940
技術社區[雲棲]
黑客攻擊五大步驟
對於網絡安全來說,成功防禦的一個基本組成部分就是要了解敵人。就象防禦工事必須進行總體規劃一樣,網絡安全管理人員必須了解黑客的工具和技術,並利用這些知識來設計應對各種攻擊的網絡防禦框架。根據來自國際電子商務顧問局白帽黑客認證的資料顯示,成功的黑客攻擊包含了五個步驟:搜索、掃描、獲得權限、保持連接,消除痕跡。在本文中,我們就將對每個階段進行詳細的分析。在將來的文章中,我還會對檢測方式進行詳細的說明。
第一階段:搜索
搜索可能是耗費時間最長的階段,有時間可能會持續幾個星期甚至幾個月。黑客會利用各種渠道盡可能多的了解企業類型和工作模式,包括下麵列出這些範圍內的信息:
互聯網搜索
社會工程
垃圾數據搜尋
域名管理/搜索服務
非侵入性的網絡掃描
這些類型的活動由於是處於搜索階段,所以屬於很難防範的。很多公司提供的信息都屬於很容易在網絡上發現的。而員工也往往會受到欺騙而無意中提供了相應的信息,隨著時間的推移,公司的組織結構以及潛在的漏洞就會被發現,整個黑客攻擊的準備過程就逐漸接近完成了。不過,這裏也提供了一些你可以選擇的保護措施,可以讓黑客攻擊的準備工作變得更加困難,其中包括了:
確保係統不會將信息泄露到網絡上,其中包括:
軟件版本和補丁級別
電子郵件地址
關鍵人員的姓名和職務
確保紙質信息得到妥善處理
接受域名注冊查詢時提供通用的聯係信息
禁止對來自周邊局域網/廣域網設備的掃描企圖進行回應
第二階段:掃描
一旦攻擊者對公司網絡的具體情況有了足夠的了解,他或她就會開始對周邊和內部網絡設備進行掃描,以尋找潛在的漏洞,其中包括:
開放的端口
開放的應用服務
包括操作係統在內的應用漏洞
保護性較差的數據傳輸
每一台局域網/廣域網設備的品牌和型號
在掃描周邊和內部設備的時間,黑客往往會受到入侵防禦(IDS)或入侵檢測(IPS)解決方案的阻止,但情況也並非總是如此。老牌的黑客可以輕鬆繞過這些防護措施。下麵提供了防止被掃描的措施,可以在所有情況使用:
關閉所有不必要的端口和服務
關鍵設備或處理敏感信息的設備,隻容許響應經過核準設備的請求
加強管理係統的控製,禁止直接訪問外部服務器,在特殊情況下需要訪問的時間,也應該在訪問控製列表中進行端到端連接的控製
確保局域網/廣域網係統以及端點的補丁級別是足夠安全的
第三階段:獲得權限
攻擊者獲得了連接的權限就意味著實際攻擊已經開始。通常情況下,攻擊者選擇的目標是可以為攻擊者提供有用信息,或者可以作為攻擊其它目標的起點。在這兩種情況下,攻擊者都必須取得一台或者多台網絡設備某種類型的訪問權限。
除了在上麵提到的保護措施外,安全管理人員應當盡一切努力,確保最終用戶設備和服務器沒有被未經驗證的用戶輕易連接。這其中包括了拒絕擁有本地係統管理員權限的商業客戶以及對域和本地管理的服務器進行密切監測。此外,物理安全措施可以在發現實際攻擊的企圖時,拖延入侵者足夠長的時間,以便內部或者外部人員(即保安人員或者執法機構)進行有效的反應。
最後,我們應該明確的一點是,對高度敏感的信息來說進行加密和保護是非常關鍵的。即使由於網絡中存在漏洞,導致攻擊者獲得信息,但沒有加密密鑰的信息也就意味著攻擊的失敗。不過,這也不等於僅僅依靠加密就可以保證安全了。對於脆弱的網絡安全來說,還可能存在其它方麵的風險。舉例來說,係統無法使用或者被用於犯罪,都是可能發生的情況。
第四階段:保持連接
為了保證攻擊的順利完成,攻擊者必須保持連接的時間足夠長。雖然攻擊者到達這一階段也就意味他或她已成功地規避了係統的安全控製措施,但這也會導致攻擊者麵臨的漏洞增加。
對於入侵防禦(IDS)或入侵檢測(IPS)設備來說,除了用來對入侵進行檢測外,你還可以利用它們進行擠出檢測。下麵就是入侵/擠出檢測方法一個簡單的例子,來自理查德·帕特裏克在2006年撰寫的《擠出檢測:內部入侵的安全監控》一書的第三章:擠出檢測圖解。它包括了:
對通過外部網站或內部設備傳輸的文件內容進行檢測和過濾
對利用未受到控製的連接到服務器或者網絡上的會話進行檢測和阻止
尋找連接到多個端口或非標準的協議
尋找不符合常規的連接參數和內容
檢測異常網絡或服務器的行為,特別需要關注的是時間間隔等參數
第五階段:消除痕跡
在實現攻擊的目的後,攻擊者通常會采取各種措施來隱藏入侵的痕跡和並為今後可能的訪問留下控製權限。因此,關注反惡意軟件、個人防火牆和基於主機的入侵檢測解決方案,禁止商業用戶使用本地係統管理員的權限訪問台式機。在任何不尋常活動出現的時間發出警告,所有這一切操作的製定都依賴於你對整個係統情況的了解。因此,為了保證整個網絡的正常運行,安全和網絡團隊和已經進行攻擊的入侵者相比,至少應該擁有同樣多的知識。
結論
本文的目的不是讓你成為網絡防護方麵的專家。它僅僅是介紹黑客經常使用的一些攻擊方式。有了這些資料的幫助,安全專家可以更好地進行準備,以便在出現安全事件時,能夠更輕鬆地找出敵人究竟在哪裏以及在做什麼?
最後更新:2017-04-02 15:14:59