知攻善防 • 智能安全
各位数字游侠请注意
这里是赛博江湖科普时间
1分钟“速通”网络安全领域“高频出镜”的攻防概念
复盘那些听起来或平常或生涩的行话背后
蕴含的行业领域含义
AI驱动的
自适应攻击
这是一个比较新的概念。一般来说,AI驱动的自适应攻击是指,恶意行为者利用人工智能技术(如机器学习和深度学习),使网络攻击工具能够实时分析目标环境、自动调整行为(如恶意代码变异或攻击策略),并个性化定制攻击内容(如钓鱼邮件或漏洞利用),以动态适应防御机制、逃避检测并维持攻击有效性的高级威胁形式。
云托管恶意软件
云托管恶意软件是一种恶意行为者利用云服务(如存储桶、CDN或Serverless)托管并分发恶意代码的新型攻击手段的体现。
其主要特征包括:利用云平台合法域名与HTTPS加密隐藏恶意流量;通过云API动态更新攻击载荷,绕过静态检测;借助云基础设施的弹性资源实现快速传播与持久控制。
其典型场景包括窃取云上数据、发起DDoS攻击或污染供应链镜像。对其进行防御,一般需要结合云配置审计、AI流量分析与运行时的行为监控开展。
用户指纹
用户指纹是指基于客户端的各项信息,例如:平台、屏幕大小、浏览器版本、生效的配置、电量等参数生成较小概率重复的特定的标识。这些特定的标识用于区分设备的唯一性,从而区分用户的唯一性。
需要注意的是,用户指纹本质上是标识设备而非自然人。同一用户更换设备会生成新指纹,同一设备的多用户操作则共享同一指纹。
行为指纹建模
行为指纹建模是一种通过量化分析用户或设备的动态交互特征来实现身份认证和异常检测的网络安全技术,其核心逻辑通常包含特征提取、模式建模、实时比对三个层面。该技术能够有效识别凭证劫持、内部威胁等攻击,在金融风控和零信任架构中具有关键应用价值。
通常来说:
特征提取,是采集用户操作时序数据;
模式建模,会利用机器学习算法(如LSTM、随机森林)构建用户行为基线;
实时比对,则会通过动态阈值判定当前行为偏离度。
近源攻击
近源、近源,顾名思义,有“靠近”之义。在网络安全领域,近源攻击一般指的是直接到达目标的办公环境,通过各种手段获取内网权限,比如攻击WiFi、插BadUSB甚至直接连网线等手法。这种攻击手法与传统依赖于web入侵的方式不同,一旦恶意行为者直接出现在办公环境,一般能够更为轻易地获取内网权限。
鱼叉攻击
鱼叉攻击相对于钓鱼攻击更为精准,属于网络钓鱼的一种特定形式。与常规大批量发送的钓鱼邮件不同,鱼叉攻击是一种针对特定企业的特定员工开展的钓鱼攻击,不同于一般的邮件钓鱼。在信息收集阶段之后,由于恶意行为者针对性定制了话术,目标上钩的可能性更大。同时,此类钓鱼行为也更难用常见的邮件网关进行拦截。
撞库攻击一般归因于密码的重复使用,是一种利用外部泄露凭证的攻击。由于有很多人将密码重复用于多个帐户,因此仅凭一组账户密码足以暴露其大部分或全部帐户。常见的撞库攻击,包括弱密码嗅探和利用拖库数据等。
弱密码嗅探:聚焦测试高频弱口令能否匹配任意账号。恶意行为者会用弱口令去试探大量的账号,这样就有一定概率能发现一些真正在使用弱密码的账号。这一般要求恶意行为者手上已经掌握了大量的账号以及常见的弱密码库。
利用拖库数据:大多数人倾向于在多个站点上使用同一个密码。当恶意行为者成功入侵一个安全防护能力很弱的站点A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点B尝试,就可以被视为利用拖库数据进行撞库攻击。
严格意义上来说,暴力破解和撞库攻击属于两种不同的攻击类型。暴力破解主要是针对一些高权限账号,如网站的管理员,用大量密码去试探,其目标非常明确。
PoC
PoC,全称“Proof of Concept”,中文译为“概念验证〞,常指一段漏洞证明的代码,亦可是脚本、配置序列或自动化工具。其核心目的在于通过可复现的代码/脚本(非完整攻击链)证实漏洞的实际可利用性,为漏洞评级提供技术依据。其技术作用一般包括:驱动厂商修复(提供技术证据链)、赋能防御方验证补丁有效性、标准化漏洞披露流程(常见于CVE平台)。
中间件
中间件通常指的是连接应用系统和操作系统之间的一类软件,属于基础软件的一个大类。其主要作用在于,为处于机子上层的应用软件提供运行和开发的环境。
常见的中间件有Tomcat、 WebSphere、Weblogic等。由于中间件在实际生产中的广泛使用,其一旦被发现有严重漏洞,影响一般都极其广泛。
原文始发于微信公众号(长亭安全观察):赛博江湖“生存指南”|高频攻防概念盘点(之三)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论