辰东完美世界有声小说,我欲封天耳根小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

2023年5大網(wǎng)絡(luò)安全風(fēng)險

譯者 | 劉睿暄

審校 | 趙立京

現(xiàn)代網(wǎng)絡(luò)安全采用分層方法來保護(hù)網(wǎng)絡(luò)的邊緣和界限。任何網(wǎng)絡(luò)構(gòu)成要素——端點(diǎn)設(shè)備、數(shù)據(jù)路徑、應(yīng)用程序或用戶，都可能成為攻擊者的切入點(diǎn)。由于潛在威脅較多，組織機(jī)構(gòu)通常會部署多種網(wǎng)絡(luò)安全措施，旨在應(yīng)對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施中不同層面、不同類型的威脅。這種方法稱為縱深防御。

2023 年的 5 大網(wǎng)絡(luò)安全風(fēng)險

1. 供應(yīng)鏈攻擊

供應(yīng)鏈攻擊是利用了組織機(jī)構(gòu)與外部之間的信任關(guān)系，例如以下幾種方法：

第三方訪問：企業(yè)通常允許供應(yīng)商及其他外部人員訪問他們的IT 環(huán)境和系統(tǒng)。如果攻擊者獲得了受企業(yè)信任的合作伙伴的網(wǎng)絡(luò)訪問權(quán)限，便可以利用合作伙伴的合法身份訪問該企業(yè)系統(tǒng)。
可信的外部軟件：所有公司都會使用第三方軟件并使其在公司網(wǎng)絡(luò)上可用。如果攻擊者將惡意代碼注入第三方軟件或更新包將其變成惡意軟件，那么惡意軟件便可以訪問組織機(jī)構(gòu)環(huán)境中受信任且敏感的數(shù)據(jù)、系統(tǒng)。這是全球 SolarWinds 黑客的攻擊方式。
第三方代碼：幾乎所有應(yīng)用程序都包含第三方、開源代碼和庫。此外部代碼可能被攻擊者濫用于漏洞或惡意功能。如果您組織機(jī)構(gòu)的應(yīng)用程序漏洞較多或依賴于惡意代碼，則非常容易成為被攻擊和利用的目標(biāo)。Log4j 漏洞是備受關(guān)注的利用第三方代碼攻擊。

2. 勒索軟件

勒索軟件是一種惡意軟件，目的是鎖定目標(biāo)計算機(jī)上的數(shù)據(jù)并顯示勒索字條。勒索程序通常會用加密技術(shù)鎖定數(shù)據(jù)，并要求受害者用加密貨幣付款以換取密鑰。

網(wǎng)絡(luò)罪犯經(jīng)常去深層網(wǎng)絡(luò)購買勒索軟件的工具包。通過這樣的軟件工具，攻擊者能夠生成具有某些功能的勒索軟件，并將其發(fā)送給受害者以索要贖金。獲取勒索軟件的另一種方式是勒索軟件即服務(wù) (RaaS)。勒索軟件即服務(wù)可以提供價格合理的勒索程序，只需很少，甚至不需要任何專業(yè)技術(shù)知識就能運(yùn)行。這種方式不需要網(wǎng)絡(luò)罪犯費(fèi)什么力，就能簡單、快速地發(fā)起攻擊。

勒索軟件的類型

網(wǎng)絡(luò)罪犯會使用多種類型的勒索軟件進(jìn)行勒索，且每種軟件的勒索方式各不相同。以下是較為常見的類型：

恐嚇軟件：恐嚇軟件會模仿技術(shù)支持或安全軟件。受害者可能會持續(xù)收到彈出通知，提示系統(tǒng)有惡意軟件。通常只有受害者對彈窗進(jìn)行響應(yīng)，彈窗才會消失。
加密勒索軟件：這種軟件會加密受害者的數(shù)據(jù)，并要求支付費(fèi)用才能解密。但即使受害者協(xié)商或遵守要求，也有可能無法取回數(shù)據(jù)。
主引導(dǎo)記錄勒索軟件：這種軟件不僅僅會加密用戶的文件，還會加密整個硬盤驅(qū)動器，使受害者無法訪問操作系統(tǒng)。
移動勒索軟件：攻擊者通過部署移動勒索軟件，竊取手機(jī)數(shù)據(jù)或?qū)ζ溥M(jìn)行加密。受害者需支付贖金才能解鎖設(shè)備或還原數(shù)據(jù)。

3. API攻擊

API 攻擊是對應(yīng)用程序編程接口 (API) 的惡意使用或破壞。API 安全是防止攻擊者利用和濫用 API 的措施和技術(shù)。API是現(xiàn)代Web應(yīng)用程序和微服務(wù)架構(gòu)的核心，所以黑客常常以此為目標(biāo)。

API 攻擊包括：

注入攻擊：當(dāng)API未正確驗(yàn)證輸入，且允許攻擊者提交惡意代碼作為API 請求的一部分時，會發(fā)生注入攻擊。SQL 注入 (SQLi) 和跨站點(diǎn)腳本 (XSS) 是最著名的攻擊案例。大多數(shù)針對網(wǎng)站和數(shù)據(jù)庫的傳統(tǒng)注入攻擊同樣也可攻擊 API。
DoS/DDoS 攻擊：在拒絕服務(wù)(DoS) 或分布式拒絕服務(wù)(DDoS) 攻擊中，攻擊者會試圖讓目標(biāo)用戶無法使用API。速率限制可以緩解小規(guī)模的DoS攻擊；但大規(guī)模的DDoS攻擊會影響數(shù)百萬臺計算機(jī)，且只能通過云規(guī)模的反 DDoS 技術(shù)來解決。
數(shù)據(jù)暴露：API 會經(jīng)常處理和傳輸敏感數(shù)據(jù)，包括信用卡信息、密碼、會話令牌或個人身份信息(PII)。當(dāng)API 處理數(shù)據(jù)時出現(xiàn)錯誤、被誘導(dǎo)向未經(jīng)授權(quán)的用戶提供數(shù)據(jù)，或者攻擊者設(shè)法破壞 API 服務(wù)器時，都可能對數(shù)據(jù)造成損害。

4. 社會工程攻擊

社會工程攻擊采用各種心理操縱戰(zhàn)術(shù)，例如欺騙和脅迫，使受害者執(zhí)行特定操作。以下是常見的社會工程學(xué)攻擊：

網(wǎng)絡(luò)釣魚：網(wǎng)絡(luò)釣魚是企圖誘騙收件人進(jìn)行某種有利于攻擊者的行動。攻擊者使用各種平臺發(fā)送網(wǎng)絡(luò)釣魚消息，例如電子郵件、企業(yè)通信應(yīng)用程序和社交媒體等。這些消息會誘使收件人打開惡意附件、泄露敏感信息（如登錄憑據(jù)）或單擊惡意鏈接。
魚叉式網(wǎng)絡(luò)釣魚：這是針對特定個人或群體的網(wǎng)絡(luò)釣魚攻擊，通常會使用有關(guān)目標(biāo)的信息使網(wǎng)絡(luò)釣魚消息看起來更可信。例如財務(wù)人員可能會收到合法供應(yīng)商未付發(fā)票的魚叉式網(wǎng)絡(luò)釣魚郵件。
短信釣魚：攻擊者使用 SMS 文本消息，或者利用有共同特征的短鏈接服務(wù)等方式來誘騙受害者點(diǎn)擊惡意鏈接。
語音釣魚：攻擊者會通過電話的方式，試圖說服受害者執(zhí)行特定操作或泄露敏感數(shù)據(jù)（如登錄憑據(jù)或信用卡信息）。

5. 中間人攻擊

MitM 攻擊或中間人攻擊也是一種網(wǎng)絡(luò)攻擊。攻擊者會攔截雙方之間的數(shù)據(jù)傳輸或?qū)υ挘⑥D(zhuǎn)換、冒充其中一方。

通過攔截通信，攻擊者會插入惡意鏈接等方式，竊取或更改參與者之間傳輸?shù)臄?shù)據(jù)。當(dāng)雙方意識到被攻擊時，為時已晚。MitM 攻擊的常見目標(biāo)包括金融應(yīng)用程序、電子商務(wù)網(wǎng)站和需要進(jìn)行身份驗(yàn)證的用戶。

MitM 攻擊有多種方式，比如破壞公共免費(fèi) Wi-Fi 熱點(diǎn)。當(dāng)用戶連接到被破壞的熱點(diǎn)時，攻擊者將了解他們的活動。除此之外還有 IP 欺騙、ARP 欺騙和 DNS 欺騙，這些都是將用戶重新定向到惡意網(wǎng)站，或?qū)⒂脩籼峤坏臄?shù)據(jù)重新定向到攻擊者。

結(jié)論

本文解釋了網(wǎng)絡(luò)安全的基礎(chǔ)知識，并舉出了 5 個網(wǎng)絡(luò)安全風(fēng)險：

勒索軟件：旨在鎖定目標(biāo)計算機(jī)上的數(shù)據(jù)并顯示勒索信息。
API 攻擊：惡意使用或破壞應(yīng)用程序編程接口。
社會工程攻擊：采用各種心理操縱戰(zhàn)術(shù)，使受害者執(zhí)行特定操作。
供應(yīng)鏈攻擊：利用組織與外部各方之間的關(guān)系進(jìn)行攻擊。
MitM 攻擊：攔截雙方之間的傳輸數(shù)據(jù)或?qū)υ?，轉(zhuǎn)換、冒充其中一方。

當(dāng)您遭受網(wǎng)絡(luò)攻擊時，希望本文能幫助您采取適當(dāng)?shù)拇胧?/p>
網(wǎng)頁名稱：2023年5大網(wǎng)絡(luò)安全風(fēng)險
文章分享：http://fisionsoft.com.cn/article/ccshjhg.html

新聞中心

其他資訊