網(wǎng)絡(luò)安全事件的發(fā)生，往往意味著一家企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)受到影響，甚至數(shù)據(jù)資產(chǎn)遭到泄露。日益復(fù)雜的威脅形勢(shì)使現(xiàn)代企業(yè)面臨更大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此，企業(yè)必須提前準(zhǔn)備好響應(yīng)網(wǎng)絡(luò)安全事件的措施，并制定流程清晰、目標(biāo)明確的事件響應(yīng)計(jì)劃。為了讓企業(yè)能夠有效地識(shí)別各種常見(jiàn)的網(wǎng)絡(luò)安全事件，減小破壞損失，并降低響應(yīng)的成本，本文將對(duì)網(wǎng)絡(luò)安全攻擊的發(fā)現(xiàn)、網(wǎng)絡(luò)攻擊的途徑、網(wǎng)絡(luò)攻擊的手法、網(wǎng)絡(luò)攻擊防護(hù)建議以及如何制定應(yīng)急響應(yīng)計(jì)劃等進(jìn)行分析和介紹。

如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件？

現(xiàn)代企業(yè)遭遇數(shù)據(jù)泄露、勒索攻擊的新聞屢見(jiàn)不鮮，但由于企業(yè)往往不能第一時(shí)間掌握網(wǎng)絡(luò)攻擊的跡象，因此還有更多的安全事件沒(méi)有被發(fā)現(xiàn)。

以下是企業(yè)快速發(fā)現(xiàn)安全事件的一些方法：

特權(quán)用戶賬戶的異常行為。控制特權(quán)用戶賬戶是網(wǎng)絡(luò)攻擊事件的重要步驟，一旦特權(quán)賬戶出現(xiàn)異常狀況，極有可能表明有人在惡意利用該賬戶試圖進(jìn)入企業(yè)的網(wǎng)絡(luò)和系統(tǒng)；

未經(jīng)授權(quán)訪問(wèn)服務(wù)器和數(shù)據(jù)。許多內(nèi)部人員會(huì)嘗試究竟可以訪問(wèn)哪些系統(tǒng)和數(shù)據(jù)。危險(xiǎn)信號(hào)包括未經(jīng)授權(quán)的用戶試圖訪問(wèn)服務(wù)器和數(shù)據(jù)，請(qǐng)求訪問(wèn)與工作無(wú)關(guān)的數(shù)據(jù)，在異常時(shí)間從異常位置訪問(wèn)系統(tǒng)，以及在短時(shí)間內(nèi)從多個(gè)不同位置登錄系統(tǒng)；

出站網(wǎng)絡(luò)流量異常。企業(yè)要關(guān)注的不僅僅是進(jìn)入網(wǎng)絡(luò)的流量，還應(yīng)該監(jiān)測(cè)離開(kāi)企業(yè)邊界的流量。這可能包括惡意人員人員正在外發(fā)大量的企業(yè)數(shù)據(jù)；

來(lái)源或去向異常的網(wǎng)絡(luò)流量。對(duì)于企業(yè)組織來(lái)說(shuō)，其網(wǎng)絡(luò)應(yīng)用流量都是有一定規(guī)律的，一旦出現(xiàn)來(lái)源或去向異常的流量，可能表明是惡意網(wǎng)絡(luò)活動(dòng)引發(fā)。管理員應(yīng)及時(shí)調(diào)查發(fā)送到未知網(wǎng)絡(luò)的流量，以確保是合法流量；

資源過(guò)度消費(fèi)。服務(wù)器內(nèi)存或存儲(chǔ)空間的使用量增加也意味著有攻擊者可能在非法訪問(wèn)網(wǎng)絡(luò)系統(tǒng)；

系統(tǒng)配置更改。未經(jīng)批準(zhǔn)的配置更改表明可能存在惡意活動(dòng)， 包括重新配置服務(wù)、安裝啟動(dòng)程序或更改防火墻，添加的額外計(jì)劃任務(wù)也是如此；

隱藏的文件。通過(guò)文件名、大小或位置的判斷，一些突然出現(xiàn)的隱藏文件很可能是可疑的惡意文件，很有可能會(huì)導(dǎo)致數(shù)據(jù)或日志信息泄露；

異常瀏覽行為。這些異常行為包括意外的重定向、瀏覽器配置變化或重復(fù)的彈出窗口等；

異常的注冊(cè)表修改。這種情況主要發(fā)生在惡意軟件感染操作系統(tǒng)后，這也是惡意軟件確保其留在受感染系統(tǒng)中的主要方式之一。

網(wǎng)絡(luò)攻擊的常用途徑

攻擊途徑是指攻擊者用來(lái)訪問(wèn)計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器、投放攻擊載荷或?qū)崿F(xiàn)惡意訪問(wèn)的路徑或手段，主要包括病毒、郵件附件、網(wǎng)頁(yè)、彈出窗口、即時(shí)消息、聊天室和欺騙等。這些方法會(huì)涉及軟件應(yīng)用、硬件設(shè)備以及社會(huì)工程欺騙等。

在企業(yè)網(wǎng)絡(luò)安全事件應(yīng)用響應(yīng)中，首先應(yīng)該要妥善處理使用常見(jiàn)攻擊途徑的事件，包括如下：

• 外部/可移動(dòng)介質(zhì)。網(wǎng)絡(luò)攻擊會(huì)從磁盤、閃驅(qū)或USB外圍設(shè)備等可移動(dòng)介質(zhì)來(lái)執(zhí)行；
• 暴力消磨。這種攻擊使用暴力方法來(lái)攻擊、削弱或破壞網(wǎng)絡(luò)、系統(tǒng)或服務(wù)；
• Web攻擊。攻擊會(huì)從網(wǎng)站或基于Web的應(yīng)用程序來(lái)執(zhí)行；
• 電子郵件攻擊。攻擊通過(guò)電子郵件或其附件來(lái)發(fā)起，攻擊者引誘收件人點(diǎn)擊惡意鏈接、進(jìn)入受感染的網(wǎng)站，或者打開(kāi)受感染的附件；
• 不當(dāng)使用。這種類型的事件源于授權(quán)的用戶違反了企業(yè)的可接受使用政策；
• 無(wú)意識(shí)下載。用戶瀏覽觸發(fā)惡意軟件下載的網(wǎng)站，這可能在用戶不知情的情況下發(fā)生。無(wú)意識(shí)下載利用了Web瀏覽器中的漏洞，使用JavaScript及其他瀏覽功能注入惡意代碼；
• 基于廣告的惡意軟件。這種攻擊通過(guò)嵌入在網(wǎng)站廣告中的惡意軟件來(lái)執(zhí)行。僅僅查看惡意廣告就可能將惡意代碼注入到不安全的設(shè)備中。此外，惡意廣告還可以直接嵌入到受信任的應(yīng)用程序中，并通過(guò)它們來(lái)投放；
• 鼠標(biāo)懸停。這利用了PowerPoint等知名軟件中的漏洞。當(dāng)用戶將鼠標(biāo)懸停在鏈接上而不是點(diǎn)擊鏈接以查看去向時(shí)，shell腳本可以自動(dòng)啟動(dòng)；
• 恐嚇軟件。通過(guò)恐嚇用戶來(lái)說(shuō)服用戶購(gòu)買和下載危險(xiǎn)的軟件，如果用戶下載了該軟件并允許程序執(zhí)行，系統(tǒng)就會(huì)被感染。

網(wǎng)絡(luò)攻擊的手法和目的

雖然企業(yè)永遠(yuǎn)無(wú)法確定攻擊者會(huì)通過(guò)哪條路徑進(jìn)入網(wǎng)絡(luò)，但可以總結(jié)了解一些有共性的常用攻擊方法，在每個(gè)攻擊階段中，攻擊者都會(huì)有一些特定的實(shí)現(xiàn)目標(biāo)。安全行業(yè)將這種方法名為網(wǎng)絡(luò)殺傷鏈（Cyber Kill Chain）。現(xiàn)代網(wǎng)絡(luò)攻擊通常分為以下幾個(gè)階段：

• 偵察（識(shí)別目標(biāo)）。攻擊者從企業(yè)外面評(píng)估目標(biāo)，以識(shí)別使他能夠是實(shí)現(xiàn)的目標(biāo)。攻擊者的目標(biāo)是找到那些幾乎沒(méi)有保護(hù)措施或存在漏洞的信息系統(tǒng)，進(jìn)而實(shí)現(xiàn)非法的訪問(wèn)；
• 武器化（準(zhǔn)備行動(dòng)）。在這個(gè)階段，攻擊者會(huì)創(chuàng)建專門設(shè)計(jì)的惡意軟件。攻擊者根據(jù)在前一階段收集而來(lái)的情報(bào)，定制工具，以滿足攻擊目標(biāo)網(wǎng)絡(luò)的特定需求；
• 投放載荷（實(shí)施行動(dòng)）。攻擊者會(huì)通過(guò)多種入侵方法向目標(biāo)發(fā)送惡意軟件，比如釣魚(yú)郵件、中間人攻擊或水坑攻擊；
• 利用（闖入系統(tǒng)）。威脅分子利用漏洞訪問(wèn)目標(biāo)的網(wǎng)絡(luò)；一旦黑客侵入了網(wǎng)絡(luò)，他就會(huì)安裝持久性的后門植入程序，以便在較長(zhǎng)時(shí)間內(nèi)自由訪問(wèn)；
• 指揮和控制（遠(yuǎn)程控制植入程序）。惡意軟件打開(kāi)一條指揮通道，使攻擊者能夠通過(guò)網(wǎng)絡(luò)遠(yuǎn)程操縱目標(biāo)的系統(tǒng)和設(shè)備。然后，黑客可以從管理員手中獲取整個(gè)系統(tǒng)的控制權(quán)；
• 行動(dòng)（達(dá)到任務(wù)的目的）。鑒于攻擊者已掌握了目標(biāo)系統(tǒng)的指揮和控制權(quán)，接下來(lái)發(fā)生什么完全取決于攻擊者，他們可能破壞或竊取數(shù)據(jù)、毀壞系統(tǒng)或索要贖金等。

網(wǎng)絡(luò)安全事件的防護(hù)

多種類型的網(wǎng)絡(luò)安全攻擊都可能導(dǎo)致企業(yè)網(wǎng)絡(luò)安全事件的發(fā)生，企業(yè)必須要提前對(duì)此做好應(yīng)對(duì)準(zhǔn)備：

1.未經(jīng)授權(quán)的訪問(wèn)?

為了防止威脅分子使用授權(quán)用戶的賬戶訪問(wèn)系統(tǒng)或數(shù)據(jù)，企業(yè)應(yīng)實(shí)施完善的身份驗(yàn)證保護(hù)。企業(yè)應(yīng)該要求用戶提供除密碼之外的第二種身份信息比對(duì)。此外，應(yīng)該使用合適的軟硬件技術(shù)對(duì)公司的敏感數(shù)據(jù)進(jìn)行加密，讓攻擊者難以訪問(wèn)機(jī)密數(shù)據(jù)。

2.特權(quán)升級(jí)攻擊

攻擊者經(jīng)常使用一些特權(quán)升級(jí)漏洞，以獲取更高級(jí)別的權(quán)限。一旦特權(quán)升級(jí)攻擊得逞，威脅分子就能獲得普通用戶沒(méi)有的特權(quán)。為了降低特權(quán)升級(jí)的風(fēng)險(xiǎn)，企業(yè)應(yīng)定期在IT環(huán)境中尋找并修復(fù)安全薄弱環(huán)節(jié)企業(yè)還應(yīng)該遵循最小特權(quán)原則，即將用戶的訪問(wèn)權(quán)限制在他們完成工作所需的最低權(quán)限，并實(shí)施安全監(jiān)控。

3.內(nèi)部威脅?

這是指企業(yè)的安全或數(shù)據(jù)面臨的惡意或意外威脅，通常歸因于員工、前員工或第三方，包括承包商、臨時(shí)工或客戶。為發(fā)現(xiàn)和防止內(nèi)部威脅，企業(yè)應(yīng)實(shí)施員工異常行為監(jiān)控管理，通過(guò)識(shí)別粗心、不滿或惡意的內(nèi)部人員，降低數(shù)據(jù)泄露和知識(shí)產(chǎn)權(quán)被盜的風(fēng)險(xiǎn)。

4.釣魚(yú)攻擊

在釣魚(yú)攻擊中，攻擊者使用釣魚(yú)郵件分發(fā)執(zhí)行各種功能的惡意鏈接或附件，包括提取受害者的登錄憑據(jù)或賬戶信息。一種更有針對(duì)性的釣魚(yú)攻擊名為魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)：攻擊者花時(shí)間研究受害者，以實(shí)施更成功的攻擊。有效防御釣魚(yú)攻擊始于教育用戶識(shí)別釣魚(yú)郵件。此外，網(wǎng)關(guān)郵件過(guò)濾器可以誘捕許多廣撒網(wǎng)的釣魚(yú)郵件，并減少到達(dá)用戶收件箱的釣魚(yú)郵件數(shù)量。

5.惡意軟件攻擊?

惡意軟件包括木馬、蠕蟲(chóng)、勒索軟件、廣告軟件、間諜軟件和各種類型的病毒。惡意軟件的跡象包括不尋常的系統(tǒng)活動(dòng)，比如磁盤空間突然丟失、速度異常慢、反復(fù)崩潰或死機(jī)以及彈出廣告。安裝防病毒工具可以檢測(cè)和刪除惡意軟件。這類工具可以提供實(shí)時(shí)保護(hù)，或者通過(guò)執(zhí)行常規(guī)系統(tǒng)掃描來(lái)檢測(cè)和刪除惡意軟件。

6.拒絕服務(wù)（DoS）攻擊

DoS攻擊為此采取的手段是向目標(biāo)發(fā)送龐大流量或發(fā)送觸發(fā)崩潰的某些信息。企業(yè)通?？梢酝ㄟ^(guò)重新配置防火墻、路由器和服務(wù)器來(lái)阻止惡意虛假流量。此外，整合到網(wǎng)絡(luò)中的應(yīng)用交付設(shè)備有助于分析和篩查數(shù)據(jù)包，即在數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)將數(shù)據(jù)分類成優(yōu)先數(shù)據(jù)、常規(guī)數(shù)據(jù)或危險(xiǎn)數(shù)據(jù)，并對(duì)有威脅的數(shù)據(jù)進(jìn)行阻斷。

7.中間人（MitM）攻擊

中間人攻擊指攻擊者秘密攔截并篡改通信雙方之間發(fā)送的消息，以獲得數(shù)據(jù)訪問(wèn)權(quán)。MitM攻擊的例子包括會(huì)話劫持、郵件劫持和Wi-Fi竊聽(tīng)。雖然很難檢測(cè)到MitM攻擊，但企業(yè)可以采用TLS（傳輸層安全）加密協(xié)議，這種協(xié)議可以在兩個(gè)通信的計(jì)算機(jī)應(yīng)用程序之間提供身份驗(yàn)證、隱私和數(shù)據(jù)完整性。企業(yè)還應(yīng)該向員工闡明使用公共Wi-Fi帶來(lái)的危險(xiǎn)，并留意瀏覽器發(fā)出的異常威脅警告。

8.密碼攻擊

這種攻擊旨在獲取用戶密碼或賬戶密碼，包括密碼破解程序、字典攻擊、密碼嗅探器或通過(guò)暴力破解等方法。為了防護(hù)密碼攻擊，企業(yè)應(yīng)采用多因素身份驗(yàn)證來(lái)驗(yàn)證用戶。此外，用戶應(yīng)使用強(qiáng)密碼，并定期更改密碼。同時(shí)，企業(yè)還應(yīng)對(duì)存儲(chǔ)在安全存儲(chǔ)庫(kù)中的密碼進(jìn)行加密。

9.Web應(yīng)用程序攻擊

Web應(yīng)用程序也是一條經(jīng)常被利用的攻擊途徑，包括利用應(yīng)用程序中的代碼漏洞以及身份驗(yàn)證欺騙機(jī)制。企業(yè)需要在應(yīng)用系統(tǒng)開(kāi)發(fā)階段的早期審查代碼以發(fā)現(xiàn)漏洞，靜態(tài)和動(dòng)態(tài)代碼掃描器可以自動(dòng)檢查這些漏洞。此外，實(shí)施機(jī)器人程序檢測(cè)功能，可以防止機(jī)器人程序非法訪問(wèn)應(yīng)用程序的數(shù)據(jù)。而Web應(yīng)用防火墻可以幫助企業(yè)監(jiān)控網(wǎng)絡(luò)，并阻止?jié)撛诘墓簟?/p>

10高級(jí)持續(xù)性威脅（APT）

APT是一種長(zhǎng)期的、有針對(duì)性的網(wǎng)絡(luò)攻擊，在這種攻擊中，入侵者獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)，并在長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn)。APT的目的通常是監(jiān)控網(wǎng)絡(luò)活動(dòng)并竊取數(shù)據(jù)，而不是對(duì)網(wǎng)絡(luò)或企業(yè)搞破壞。監(jiān)控進(jìn)出流量可以幫助企業(yè)防止黑客安裝后門、提取敏感數(shù)據(jù)。企業(yè)還應(yīng)該在網(wǎng)絡(luò)邊緣安裝Web應(yīng)用防火墻，這有助于過(guò)濾掉常常在APT滲透階段使用的應(yīng)用層攻擊，比如SQL注入攻擊。

提升安全響應(yīng)能力的建議

企業(yè)不能在安全事件發(fā)生時(shí)才被動(dòng)響應(yīng)，因此許多企業(yè)都已經(jīng)制定了安全事件響應(yīng)的策略和計(jì)劃，但隨著網(wǎng)絡(luò)威脅形勢(shì)的不斷變化，需要定期對(duì)其進(jìn)行調(diào)整和優(yōu)化改進(jìn)。

1.建立定期的事件響應(yīng)溝通機(jī)制

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)，不知道從何處入手可能會(huì)加劇攻擊的損害后果。當(dāng)需要制定或啟動(dòng)計(jì)劃時(shí)，每個(gè)參與人員都必須準(zhǔn)確地知道自己該做什么。為確保每個(gè)人都能保持同步，使用清晰的溝通機(jī)制，提高每個(gè)安全事件響應(yīng)團(tuán)隊(duì)成員對(duì)自身角色和責(zé)任的認(rèn)識(shí)至關(guān)重要。當(dāng)然，這還遠(yuǎn)遠(yuǎn)不夠，為了讓安全事件響應(yīng)計(jì)劃能夠順利進(jìn)行，每個(gè)人還必須知道其他人都在做什么，以及誰(shuí)是每個(gè)工作小組的關(guān)鍵聯(lián)系人。

2.持續(xù)優(yōu)化安全事件響應(yīng)計(jì)劃

安全事件響應(yīng)計(jì)劃創(chuàng)建后，不代表可以一勞永逸了，應(yīng)該定期進(jìn)行評(píng)估和審核。這一點(diǎn)在當(dāng)今技術(shù)和相應(yīng)的信息系統(tǒng)快速發(fā)展和變化的環(huán)境中尤為重要。安全事件響應(yīng)計(jì)劃必須定期修訂，尤其是在公司不斷成長(zhǎng)的情況下。安全事件響應(yīng)計(jì)劃需足夠健壯，同時(shí)還需足夠靈活，企業(yè)應(yīng)經(jīng)常審查并更新事件響應(yīng)計(jì)劃。

3.主動(dòng)測(cè)試計(jì)劃的有效性

企業(yè)不能在安全事件發(fā)生時(shí)才發(fā)現(xiàn)目前的響應(yīng)計(jì)劃缺陷，因此必須主動(dòng)測(cè)試計(jì)劃的有效性。更重要的是，如果有足夠的練習(xí)，那些負(fù)責(zé)執(zhí)行該計(jì)劃的人會(huì)更容易做到這一點(diǎn)。事件響應(yīng)計(jì)劃壓力測(cè)試應(yīng)涉及到公司每一個(gè)人，這樣可以保持事件響應(yīng)計(jì)劃能夠不斷更新，并適應(yīng)企業(yè)數(shù)字化業(yè)務(wù)發(fā)展的需求，同時(shí)還有助于發(fā)現(xiàn)并修復(fù)業(yè)務(wù)部門存在的安全風(fēng)險(xiǎn)隱患。

4.定期開(kāi)展企業(yè)安全狀況審查

可靠的安全事件響應(yīng)計(jì)劃還需要健康的安全習(xí)慣。定期開(kāi)展安全狀況審查將使事件響應(yīng)工作更加有效，并有助于降低事故發(fā)生的風(fēng)險(xiǎn)。常見(jiàn)的審查工作應(yīng)包括更改密碼、更新和輪換密鑰、審查訪問(wèn)級(jí)別以及檢查舊員工賬戶或威脅者創(chuàng)建的賬戶。

5.重視安全事件響應(yīng)培訓(xùn)

缺乏培訓(xùn)可能會(huì)導(dǎo)致事件響應(yīng)計(jì)劃不能正確的執(zhí)行和落地。企業(yè)應(yīng)該將安全事件響應(yīng)培訓(xùn)作為優(yōu)先事項(xiàng)并相應(yīng)地賦予預(yù)算。培訓(xùn)內(nèi)容應(yīng)該包括討論各種被攻擊的威脅場(chǎng)景和響應(yīng)行動(dòng)的練習(xí)。通過(guò)安全培訓(xùn)可以讓每個(gè)人知道他們的職責(zé)是什么，還可以讓團(tuán)隊(duì)成員之間的知識(shí)更好共享。

參考鏈接：??https://www.techtarget.com/searchsecurity/feature/10-types-of-security-incidents-and-how-to-handle-them??