譯者 | 劉睿暄

審校 | 趙立京

現(xiàn)代網(wǎng)絡安全采用分層方法來保護網(wǎng)絡的邊緣和界限。任何網(wǎng)絡構成要素——端點設備、數(shù)據(jù)路徑、應用程序或用戶，都可能成為攻擊者的切入點。由于潛在威脅較多，組織機構通常會部署多種網(wǎng)絡安全措施，旨在應對網(wǎng)絡和基礎設施中不同層面、不同類型的威脅。這種方法稱為縱深防御。

2023 年的 5 大網(wǎng)絡安全風險

1. 供應鏈攻擊

供應鏈攻擊是利用了組織機構與外部之間的信任關系，例如以下幾種方法：

• 第三方訪問：企業(yè)通常允許供應商及其他外部人員訪問他們的IT 環(huán)境和系統(tǒng)。如果攻擊者獲得了受企業(yè)信任的合作伙伴的網(wǎng)絡訪問權限，便可以利用合作伙伴的合法身份訪問該企業(yè)系統(tǒng)。
• 可信的外部軟件：所有公司都會使用第三方軟件并使其在公司網(wǎng)絡上可用。如果攻擊者將惡意代碼注入第三方軟件或更新包將其變成惡意軟件，那么惡意軟件便可以訪問組織機構環(huán)境中受信任且敏感的數(shù)據(jù)、系統(tǒng)。這是全球 SolarWinds 黑客的攻擊方式。
• 第三方代碼：幾乎所有應用程序都包含第三方、開源代碼和庫。此外部代碼可能被攻擊者濫用于漏洞或惡意功能。如果您組織機構的應用程序漏洞較多或依賴于惡意代碼，則非常容易成為被攻擊和利用的目標。Log4j 漏洞是備受關注的利用第三方代碼攻擊。

2. 勒索軟件

勒索軟件是一種惡意軟件，目的是鎖定目標計算機上的數(shù)據(jù)并顯示勒索字條。勒索程序通常會用加密技術鎖定數(shù)據(jù)，并要求受害者用加密貨幣付款以換取密鑰。

網(wǎng)絡罪犯經(jīng)常去深層網(wǎng)絡購買勒索軟件的工具包。通過這樣的軟件工具，攻擊者能夠生成具有某些功能的勒索軟件，并將其發(fā)送給受害者以索要贖金。獲取勒索軟件的另一種方式是勒索軟件即服務 (RaaS)。勒索軟件即服務可以提供價格合理的勒索程序，只需很少，甚至不需要任何專業(yè)技術知識就能運行。這種方式不需要網(wǎng)絡罪犯費什么力，就能簡單、快速地發(fā)起攻擊。

勒索軟件的類型

網(wǎng)絡罪犯會使用多種類型的勒索軟件進行勒索，且每種軟件的勒索方式各不相同。以下是較為常見的類型：

• 恐嚇軟件：恐嚇軟件會模仿技術支持或安全軟件。受害者可能會持續(xù)收到彈出通知，提示系統(tǒng)有惡意軟件。通常只有受害者對彈窗進行響應，彈窗才會消失。
• 加密勒索軟件：這種軟件會加密受害者的數(shù)據(jù)，并要求支付費用才能解密。但即使受害者協(xié)商或遵守要求，也有可能無法取回數(shù)據(jù)。
• 主引導記錄勒索軟件：這種軟件不僅僅會加密用戶的文件，還會加密整個硬盤驅動器，使受害者無法訪問操作系統(tǒng)。
• 移動勒索軟件：攻擊者通過部署移動勒索軟件，竊取手機數(shù)據(jù)或對其進行加密。受害者需支付贖金才能解鎖設備或還原數(shù)據(jù)。

3. API攻擊

API 攻擊是對應用程序編程接口 (API) 的惡意使用或破壞。API 安全是防止攻擊者利用和濫用 API 的措施和技術。API是現(xiàn)代Web應用程序和微服務架構的核心，所以黑客常常以此為目標。

API 攻擊包括：

• 注入攻擊：當API未正確驗證輸入，且允許攻擊者提交惡意代碼作為API 請求的一部分時，會發(fā)生注入攻擊。SQL 注入 (SQLi) 和跨站點腳本 (XSS) 是最著名的攻擊案例。大多數(shù)針對網(wǎng)站和數(shù)據(jù)庫的傳統(tǒng)注入攻擊同樣也可攻擊 API。
• DoS/DDoS 攻擊：在拒絕服務(DoS) 或分布式拒絕服務(DDoS) 攻擊中，攻擊者會試圖讓目標用戶無法使用API。速率限制可以緩解小規(guī)模的DoS攻擊；但大規(guī)模的DDoS攻擊會影響數(shù)百萬臺計算機，且只能通過云規(guī)模的反 DDoS 技術來解決。
• 數(shù)據(jù)暴露：API 會經(jīng)常處理和傳輸敏感數(shù)據(jù)，包括信用卡信息、密碼、會話令牌或個人身份信息(PII)。當API 處理數(shù)據(jù)時出現(xiàn)錯誤、被誘導向未經(jīng)授權的用戶提供數(shù)據(jù)，或者攻擊者設法破壞 API 服務器時，都可能對數(shù)據(jù)造成損害。

4. 社會工程攻擊

社會工程攻擊采用各種心理操縱戰(zhàn)術，例如欺騙和脅迫，使受害者執(zhí)行特定操作。以下是常見的社會工程學攻擊：

• 網(wǎng)絡釣魚：網(wǎng)絡釣魚是企圖誘騙收件人進行某種有利于攻擊者的行動。攻擊者使用各種平臺發(fā)送網(wǎng)絡釣魚消息，例如電子郵件、企業(yè)通信應用程序和社交媒體等。這些消息會誘使收件人打開惡意附件、泄露敏感信息（如登錄憑據(jù)）或單擊惡意鏈接。
• 魚叉式網(wǎng)絡釣魚：這是針對特定個人或群體的網(wǎng)絡釣魚攻擊，通常會使用有關目標的信息使網(wǎng)絡釣魚消息看起來更可信。例如財務人員可能會收到合法供應商未付發(fā)票的魚叉式網(wǎng)絡釣魚郵件。
• 短信釣魚：攻擊者使用 SMS 文本消息，或者利用有共同特征的短鏈接服務等方式來誘騙受害者點擊惡意鏈接。
• 語音釣魚：攻擊者會通過電話的方式，試圖說服受害者執(zhí)行特定操作或泄露敏感數(shù)據(jù)（如登錄憑據(jù)或信用卡信息）。

5.  中間人攻擊

MitM 攻擊或中間人攻擊也是一種網(wǎng)絡攻擊。攻擊者會攔截雙方之間的數(shù)據(jù)傳輸或對話，并轉換、冒充其中一方。

通過攔截通信，攻擊者會插入惡意鏈接等方式，竊取或更改參與者之間傳輸?shù)臄?shù)據(jù)。當雙方意識到被攻擊時，為時已晚。MitM 攻擊的常見目標包括金融應用程序、電子商務網(wǎng)站和需要進行身份驗證的用戶。

MitM 攻擊有多種方式，比如破壞公共免費 Wi-Fi 熱點。當用戶連接到被破壞的熱點時，攻擊者將了解他們的活動。除此之外還有 IP 欺騙、ARP 欺騙和 DNS 欺騙，這些都是將用戶重新定向到惡意網(wǎng)站，或將用戶提交的數(shù)據(jù)重新定向到攻擊者。

結論

本文解釋了網(wǎng)絡安全的基礎知識，并舉出了 5 個網(wǎng)絡安全風險：

• 勒索軟件：旨在鎖定目標計算機上的數(shù)據(jù)并顯示勒索信息。
• API 攻擊：惡意使用或破壞應用程序編程接口。
• 社會工程攻擊：采用各種心理操縱戰(zhàn)術，使受害者執(zhí)行特定操作。
• 供應鏈攻擊：利用組織與外部各方之間的關系進行攻擊。
• MitM 攻擊：攔截雙方之間的傳輸數(shù)據(jù)或對話，轉換、冒充其中一方。

當您遭受網(wǎng)絡攻擊時，希望本文能幫助您采取適當?shù)拇胧?/p>

原文標題：???Top 5 Network Security Risks in 2023???，作者：Gilad David Maayan