网络攻击

当今的威胁参与者既有单枪匹马的黑客和有组织的网络罪犯，也有参与长期网络战的国家支持的团体。他们的手段越来越多，包括恶意软件攻击、社会工程诈骗、零日漏洞利用和自我复制蠕虫。

攻击者会利用各种漏洞，从未打补丁的 Web 应用程序到配置错误的云服务，来入侵目标系统并破坏其功能。为了减轻这些威胁，组织需要多层防御来帮助预防、检测和应对网络攻击，防止其造成严重破坏。

网络攻击不会在真空中发生。他们在技术、人员和动机交汇的地方发起攻击。其后果远远超出了暂时的停机或文件失窃造成的影响。IBM 的 2025 年数据泄露成本报告将全球平均 数据泄露成本定为 444 万美元，这一数字涵盖了检测、事件响应、停机、收入损失和长期品牌损害。¹

有些事件的成本要高得多：在 2024 年 3 月，一名受害者在一次勒索软件攻击中支付了 7500 万美元，而商业电子邮件诈骗 (BEC) 仅在 2024 年就通过 21,442 起报告事件，从组织中盗取了 27.7 亿美元。²分析师预计，全球网络犯罪的年度成本将从 2024 年的约 9.2 万亿美元上升到 2028 年的约 13.8 万亿美元。

要充分理解网络攻击的重要性，从三个维度审视网络攻击非常重要：

• 谁发起了攻击
• 攻击者的目标
• 攻击者为何发动攻击

网络攻击的源头来自各种外部和内部的恶意行为者。

外部攻击者的类型差异很大。有组织的网络罪犯团伙可能会通过勒索软件活动或在暗网上出售被盗数据来牟利。有些是专门入侵系统的职业黑客。

在国家层面，国家支持的行为者进行长期的网络战争和间谍活动，针对竞争对手的政府和企业进行攻击。还有黑客活动分子，他们闯入系统是为了引起人们对政治或社会事业的关注，而不是为了直接的经济利益。

内部威胁带来的风险类型不同，但其严重程度同样不容小觑。心怀不满的员工可能会故意窃取敏感数据或破坏系统以进行报复。还有一些人则是因为粗心大意：例如，一个将客户数据存储在不安全硬盘上的用户，可能无意中创建了恶意行为者可以利用的漏洞。只有当内部人员故意滥用授权访问时，才算真正的网络攻击，但即使是疏忽大意也能为外部对手提供第一个突破口。

攻击者入侵系统，因为每一项资产（无论是知识产权还是个人数据）都有明确的价值。常见目标包括：

• 金融资产：包括银行账户、支付系统、加密货币钱包、信用卡号和登录凭证，这些都可能被用于直接盗窃或转售。

• 数据与知识产权：涵盖客户数据、产品设计、专利研究以及可被用于身份盗窃或暗网转售的个人身份信息。

• 关键基础设施和政府系统：涵盖能源网络、医疗保健系统和政府机构，扰乱重要信息系统和公共服务。

一些活动旨在削弱功能，而不是窃取数据。例如，近期某次分布式拒绝服务 (DDoS) 攻击通过持续约 35 秒、峰值达 11.5 Tbps 的数据流使其目标系统陷入瘫痪。正如一位研究人员所说，“这相当于在短短 45 秒内让您的网络充满 9,350 多部高清完整电影。”

也许最难回答的问题是攻击者为什么发动攻击。动机涵盖经济利益、政治目的与个人恩怨，且单次数据泄露事件往往涉及多重驱动因素。然而大多数攻击活动主要围绕三大驱动因素展开：犯罪牟利、政治诉求或个人恩怨。

• 犯罪：犯罪动机仍然是最常见的动机。一些行为者追求直接的经济利益，闯入系统发动勒索软件攻击或开展大规模网络钓鱼活动。其他人则专注于勒索，使用 DDoS 攻击将网络扣为人质，直到支付赎金。
  
  
• 政治驱动：政治动机同样构成网络攻击活动的重要成因。国家资助的黑客行动与长期网络间谍活动，往往持续针对关键基础设施、政府网络乃至选举系统进行渗透探测。与这些国家级行动并行的是黑客活动分子，以个人或松散的集体形式出现，他们渗透网络以突出某个社会或政治原因，或羞辱对手。
  
  
• 个人动机：个人动机虽然更难预测，但同样具有破坏性。心怀不满的承包商或商业伙伴可能会故意泄露敏感数据或破坏系统以报复。有时，这种动机仅仅是好奇心或虚荣心：所谓的“体育黑客”闯入赛场只是为了挑战自我，证明自己可以做到。

网络罪犯使用许多复杂的工具和技术来破坏系统。计策不断演变，但可以分为三大类：普遍存在的网络威胁、高级网络威胁和新兴网络威胁。

这些技术是网络犯罪的主力军。它们可以跨越多个行业，利用人性的弱点，而且很少需要国家的资源。正因其普遍存在且屡屡得手，此类攻击构成了多数网络安全事件的核心威胁。

恶意软件是指恶意导致受感染的系统无法运行的软件。它可以破坏数据、窃取信息或擦除对操作系统运行至关重要的文件。常见的恶意软件类型包括：

• 木马：伪装成合法程序欺骗用户安装的攻击。远程访问木马 (RAT) 在受害者设备上打开一个隐藏后门，而 dropper 木马在获得立足点后会安装额外的恶意软件。

• 勒索软件：使用强大的加密来扣押数据或系统，直到受害者支付赎金。

• 恐吓软件：用虚假警告轰炸受害者，以诱导下载或交出敏感信息。

• 间谍软件：秘密收集用户名、密码和信用卡号，并将其发送给攻击者。

• Rootkits：在保持隐蔽的同时，授予操作系统管理员级别的控制权限。

• 自我复制型蠕虫：在应用程序和设备之间自动传播。

社会工程攻击利用的是人性的信任而非技术漏洞，诱使人们泄露信息甚至安装恶意软件。最常见的例子是网络钓鱼，即通过电子邮件、短信或社交媒体消息模仿合法请求，诱骗受害者点击恶意链接或打开受感染的附件。

更具针对性的变种包括鱼叉式网络钓鱼，它利用公开社交资料中的详细信息，针对特定个人定制攻击。鲸鱼网络钓鱼是针对高级管理人员的版本，而 BEC 诈骗则假冒首席执行官等受信任的个人，诱骗员工汇款或共享机密数据。

DoS 和分布式拒绝服务(DDoS) 攻击会用欺诈性流量淹没系统的资源，直到系统无法响应合法请求。DoS 攻击来自单一来源，而 DDoS 攻击则使用多个来源，通常是一个由恶意软件感染的笔记本电脑、智能手机和物联网 (IoT) 设备组成的僵尸网络。

在账户盗用攻击中，犯罪分子劫持合法用户的凭据以进行恶意活动。他们可能会通过网络钓鱼获取密码，在暗网上购买被盗数据库，或发起自动暴力攻击，重复猜测密码，直到一个密码成功为止。

中间人攻击（MITM 攻击）也称为窃听攻击，是指黑客秘密拦截双方之间的通信，通常是通过不安全的公共 Wi-Fi 网络进行的。攻击者可以在消息到达收件人之前阅读或修改消息。例如，在一种会话劫持变体中，入侵者将其 IP 地址与受害者的 IP 地址互换，从而欺骗服务器授予对受保护资源的完全访问权限。

更具耐心的攻击者会凭借技术手段、隐蔽行动与持续渗透来展开长期攻击行动。此类计策往往融合多重攻击手段（从潜伏的人工操作到自动化僵尸网络），其攻击周期可长达数月，使得早期检测至关重要。

攻击者通过瞄准公司的软件供应商、材料供应商或其他服务提供商来破坏公司。由于供应商常与客户网络保持互联，一旦其系统遭渗透，攻击者便能以此为跳板间接侵入众多关联企业。

XSS 攻击是将恶意代码插入合法网页或 Web 应用程序。当用户访问网站或应用程序时，代码会自动在其网络浏览器中运行，用于窃取敏感信息或将访客重定向到欺骗性的恶意网站。攻击者常利用 JavaScript 发动此类漏洞攻击。

SQL 注入攻击通过向网站或应用的后端数据库发送恶意结构化查询语言 (SQL) 指令来实现入侵。攻击者通过用户可见的字段（例如搜索栏和登录窗口）输入命令，诱使数据库返回信用卡号或其他客户数据等私人数据。

域名系统 (DNS) 隧道技术能将恶意流量隐藏于 DNS 数据包内，使其得以绕过防火墙和入侵检测系统等传统安全防护措施。威胁参与者使用这种技术创建隐蔽的通信信道，可以悄悄地提取数据或将恶意软件连接到远程命令和控制 (C2) 服务器。

零日漏洞利用指在软件开发商发布补丁前，攻击者利用尚未被发现或未修复的软件缺陷，即零日漏洞，发起攻击的行为。这类攻击的有效期可持续数日、数月乃至数年，因而成为高级威胁组织的首选手段。

无文件攻击利用合法软件程序中的漏洞，将恶意代码直接注入计算机内存中。由于此类攻击仅在内存中运行，且硬盘中几乎不留痕迹，因此能规避多数反病毒软件的检测，甚至部分下一代反病毒 (NGAV) 工具也无法检测到。攻击者经常利用 PowerShell 等脚本环境来更改配置或窃取密码。

DNS 欺骗也称为 DNS 投毒，它可秘密更改 DNS 记录，用欺诈性 IP 地址替换网站的真实 IP 地址。当受害者试图访问合法网站时，他们在不知情的情况下会被重定向到可能窃取数据或分发恶意软件的恶意副本。

恶意行为者正在通过操纵智能系统、利用新的基础设施甚至破坏未来的加密技术来扩大攻击面。尽管这些网络威胁仍在持续演变，但已迫切需要安全运营中心 (SOC) 及更广泛的安全团队加以关注。

人工智能 (AI)，尤其是生成式 AI，正在为入侵者开辟一条新的战线。黑客可以使用大语言模型 (LLM) 来制作高度逼真的钓鱼攻击，生成深度伪造的音频和视频，甚至以前所未有的规模自动化侦察。更为复杂的手段（例如提示注入或 AI 越狱）能够通过覆盖内置安全防护机制，诱骗人工智能系统泄露敏感数据。

企业在持续地将工作量转移到公有云和混合云，从而扩大了潜在的攻击面。配置错误的存储桶、暴露的应用程序编程接口 (API) 以及 Kubernetes 等脆弱的容器编排平台，让攻击者有机会近乎实时地访问整个环境。针对单一云配置错误的攻击可能允许威胁行为者在多个工作量间横向移动，并在不触发传统周界防御的情况下外泄客户数据。

数据完整性攻击旨在破坏或篡改数据集（不论是在传输、存储还是处理环节）致使下游系统做出错误决策。这可能包括操纵实时数据流或悄悄编辑财务或医疗记录。一种特别严重的计策是数据中毒，在这种计策中，攻击者使用恶意记录修改机器学习训练集，导致模型开发出隐藏的后门或有偏倚的输出。

量子计算的进步威胁着当今的公钥密码学。攻击者已开始采用“现在窃取，将来解密”的策略，当前窃取加密数据，寄望于未来的量子计算能力能破解现有加密算法，从而获取敏感信息。为这种转变做准备需要组织跟踪后量子加密 (PQC) 的发展，并开始规划关键系统的迁移路径。

抵御网络攻击需要的不仅仅是单一的产品或政策。有效的网络安全融合了人员、技术和流程，以预测威胁、限制风险并提供全面的威胁检测和响应。

强大的预防措施始于了解组织的最有价值的资产及其周围的攻击面，从而减少未经授权访问的机会。常见的保障措施包括：

• 身份和访问管理 (IAM)：强制执行最低权限访问、多重身份验证和强密码政策，以确保只有合适的人员才能访问关键系统。许多组织还要求远程用户通过虚拟专用网络(VPN) 或其他安全通道进行连接。

• 数据安全和数据丢失预防 (DLP)：加密敏感数据，监控其使用和存储方式，并维护定期备份以限制数据泄露的影响。

• 网络控制：部署分层防火墙和入侵防御系统 (IPS)，以阻止恶意流量进入或离开网络。这包括恶意软件尝试联系 C2 服务器。

• 持续的漏洞管理：定期进行补丁和渗透测试可以帮助消除漏洞，以防被攻击者利用。

• 攻击面管理 (ASM)：在入侵者发现之前，对本地部署、云和 IoT 环境中暴露的资产进行识别、编目和修复。

• 统一终端管理 (UEM)：对包括台式机、笔记本电脑、移动设备和云工作量在内的每个端点应用一致的安全策略。

• 安全意识培训：使员工能够识别网络钓鱼电子邮件、社会工程计策和其他常见攻击入口。

因为没有完美的防御措施，所以组织需要实时了解其计算机网络和信息系统：

• 安全信息和事件管理 (SIEM)：汇总和分析来自入侵检测系统、端点检测和响应 (EDR) 工具和其他监控技术的检测警报。

• 威胁情报：通过整合已知威胁行为者、攻击手法和入侵指标 (IOC) 等数据增强警报信息，加速分类处置流程。

• 高级分析与人工智能：现代检测平台日益采用机器学习来标记异常，并识别可能表明网络事件正在进行的细微模式。

• 主动的威胁搜寻：经验丰富的分析师会主动搜寻隐藏的入侵行为，例如高级持续性威胁 (APT)，这些入侵可能会被自动化工具忽略。

当预防和检测发现攻击时，协调一致的应对措施可以限制损失并加快恢复速度：

• 事件响应计划：一份经过文档化和测试的计划可以帮助团队遏制和消除网络安全威胁，恢复操作并进行根本原因分析，以防止问题再次发生。

• 安全编排、自动化和响应 (SOAR)：整合不同的工具并自动化常规任务，使安全团队能够专注于复杂的调查工作。

• 扩展检测与响应 (XDR)：跨终端、网络、电子邮件、应用程序和云工作负载关联信号，提供统一视图并加速修复响应。

• 事后复盘：总结事件教训、更新控制措施，并将新情报反馈至预防与检测机制中。