你应该知道的现代攻击方法

虽然许多组织确实投资于实施防火墙、防病毒软件、运行定期渗透测试和加固其系统的 IT 安全，但许多组织缺乏对实际攻击方法的了解。结果往往是一种错误的安全感和保护感。了解敌对组织或个人想要攻击您的组织的方式和原因对于制定保护您和您的组织的有效策略至关重要。

为什么你被攻击

大多数组织对他们为什么会受到攻击只有模糊的理解。对于企业，我们将主要关注企业，主要原因是：窃取商业机密、损害企业或榨取资本。后者，即榨取资金或窃取资金，是企业成为网络攻击受害者的最常见原因。

网络犯罪分子主要是为了自己的利益和利润而运作。使用网络攻击作为政治干预形式的犯罪分子数量很少，尽管案件总是非常突出。作为一家企业，您主要关心的是处理资金或现金流动的系统和人员。处理交易和银行账户的环境受到的威胁最大。

社会工程学和物理渗透

大多数技术人员认为，软件漏洞利用、未受保护和未打补丁的系统是数据丢失和黑客攻击的主要弱点。虽然技术安全漏洞对组织构成威胁，但在涉及专业组织的攻击时，它们通常不是进入系统的主要入口。

社会工程学的方式

访问受保护系统和环境的最常见、最快和最有效的方法是通过社会工程。社会工程是操纵和欺骗个人以获得对信息或系统的未授权访问的艺术。它依赖于利用人类心理、信任和漏洞来诱骗人们泄露敏感数据或执行对攻击者有利的操作。

虽然您可能知道社会工程学及其含义，但这里有一些实际示例，说明攻击者如何通过工程进入系统。这通常不仅包括单个个体，还包括不同个体进入所需系统的路径。

在电话中冒充受害者

大多数联络中心都需要极其基本的身份验证。客户编号、出生日期和当前地址通常足以获取敏感信息。此外，大多数前台和电话系统都没有针对社会工程攻击进行过培训或保护。让我给你一些我亲身遇到的真实世界的例子。

示例：联系中心关闭 Web 服务

攻击者联系了欧洲一家小型云提供商的服务中心，要求关闭特定的虚拟机，声称它们仅用于测试目的，无法通过管理控制台执行此操作。在提供帐户的所有个人详细信息并因此“识别”后，联络中心代理指示系统终止虚拟机。

示例：关闭街道电网

攻击者使用暴力拨号方法和社会工程学（“通过电话四处询问”）来确定电网运营商服务经理的电话号码。维保人员上街工作时，他默默地站在一旁，记录他们与维保人员的沟通方式。有一天，攻击者打电话给运营商，要求远程关闭一条特定的电力线。

爬过垃圾箱和垃圾

机密信息最常见的来源是垃圾箱。虽然大多数组织都提供碎纸机，但许多员工实在太懒了。因此，许多机密信息最终都被扔进了垃圾桶。一些信息通常也没有声明为“机密”，但对攻击者有帮助。就像上面有名字的桌上足球比赛的结果一样，帮助攻击者识别潜在的个体受害者。

示例：获取竞争对手的收入数据

攻击者看到一家快餐连锁店的一家分店将 POS 系统生成的每周收入报告副本扔进了垃圾桶。攻击者在关闭时间访问了附近的所有分支机构，并能够从垃圾箱中获取所有打印的 POS 系统收入报告。他将它们整理成 Excel 表格，并作为市场调查信息偷偷卖给竞争对手。

即使是您认为无关紧要的信息也可能有所帮助。以打印机测试页为例。这些通常包含打印机和控制打印机的设备的 IP 地址。非常有助于收集有关打印机所在网络的信息。这些事件被称为“信息泄露”，是当今组织中最被低估的安全事件之一。

以假身份进入处所

你会认为大多数组织都受到了很好的物理保护，因为它们有接待处、前台和访问控制系统。然而，这些复杂的物理安全系统中的人为因素继续提供安全漏洞。维修工人、工资过低的保安人员、入口失控都是导致攻击者未经许可进入建筑物的因素。

示例：访问会计部门

攻击者能够访问垃圾处理公司总部的场所。该公司在大楼的底层设有一个向公众开放的服务中心。在繁忙时间，攻击者能够跟随一名员工偷偷溜进主楼。攻击者完美地模仿了该公司的外貌和着装要求。随后，他进入了会计部门，在那里他获得了会计部门没有妥善保护的公司银行账户的机密打印件。

办公室往往是员工的第二个家。因此，他们在这些办公室内感到受到保护和安全，并且不会考虑有人未经授权访问他们的办公空间。但是，由于企业有固定访客，而且客户经常光顾办公室或建筑物的某些部分，例如商店或服务中心，因此攻击者可以获得对办公室的物理访问权限。因此，保护办公室内的文件和设备非常重要。

使用陷阱获取访问权限

陷阱是一个有吸引力的人引起目标人的兴趣，通常是为了交换某种浪漫的互动。这可能是一位有魅力的女性试图通过接近公司高管来获取公司机密信息。也可能是，并且在历史上一直是，男性与女秘书建立浪漫关系以获取机密信息。虽然这听起来像是来自詹姆斯邦德的电影，但它比你想象的更常见。

示例：窃取机密研究信息的婚外情

某研发部门的主管与他在一次会议上认识的一名女性发生了婚外情。他们一起在旅馆房间里住了一晚。在某个时候，她能够瞥见他在手机上输入 PIN 码。在他洗澡的时候，她可以通过文件管理应用程序提取机密研究资料，并将其上传到自己的云存储空间，稍后将其交给海外竞争对手。

对目标人的设备进行物理访问允许执行各种额外的攻击和间谍方法。陷阱之旅的好处是，受害者常常羞于在袭击发生之前和之后谈论此类袭击。与某人建立短期或中期的浪漫关系可以减少他们的威胁感。您不会将与您有亲密关系的人视为威胁。

在组织中部署寄生虫

大多数网络攻击都是针对特定系统或信息的一次性操作。这可能包括窃取金钱或信息。有时攻击需要数周、数月或数年的更长时间操作。这些可能包括在不被注意的情况下在组织内部部署恶意应用程序和服务。

示例：部署第三方应用程序和服务

在当今的云计算和 SaaS 世界中，不一定需要访问员工或公司的机器。允许授权第三方扩展的服务使攻击者可以轻松地授权他们的恶意服务并随后访问公司的云服务。进一步的浏览器扩展也有助于操作员工机器。虽然扩展程序无法访问机器本身，但它们可以监控网站，从而监控受害者使用的 SaaS 应用程序。由于设备受到严密保护和监控，因此专业攻击者通常会避免在其中部署恶意应用程序。

示例：在网络中部署寄生设备

由于在操纵机器时存在被抓到的风险，因此通常更容易部署可以在数月内无人注意的外部设备。在我个人遇到的一个案例中，攻击者获得了对办公楼的物理访问权限，并能够将小型单板计算机（缩写为 SBC；类似于 Raspberry Pi）部署到主会议室。本质上是经典的窃听或窃听。该设备被藏在一个大显示器后面，可以在数周内收听房间内的任何会议。攻击者获得了危险数量的机密信息。

示例：在办公室和商店中使用跟踪器

将微型单板计算机或带有移动电源的嵌入式设备放在办公室和商店尘土飞扬的角落，可以跟踪有多少人以及使用哪些蓝牙 MAC 地址在该区域漫游。这允许完整收集何时、何地、多长时间以及谁在定义的空间内四处走动。这可用于跟踪客户数量、员工路径或简单地识别谁在哪里工作。

由于设备本身变得越来越小，它们的能源需求越来越少，而且电池的使用寿命越来越长，因此部署恶意设备变得非常流行。能量需求最低的简单电路板可以在相对较小的移动电源上运行数天。仍然存在这样的情况，即人们在野外遇到他们不知道这些设备在做什么的设备。在混淆这些设备方面，攻击者也非常有创意。这甚至可以是插入电源插座的小板，伪装成插座本身的简单盖子。

攻击方式发生了显著变化

虽然大多数公司都在忙于升级防火墙、安装防病毒软件以及对员工进行网络钓鱼电子邮件培训，但专业的攻击者已经开始行动了。当您只能使用此人的真实电子邮件帐户时，为什么要尝试发送欺骗性的网络钓鱼电子邮件？

今天的网络攻击保护远远超出了对应用程序和服务的技术保护。人为因素已成为网络安全中最关键的部分。这慢慢地将网络安全从纯粹的技术问题转变为心理问题。

不能再外包网络安全

网络安全正在与常规安全相结合，因此需要对安全人员和员工进行有关存在的威胁的培训。外包网络安全进行季度审查和定期渗透测试已经不够了。网络安全不是每个员工的日常工作。从前台接待员，到餐厅的厨师和执行董事。

如果员工授权攻击者使用他的 MFA 设备，MFA 将如何保护您的应用程序？如果您已向攻击者（例如工资过低的实习生）提供 MFA 设备以进行身份验证怎么办？

网络安全不仅仅是 IT 部门的工作，它需要 HR 和任何其他部门定期讨论安全问题并提高对这些攻击的认识。

原文始发于微信公众号（网络研究院）：你应该知道的现代攻击方法