国家行为者和网络间谍会为国家或政治利益而收集情报和敏感信息。网络攻击还可能被用来破坏正常的运营流程或干扰关键基础设施,导致停机和收入损失。
网络攻击的目标
网络犯罪分子非常擅长检测和瞄准技术弱点和漏洞,以便通过所有攻击向量发动网络攻击。常见的漏洞包括过时或未修补的软件,攻击者可以利用这些漏洞获得未经授权的访问权限、破坏数据或执行恶意代码。弱身份验证机制还允许未经授权的个人或攻击者访问系统和敏感信息,或破坏帐户。不安全的应用设计也可能引入攻击者可以利用的漏洞,例如安全配置错误、有缺陷的会话管理或不安全的 API,从而导致网络攻击。
攻击者还会针对网络漏洞,其中包括不安全的 Wi-Fi 网络,允许攻击者拦截或操纵双方之间的通信,可能窃取敏感信息或注入恶意内容。弱网络配置还可能造成攻击者可以利用的安全漏洞,例如防火墙规则不足、访问控制列表 (ACL) 配置错误以及弱加密协议或过时的加密协议。
与供应链问题相关的漏洞也可能遭到攻击者利用。第三方供应商的弱点或供应商的网络安全实践可能会被攻击者利用来访问组织的网络或资源。这些可能包括不充分的安全措施、未打补丁的软件或易受攻击的硬件。作为供应商尽职调查的一部分,评估供应商和合作伙伴的网络安全实践并要求对方遵守安全标准和最佳实践非常重要。
人为因素也可能导致网络漏洞。除了社会工程学攻击(犯罪分子操纵个人泄露敏感信息)外,使用弱密码或员工缺乏安全意识也可能让网络攻击有机可乘。内部人员疏忽,例如无意中下载恶意软件或错误处理敏感数据(即使是无心之举),也可能导致网络攻击。
与许多其他技术一样,采用人工智能的目的有善有恶,并且这项技术越来越多地被恶意行为者利用来进行复杂和破坏性的网络攻击。人工智能可用于扫描软件和系统的漏洞,并收集和分析有关潜在目标的数据。然后,它可用于在检测到弱点时发动攻击。人工智能还可以通过使用机器学习算法更有效地猜测密码来加快密码破解过程。人工智能生成的 DeepFake 视频和音频可用于社交工程攻击,模拟组织内的高级管理人员或其他可信角色,以此操纵员工采取破坏安全性的行动。此外,可随意获得强大的人工智能技术这点体现了实现自动网络攻击的准入门槛正在变低,让普通人也有可能实施网络犯罪,从而使更广泛的个人或团体可更轻易地从事网络犯罪活动。
最常见的网络攻击向量
攻击者不断发展其网络攻击技术,新的攻击向量也会定期涌现。此外,持续和有针对性的攻击通常采用多种方法。以下是最常见的攻击向量示例。
- 中间人 (MitM) 攻击指代攻击者在对方不知情或未经同意时拦截双方间通信的情况,攻击者可借此机会窃听对话、窃取信息,甚至操纵传输的数据。MitM 攻击可以通过多种方式发生:当攻击者窃取会话 Cookie 或令牌以模拟用户并获得对 Web 应用的未授权访问时,攻击者可能会在公共 Wi-Fi 网络中拦截无线通信,或者可能进行会话劫持。
- 注入攻击指代攻击者将不受信任或恶意的数据插入命令或查询语言时,或者当用户提供的数据未经应用验证、过滤或净化,从而导致执行恶意命令的情况。注入攻击包括 NoSQL、OS 命令、LDAP 和 SQL 注入攻击,以及跨站脚本 (XSS),攻击者将恶意客户端脚本(如 JavaScript)注入到其他用户查看的网页中。这可能导致敏感信息被盗,如登录凭据、个人数据或会话 Cookie。
- 凭证窃取涉及窃取用户名和密码,通常是通过键盘侧录、撞库攻击和密码喷洒(对许多用户帐户使用相同密码)等技术。遭入侵的凭证可能导致未经授权的帐户访问、数据泄露和网络内的横向移动。攻击者经常以弱密码或重复使用的密码为目标,由此也凸显了强大的身份验证实践的重要性。撞库攻击导致各行业频发帐户接管 (ATO) 和欺诈事件,特别是在电子商务和金融服务领域。
- 恶意网站经过特意设计,会执行有害行为、危害访问者设备的安全性或从事非法活动。恶意网站可以利用 Web 浏览器、插件或操作系统中的漏洞,在未经用户同意或不知情的情况下,将恶意软件下载并安装到设备上(不会提示任何通知),这一漏洞通常被称为“路过式下载”。恶意网站还可以托管包含恶意代码或链接的可点击广告。
- 遭入侵的软件使攻击者能够通过利用未修补软件中的已知漏洞,或者通过注入软件更新或下载的恶意软件,获得对系统的未授权访问权限。
为了防范此类漏洞,请务必实施强身份验证和访问控制(例如强密码或密码短语),并启用 MFA,多一道安全保障。采用最低特权原则并定期审查和更新访问控制,可确保用户仅拥有执行其功能所必需的权限。此外,请务必及时更新软件和系统的补丁,并进行漏洞评估和渗透测试,以识别和修复漏洞。人为因素可能对网络攻击的风险产生重大影响,因此请务必向所有员工和用户提供网络安全意识培训和教育。网络安全人人有责,不仅涉及 IT 专业人员,还涉及组织内的每个人。
网络攻击的影响
无论是对个人还是组织而言,网络攻击都可能会带来严重且深远的后果。最直接的影响可能是经济损失,无论是源于欺诈还是未授权访问个人帐户的盗窃事件;或者是在网络攻击后,组织还会面临收入损失、支付法律费用和监管罚款等问题。组织还可能在攻击之后遭受声誉损害和运营中断等问题,并可能会遭遇影响竞争力和市场地位的知识产权盗窃事件。在面对勒索软件攻击时,组织可能会难以下定决心去支付赎金以恢复加密数据,尤其是面对支付赎金并不能保证恢复数据,并且有可能会助长攻击者的气焰,发动其他攻击的这种情况。
正如以下示例所述,各行各业都面临着网络攻击的威胁。
- 2022 年末,攻击者操纵了 T-Mobile 的 API,入侵了 3700 万个用户帐户,以获取客户姓名、账单地址、电子邮件地址、电话号码、账号和出生日期。攻击者早在违规事件发生的一个多月以前即获得了 T-Mobile 系统未经授权的访问权限,但却无人知晓。
- 2023 年 3 月,俄罗斯黑客针对公开谴责 Vladimir Putin 攻打乌克兰的美国和欧洲政界人士、商界人士和名人发起了社会工程学活动。黑客诱骗受害者接听电话或视频通话,提供误导性提示,让对方发表支持 Putin 或俄罗斯的言论。他们发表这些声明是为了让这些曾发表反对 Putin 言论的受害者颜面扫尽。
- 2023 年 6 月,DDoS 攻击导致 Microsoft 365 服务中断超过 8 小时,包括 Outlook、Teams、OneDrive 和云计算平台 Azure。Microsoft 表示,这次攻击是由一个名为 Storm-1359 的组织所致,该组织可以访问一系列僵尸网络和工具,使威胁行为者能够从多个云服务和开放的代理基础设施发起 DDoS 攻击。攻击的目标是网络堆栈的应用层(第 7 层),而不是以最常见的第 3 层或第 4 层为目标。
F5 可以针对网络攻击提供哪些解决之道?
随着网络安全威胁变得愈发先进和持久,以及网络攻击的后果愈发严重,组织必须从使用分散、点式的安全工具转向采用全面、集成的网络安全准备方法,且要覆盖到整个攻击面。在利用现代架构、基于微服务的边缘工作负载和第三方集成的动态多云环境中,需要一种新的安全方法来保护身份、设备、网络、基础设施、数据和应用。
F5 提供了一套集成的网络安全解决方案,可在传统和现代应用中最大限度地提高保护并降低风险,并在所有环境中自动执行安全策略。在人工智能和机器学习的驱动下,F5 安全解决方案允许更具适应性和响应性的安全措施,以增强威胁检测、自动化事件响应并分析大量数据集,从而识别表明网络漏洞的模式和异常,并可以针对突发威胁提供防御。
F5 安全解决方案使用全面的安全控制和统一的策略和可观测性,包括简化跨环境的应用安全部署和管理,缓解漏洞和网络威胁。借助 F5,组织可以利用完整的安全措施,包括 Web 应用防火墙 (WAF)、分布式拒绝服务 (DDoS) 缓解措施、API 安全和 Bot 防御,而这些安全措施全部由一个可轻松跨多云和边缘环境进行扩展的专用平台提供。通过观测端到端应用流量和事件,采用一种整体的治理策略和集中式控制面板,降低操作复杂性、优化应用性能并提高投资的安全效率。
