根據(jù)來自國際電子商務顧問局白帽 認證的資料顯示,成功的 攻擊包含了五個步驟:搜索、掃描、獲得權(quán)限、保持連接,消除痕跡,
解析網(wǎng)絡攻擊五大階段
。在本文中,我們就將對每個階段進行詳細的分析。在將來的文章中,我還會對檢測方式進行詳細的說明。第一階段:搜索
搜索可能是耗費時間最長的階段,有時間可能會持續(xù)幾個星期甚至幾個月。 會利用各種渠道盡可能多的了解企業(yè)類型和工作模式,包括下面列出這些范圍內(nèi)的信息:
互聯(lián)網(wǎng)搜索
社會工程
垃圾數(shù)據(jù)搜尋
域名管理/搜索服務
非侵入性的網(wǎng)絡掃描
這些類型的活動由于是處于搜索階段,所以屬于很難防范的。很多公司提供的信息都屬于很容易在網(wǎng)絡上發(fā)現(xiàn)的。而員工也往往會受到欺騙而無意中提供了相應的信息,隨著時間的推移,公司的組織結(jié)構(gòu)以及潛在的漏洞就會被發(fā)現(xiàn),整個 攻擊的準備過程就逐漸接近完成了。不過,這里也提供了一些你可以選擇的保護措施,可以讓 攻擊的準備工作變得更加困難,其中包括了:
確保系統(tǒng)不會將信息泄露到網(wǎng)絡上,其中包括:
軟件版本和補丁級別
電子郵件地址
關(guān)鍵人員的姓名和職務
確保紙質(zhì)信息得到妥善處理
接受域名注冊查詢時提供通用的聯(lián)系信息
禁止對來自周邊局域網(wǎng)/廣域網(wǎng)設備的掃描企圖進行回應
第二階段:掃描
一旦攻擊者對公司網(wǎng)絡的具體情況有了足夠的了解,他或她就會開始對周邊和內(nèi)部網(wǎng)絡設備進行掃描,以尋找潛在的漏洞,其中包括:
開放的端口
開放的應用服務
包括操作系統(tǒng)在內(nèi)的應用漏洞
保護性較差的數(shù)據(jù)傳輸
每一臺局域網(wǎng)/廣域網(wǎng)設備的品牌和型號
在掃描周邊和內(nèi)部設備的時間, 往往會受到入侵防御(IDS)或入侵檢測(IPS)解決方案的阻止,但情況也并非總是如此。老牌的 可以輕松繞過這些防護措施。下面提供了防止被掃描的措施,可以在所有情況使用:
關(guān)閉所有不必要的端口和服務
關(guān)鍵設備或處理敏感信息的設備,只容許響應經(jīng)過核準設備的請求
加強管理系統(tǒng)的控制,禁止直接訪問外部服務器,在特殊情況下需要訪問的時間,也應該在訪問控制列表中進行端到端連接的控制
確保局域網(wǎng)/廣域網(wǎng)系統(tǒng)以及端點的補丁級別是足夠安全的
第三階段:獲得權(quán)限
攻擊者獲得了連接的權(quán)限就意味著實際攻擊已經(jīng)開始,
電腦資料
《解析網(wǎng)絡攻擊五大階段》(http://www.stanzs.com)。通常情況下,攻擊者選擇的目標是可以為攻擊者提供有用信息,或者可以作為攻擊其它目標的起點。在這兩種情況下,攻擊者都必須取得一臺或者多臺網(wǎng)絡設備某種類型的訪問權(quán)限。除了在上面提到的保護措施外,安全管理人員應當盡一切努力,確保最終用戶設備和服務器沒有被未經(jīng)驗證的用戶輕易連接。這其中包括了拒絕擁有本地系統(tǒng)管理員權(quán)限的商業(yè)客戶以及對域和本地管理的服務器進行密切監(jiān)測。此外,物理安全措施可以在發(fā)現(xiàn)實際攻擊的企圖時,拖延入侵者足夠長的時間,以便內(nèi)部或者外部人員(即保安人員或者執(zhí)法機構(gòu))進行有效的反應。
最后,我們應該明確的一點是,對高度敏感的信息來說進行加密和保護是非常關(guān)鍵的。即使由于網(wǎng)絡中存在漏洞,導致攻擊者獲得信息,但沒有加密密鑰的信息也就意味著攻擊的失敗。不過,這也不等于僅僅依靠加密就可以保證安全了。對于脆弱的網(wǎng)絡安全來說,還可能存在其它方面的風險。舉例來說,系統(tǒng)無法使用或者被用于犯罪,都是可能發(fā)生的情況。
第四階段:保 站持連接
為了保證攻擊的順利完成,攻擊者必須保持連接的時間足夠長。雖然攻擊者到達這一階段也就意味他或她已成功地規(guī)避了系統(tǒng)的安全控制措施,但這也會導致攻擊者面臨的漏洞增加。
對于入侵防御(IDS)或入侵檢測(IPS)設備來說,除了用來對入侵進行檢測外,你還可以利用它們進行擠出檢測。下面就是入侵/擠出檢測方法一個簡單的例子,來自理查德·帕特里克在2006年撰寫的《擠出檢測:內(nèi)部入侵的安全監(jiān)控》一書的第三章:擠出檢測圖解。它包括了:
對通過外部網(wǎng)站或內(nèi)部設備傳輸?shù)奈募䞍?nèi)容進行檢測和過濾
對利用未受到控制的連接到服務器或者網(wǎng)絡上的會話進行檢測和阻止
尋找連接到多個端口或非標準的協(xié)議
尋找不符合常規(guī)的連接參數(shù)和內(nèi)容
檢測異常網(wǎng)絡或服務器的行為,特別需要關(guān)注的是時間間隔等參數(shù)
第五階段:消除痕跡
在實現(xiàn)攻擊的目的后,攻擊者通常會采取各種措施來隱藏入侵的痕跡和并為今后可能的訪問留下控制權(quán)限。因此,關(guān)注反惡意軟件、個人防火墻和基于主機的入侵檢測解決方案,禁止商業(yè)用戶使用本地系統(tǒng)管理員的權(quán)限訪問臺式機。在任何不尋;顒映霈F(xiàn)的時間發(fā)出警告,所有這一切操作的制定都依賴于你對整個系統(tǒng)情況的了解。因此,為了保證整個網(wǎng)絡的正常運行,安全和網(wǎng)絡團隊和已經(jīng)進行攻擊的入侵者相比,至少應該擁有同樣多的知識。
結(jié)論
本文介紹了 經(jīng)常使用的一些攻擊方式。對安全專家也會有一些幫助。