首页安了个全十大安全事故的特征 (10个安全事故案例)

十大安全事故的特征 (10个安全事故案例)

🏷️ 安了个全 ✍️ 编辑部 📅 2024-01-14 21:00:00

网络攻击的种类和数量比以往任何时候都要多。了解常见安全事件的主要迹象以及如何应对,以确保系统和数据的安全。

10大安全事件,9种安全事故隐患

安全事件是指危及组织系统或数据的保密性、完整性或可用性的事件。安全事件可能导致数据泄露,也可能不导致数据泄露,这取决于保护数字环境的措施是成功还是失败。

在信息技术中,安全事件是指对系统硬件或软件具有重要意义的任何事件,而事故是指干扰正常运行的事件。安全事件与安全事故通常根据严重程度和对组织的相关潜在风险来区分。

例如,如果只有一个用户被拒绝访问所请求的服务,这可能是一个严重的安全事件,因为这可能表明系统受到了破坏。另一方面,访问失败也可能是由许多相对无害的因素造成的。通常情况下,这起事件不会对组织造成严重影响,因此不属于事件。

但是,如果大量用户被拒绝访问,很可能意味着出现了更严重的问题,如 DDoS 攻击。在这种情况下,事件会被归类为安全事件。

安全漏洞是指敏感、机密或其他受保护数据在未经授权的情况下被访问或披露的经证实的事件。

与安全漏洞不同,安全事件并不一定意味着信息被泄露--只是信息受到了威胁。例如,一个成功挫败网络攻击的组织经历了一次安全事件,但并不意味着信息泄露。

如何检测安全事件

几乎每天都会有新的头条新闻,报道一个或另一个备受瞩目的数据泄露事件。但还有更多的事件由于企业不知道如何检测而被忽视。

以下是企业发现安全事件的一些迹象:

  • 特权用户账户的异常行为。特权用户账户的任何异常行为都可能表明,有人正在利用该账户在公司网络中占据一席之地。
  • 未经授权的内部人员试图访问服务器和数据。许多内部人员会试探性地确定他们到底能访问哪些资源。警告信号包括未经授权的用户试图访问服务器和数据、请求访问与其工作无关的数据、在异常时间从异常地点登录或在短时间内从多个地点登录。
  • 出站网络流量异常。企业需要担心的不仅仅是进入网络的流量。企业还应监控离开系统的流量。这可能包括内部人员将大文件上传到个人云应用程序;将大文件*载下**到 USB 闪存驱动器等外部存储设备;或向公司外部发送大量带附件的电子邮件。
  • 发送到或来自未知地点的流量。对于只在一个国家运营的公司来说,发送到其他国家的任何流量都可能表明存在恶意活动。管理员应调查任何发送到未知网络的流量,以确保其合法性。
  • 过度消耗。服务器内存或硬盘性能的提高可能意味着攻击者正在非法访问它们。
  • 更改配置。未经批准的更改,包括重新配置服务、安装启动程序或更改防火墙,都是可能存在恶意活动的迹象。新增的计划任务也是如此。
  • 隐藏文件。这些文件因其文件名、大小或位置而被视为可疑文件,表明数据或日志可能已被泄露。
  • 意外更改。这包括用户账户锁定、密码更改或群组成员资格的突然变更。
  • 异常浏览行为。这可能是意外重定向、浏览器配置更改或重复弹出窗口。
  • 可疑注册表项。 这主要发生在恶意软件感染 Windows 系统时。这是恶意软件确保其留在受感染系统中的主要方式之一。

常见的攻击载体

攻击载体是黑客进入计算机或网络服务器以交付有效载荷或恶意结果的路径或手段。攻击载体使恶意黑客能够利用系统漏洞,包括终端用户。

攻击载体包括病毒、电子邮件附件、网页、弹出式窗口、即时信息、聊天室和欺骗。所有这些方法都涉及软件,或在少数情况下涉及硬件。欺骗是个例外,它是指人类终端用户受骗上当,删除或削弱系统防御功能。

尽管组织应该有能力处理任何事件,但应重点关注那些使用常见攻击载体的事件。其中包括以下几种:

  • 外部/可移动介质。攻击通过可移动介质(如光盘、闪存盘或外围设备)执行。
  • 消耗。这类攻击使用*力暴**手段入侵、削弱或破坏网络、系统或服务。
  • 网络。 攻击通过网站或网络应用程序执行。
  • 电子邮件。 攻击通过电子邮件或附件实施。黑客诱使收件人点击链接进入受感染的网站或打开受感染的附件。
  • 不当使用。这类事件源于授权用户违反了组织的可接受使用政策。
  • 偷渡式*载下**。用户浏览一个网站时会触发恶意软件*载下**;这种情况可能在用户不知情的情况下发生。偷渡式*载下**利用网络浏览器的漏洞,使用 JavaScript 和其他浏览功能注入恶意代码。
  • 基于广告的恶意软件(恶意广告)。这种攻击是通过嵌入网站广告的恶意软件实施的。只需浏览恶意广告,就能向不安全的设备注入恶意代码。此外,恶意广告还可以直接嵌入到原本可信的应用程序中,并通过这些应用程序提供服务。
  • 鼠标悬停。这利用了 PowerPoint 等知名软件中的漏洞。当用户将鼠标悬停在链接上(而不是点击链接)以查看链接指向何处时,shell 脚本就会自动启动。鼠标悬停利用了系统漏洞,可以根据用户无辜的操作启动程序。
  • 恐吓软件。 它操纵用户购买和*载下**不必要的、不需要的和有潜在危险的软件。恐吓软件会欺骗用户,让他们以为自己的电脑感染了病毒,然后建议他们*载下**并付费购买假冒的杀毒软件来解决问题。然而,如果用户*载下**了该软件并允许程序执行,恶意软件就可能感染系统。

了解攻击者的方法和目标

10大安全事件,9种安全事故隐患

虽然组织永远无法确定攻击者会从哪条路径通过其网络,但黑客通常会采用某种方法,即一系列阶段来渗透网络并窃取数据。每个阶段都表明攻击者路径上的某个目标。

根据某组织的说法,这些是攻击的各个阶段:

  • 侦察--即确定目标。 威胁行动者从组织外部对潜在目标进行评估,以确定最能帮助他们实现目标的目标。攻击者的目标是找到保护措施较少或存在漏洞的信息系统,利用这些漏洞访问目标系统。
  • *器武**化--即准备行动。 在这一阶段,攻击者会创建专门用于利用侦察阶段发现的漏洞的恶意软件。根据侦察阶段收集的情报,攻击者会定制工具集,以满足目标网络的特定要求。
  • 发送--即发起行动。 攻击者通过任何入侵方法,如钓鱼邮件、中间人攻击或灌水攻击,将恶意软件发送给目标。
  • 利用--即访问受害者。威胁行为者利用漏洞进入目标网络。
  • 安装--即在受害者处建立滩头阵地。 恶意黑客一旦渗入网络,就会安装持久性后门或植入物,以保持较长时间的访问权限。
  • 指挥和控制 -- 即远程控制植入物。恶意软件会打开一个命令通道,使攻击者能够通过网络远程操控目标的系统和设备。然后,恶意黑客就可以从管理员手中控制所有受影响的系统。
  • 目标行动,即实现任务目标。 既然攻击者已经掌握了目标系统的指挥和控制权,接下来会发生什么就完全取决于他们了。他们可能会破坏或窃取数据、破坏系统或索要赎金等。

10 种常见的安全事件类型以及如何预防这些事件

许多类型的网络安全攻击和事件都可能导致组织网络被入侵。其中包括以下几种。

未经授权试图访问系统或数据 为防止威胁行为者使用授权用户的账户访问系统或数据,应实施MFA。这要求用户提供一个密码,外加至少一个额外的身份信息。

此外,使用合适的软件或硬件技术,在静态和网络传输过程中对敏感的企业数据进行加密。这样,攻击者就无法访问机密信息。

权限升级攻击 未经授权访问组织网络的攻击者可能会尝试使用所谓的权限升级漏洞来获取更高级别的权限。成功的权限升级攻击会授予威胁行为者普通用户不具备的权限。

通常情况下,当威胁行为者利用应用程序或系统中的漏洞、配置错误、编程错误或任何漏洞来获得对受保护数据的高级访问权限时,就会发生权限升级。

这通常发生在恶意黑客已经通过访问低级用户账户入侵网络之后,并希望获得更高级别的权限--即完全访问企业的 IT 系统--以进一步研究系统或实施攻击。

为降低权限升级的风险,企业应定期查找并修复 IT 环境中的安全薄弱环节。它们还应遵循最小权限原则,即把用户的访问权限限制在完成工作所需的最低权限内,并实施安全监控。

各组织还应评估其敏感数据所面临的风险,并采取必要措施确保数据安全。

内部威胁 这是对组织安全或数据的恶意或意外威胁,通常归咎于员工、前员工或第三方,包括承包商、临时工或客户。

为检测和预防内部威胁,应实施间谍软件扫描程序、防病毒程序、防火墙以及严格的数据备份和存档程序。此外,在允许员工和承包商访问企业网络之前,对他们进行安全意识培训。实施员工监控软件,通过识别粗心大意、心怀不满或恶意的内部人员,降低数据泄露和知识产权被盗的风险。

网络钓鱼攻击 在网络钓鱼攻击中,威胁行为者在电子邮件或其他通信渠道中伪装成信誉良好的实体或个人。攻击者利用网络钓鱼电子邮件分发恶意链接或附件,这些链接或附件可以执行多种功能,包括从受害者那里获取登录凭证或账户信息。当攻击者投入时间研究受害者以实施更成功的攻击时,就会出现一种更有针对性的网络钓鱼攻击,即鱼叉式网络钓鱼。

要有效抵御网络钓鱼攻击,首先要教育用户识别网络钓鱼邮件。此外,网关电子邮件过滤器可以拦截许多群发的网络钓鱼电子邮件,减少到达用户收件箱的网络钓鱼电子邮件数量。

恶意软件攻击 这是一个广义的术语,指安装在企业系统中的不同类型的恶意软件。恶意软件包括木马、蠕虫、勒索软件、广告软件、间谍软件和各类病毒。有些恶意软件是在员工点击广告、访问受感染网站或安装免费软件或其他软件时无意中安装的。

恶意软件的迹象包括不寻常的系统活动,如磁盘空间突然丢失;速度异常缓慢;反复崩溃或冻结;不需要的互联网活动增加;弹出广告。安装杀毒工具可以检测和删除恶意软件。这些工具既可以提供实时保护,也可以通过执行例行系统扫描来检测和删除恶意软件。

DDoS 攻击 威胁行为者发起拒绝服务(DDoS)攻击,目的是关闭单台机器或整个网络,使其无法响应服务请求。DDoS 攻击的方法是向目标发送大量流量,或向其发送一些会引发崩溃的信息。

企业通常只需重启系统,就能应对导致服务器崩溃的 DDoS 攻击。此外,重新配置防火墙、路由器和服务器可以阻止任何虚假流量。使用最新的安全补丁更新路由器和防火墙。

此外,集成到网络中的应用前端硬件可以帮助分析和筛选数据包,即在数据包进入系统时将其分为优先级、普通级或危险级。这些硬件还能帮助拦截有威胁的数据。

中间人攻击 中间人(MitM)攻击是指攻击者秘密拦截和更改双方之间的信息,而双方都认为自己是在直接通信。在这种攻击中,攻击者操纵受害者双方以获取数据。MitM 攻击的例子包括会话劫持、电子邮件劫持和 Wi-Fi *听窃**。

虽然很难发现 MitM 攻击,但有一些方法可以防止这种攻击。其中一种方法是实施 TLS 等加密协议,在两个通信的计算机应用程序之间提供身份验证、隐私保护和数据完整性。另一种加密协议是SSH,它是一种网络协议,为用户(尤其是系统管理员)提供了一种通过不安全网络访问计算机的安全方法。

企业还应教育员工使用开放式公共 Wi-Fi 的危险,因为黑客更容易入侵这些连接。企业还应告诉员工注意浏览器发出的警告,即网站或连接可能不合法。企业还应使用 VPN 来帮助确保安全连接。

密码攻击 这类攻击专门以获取用户密码或账户密码为目的。为此,恶意黑客会使用各种方法,包括密码破解程序、字典攻击、密码嗅探器和通过*力暴**(即试错)猜测密码。

密码破解程序是一种用于识别未知或遗忘的计算机或网络资源密码的应用程序。这有助于攻击者在未经授权的情况下访问资源。字典攻击是一种通过系统地输入字典中的每个单词作为密码来入侵受密码保护的计算机或服务器的方法。

为防止密码攻击,企业应采用 MFA 进行用户验证。此外,用户应选择至少包含 7 个字符的强密码,并混合使用大小写字母、数字和符号。用户应定期更改密码,并为不同账户使用不同的密码。此外,企业应对存储在安全存储库中的任何密码进行加密。

Web应用程序攻击 这是以网络应用程序为攻击载体的任何事件,包括利用应用程序中的代码级漏洞,以及挫败身份验证机制。跨站脚本攻击就是网络应用程序攻击的一个例子。这是一种注入式安全攻击,攻击者将数据(如恶意脚本)注入其他可信网站的内容中。

企业应在开发阶段及早审查代码,以发现漏洞;静态和动态代码扫描程序可自动检查这些漏洞。此外,还要实施僵尸检测功能,防止僵尸访问应用程序数据。最后,网络应用程序防火墙(WAF)可以监控网络并阻止潜在的攻击。

高级持续性威胁 高级持续威胁(APT)是一种长期的、有针对性的网络攻击,通常由老练的网络犯罪分子或民族国家实施。在这种攻击中,入侵者获得网络访问权,并在较长时间内不被发现。APT 的目标通常是监控网络活动和窃取数据,而不是对网络或组织造成破坏。

监控进出流量可帮助企业防止黑客安装后门和提取敏感数据。企业还应在网络边缘安装 WAF,以过滤进入网络应用程序服务器的流量。这有助于过滤掉在 APT 渗透阶段经常使用的 SQL 注入攻击等应用层攻击。此外,网络防火墙还可以监控内部流量。

安全事件实例

以下是几个众所周知的安全事件实例:

  • 网络安全研究人员于 2010 年首次检测到用于攻击伊朗核计划的Stuxnet 蠕虫。它至今仍被认为是迄今发现的最复杂的恶意软件之一。该恶意软件以 SCADA 系统为目标,通过受感染的 USB 设备传播。美国和以色列都与 Stuxnet 的开发有关,虽然两国都没有正式承认其在开发中的作用,但都有非官方的证实称它们对开发 Stuxnet 负有责任。
  • 2016 年 10 月,又发生了一起重大安全事件,网络犯罪分子对域名系统提供商 Dyn 发起了DDoS 攻击,导致全球在线服务中断。这次攻击袭击了许多网站,包括 Netflix、Twitter、PayPal、Pinterest 和 PlayStation Network。
  • 2017 年 7 月,美国威瑞森通信公司(Verizon Communications Inc.一个月前,安全公司 UpGuard 的一名研究人员在数据分析公司 Nice Systems 维护的云服务器上发现了这些数据。据该安全公司称,这些数据没有密码保护,因此网络犯罪分子很容易*载下**并利用这些数据。
  • 2023 年,*场赌**巨头凯撒娱乐公司(Caesars Entertainment)成为社交工程活动的受害者,导致包括社会安全号在内的敏感客户数据泄露。据报道,威胁行为者致电 IT 服务台,诱骗工作人员重置 Okta 超级管理员账户的 MFA 因子。同月,米高梅也遭遇了类似事件,估计造成了 1 亿美元的损失。

事件起因的趋势 根据美国律师事务所贝克-霍斯泰勒(BakerHostetler)发布的《2023 年数据安全事件响应报告》,安全事件的数量和严重程度居高不下。即使企业实施了新的安全措施,攻击者也能找到规避这些措施的方法。

10大安全事件,9种安全事故隐患

在对 1,160 多起事件的分析中,BakerHostetler发现网络入侵最为常见,占所有安全事件的近一半。30%的事件是商业电子邮件泄露攻击,12%涉及无意中泄露私人信息。

最常见的已知根源是网络钓鱼,每四起安全事件中就有一起是由网络钓鱼引发的。未修补的漏洞占 11%;社会工程和其他人为错误各占 5%。

在分析的事件中,28% 涉及勒索软件。在所有行业中,勒索软件攻击后的平均恢复时间比前一年有所增加,平均支付的赎金也有所增加。

从好的方面看,检测和响应能力有所提高。发现攻击的中位天数为 3 天,少于上一年的 13 天。从发现到遏制的时间中位数为零天。从遏制到取证分析的时间也从 30 天减少到 24 天。

创建事件响应计划 不断扩大的威胁形势使企业面临比以往任何时候都更大的攻击风险。因此,企业必须持续监控威胁状况,并随时准备应对安全事件、数据泄露和网络威胁。

制定定义明确的事件响应计划可使企业有效识别这些事件,最大限度地减少网络攻击造成的损失并降低成本。这些计划还有助于企业预防未来的攻击。