网络安全和水坑攻击

“ 水坑攻击 ”是网络犯罪分子用来破坏组织在线信息系统的众多技术之一网络安全管理员应该了解水坑攻击是如何工作的，以及如何防范它们。

水坑攻击这句话来自自然界的掠食者，他们潜伏在水坑附近，等待他们想要的猎物。在网络水坑攻击中，网络犯罪分子在网站上设置了陷阱，他们的目标受害者经常被发现。通常情况下，陷阱网站是较小的，利基网站往往安全性有限。这些网站可以包括业务合作伙伴网站或向目标公司或行业提供特定产品，服务或信息的小型网站。访问时，受感染的网站会使用键盘记录程序，勒索软件和其他类型的恶意软件感染目标最终用户计

算机或设备。

水坑攻击如何发挥作用

水坑攻击是经过精心设计和执行的攻击，通常包括以下阶段：

• 攻击者最初会分析其目标，以了解他们经常访问的网站。

• 然后，攻击者会对那些经常访问的网站进行探测，识别出任何有漏洞和漏洞的网站。

• 攻击者使用各种技术破坏易受攻击的网站。一种常见的方法是注入JavaScript或HTML代码，将受害者重定向到托管恶意软件的备用站点。

• 当目标用户的浏览器连接到恶意站点时，网站上运行的代码会与受害者的浏览器进行交互，并探测受害者的PC或设备，以查找未修补且易受攻击的应用程序或操作系统。

• 如果在受害者的设备上发现漏洞，恶意网站会在受害者的计算机上安装恶意软件。

一旦被感染，用户设备上的恶意软件将根据所涉及的恶意代码类型尝试进行各种恶意活动。它可能会扰乱用户的数据并请求赎金来恢复它，或者捕获用户输入的ID，密码和支付卡数据。或者，恶意软件可能会窃取受害者雇主的数据或执行许多其他恶意活动。

水坑攻击对网络安全造成重大威胁

虽然水坑攻击不一定常见，但它们确实构成了重大威胁，因为它们很难被发现。受感染的网站通常是受信任的实体，个人和组织可能无法对其进行全面审查。在某些情况下，它们属于没有强大安全程序的业务合作伙伴。这增加了与他们交互的任何组织或个人的风险。

水坑攻击的另一个问题是难以培训员工避免受感染的网站。组织可以培训员工如何识别和避免大多数网络钓鱼电子邮件，但用户无法在没有专门设计的工具的帮助下识别受感染的网站。幸运的是，有一些技术解决方案不依赖于最终用户。

防止水坑袭击

组织可以采取一些措施来保护自己免受水坑攻击。首先，每家公司都应该强制执行或至少鼓励遵守以下规定：

• 将所有常用软件和操作系统修补并更新到最新版本;

• 确保正确配置防火墙和其他安全产品;

• 检查员工访问的所有热门网站，并定期检查这些网站是否存在恶意软件;

• 立即阻止所有受感染网站的流量并通知网站所有者;

• 检查您自己的网站，甚至内部网站，以确保它们是免费的恶意软件;

• 在实际可用的范围内，配置浏览器或其他工具以使用网站信誉服务来通知用户已知的坏网站;

• 教育您的员工，尤其是那些能够访问关键数据和基础设施的员工，了解水坑攻击。

网络安全监控至关重要

除了上述基本步骤外，为防止复杂的水坑攻击，组织必须部署先进的网络安全监控工具。

复杂的水坑攻击使用以前看不见的漏洞和战术，通常被称为零日威胁。由于传统的基于签名的控制依赖于过去的威胁知识，因此无法有效地检测复杂的水坑和其他攻击。因此，组织必须部署额外的高级威胁防护层，例如网络安全监控和行为分析。

虽然水坑攻击具有不同的有效载荷和目标，但这些攻击使用的恶意软件几乎都与命令和控制服务器(C&C)进行通信。通过实施专门用于检测这些恶意通信的网络安全监控工具，组织可以及早发现攻击并防止其升级。同样，通过对可疑网站页面或代码执行深度内容检查，高级恶意软件检测技术可以在恶意行为造成额外损害之前识别它们。

水坑攻击是网络犯罪分子绕过典型企业安全控制并针对特定受众的有效方式。因此，他们不太可能很快消失。网络安全管理员需要预测他们的存在并采取适当的对策。

本文始发于微信公众号（疯猫网络）：网络安全和水坑攻击