主页
topics
网络攻击
更新日期:2024 年 8 月 16 日
撰稿人:Matthew Kosinski
网络攻击(也称为网络黑客攻击)是指使用非常规或非法手段未经授权访问数字设备、计算机系统或计算机网络。
网络攻击(也称为网络黑客攻击)的典型例子是网络罪犯,他们利用安全漏洞或攻破安全措施闯入计算机或计算机网络来窃取数据。但网络攻击并不总是带有恶意。从技术上讲,操纵个人智能手机运行自定义程序的用户也是黑客。
恶意黑客已经建立了一个巨大的网络犯罪经济,非法者通过发起网络攻击或出售恶意软件或窃取的数据来获利。据一项估计(ibm.com 外部链接),这个地下市场是仅次于美国和中国的世界第三大经济体。
网络攻击的另一方面,网络安全社区越来越依赖道德黑客(具有助人而非犯罪意图的黑客)来测试安全措施、识别和解决安全缺陷以及预防网络威胁。道德黑客通过帮助公司加固安全系统,或与执法部门合作打击恶意黑客,以此谋生。
网络攻击是故意破坏计算机系统或用户的行为,而黑客攻击是通过未经批准的手段获取或控制系统的行为。关键区别在于,网络攻击总是会损害其目标,但黑客攻击可以是好的、坏的或中立的。
恶意行为者可以而且经常使用黑客技术发起网络攻击,例如,有人利用系统漏洞入侵网络并植入勒索软件。
另外,道德黑客利用黑客技术帮助组织加强防御。这基本上与网络攻击相反。
另一个重要的区别是黑客攻击并不总是非法的。如果黑客获得了系统所有者(或者是系统所有者)的许可,则他们的活动是合法的。
相比之下,网络攻击几乎总是非法的,因为它们没有得到目标的同意,并且积极旨在造成伤害。
黑客根据其动机和策略可分为 3 个主要类别:
恶意黑客,通过黑客攻击造成损害
道德黑客,为保护公司免受损害而进行攻击
模糊“好”和“坏”黑客之间界限的自卫队或“灰帽”黑客
恶意黑客(有时称为“黑帽黑客”)是出于邪恶目的进行黑客攻击的网络罪犯,他们为个人或经济利益而伤害受害者。
有些恶意黑客会直接实施网络攻击,而其他黑客则开发恶意代码或漏洞,然后在暗网上出售给其他黑客。(例如,请参阅勒索软件即服务)。他们可能单独行动,也可能是勒索软件团伙、诈骗团伙或其他有组织的团伙成员。
金钱是恶意黑客最常见的动机。他们的“赚”钱手段通常有:
窃取敏感或个人数据,—登录凭证、信用卡号、银行账号、社会保障编号—,他们可以用它们闯入其他系统、进行身份盗窃甚至销售。
根据 IBM X-Force Threat Intelligence Index,数据渗漏是网络攻击最常见的影响,占攻击总数的 32%。
勒索受害者,例如,使用勒索软件攻击或分布式拒绝服务 (DDoS) 攻击来劫持数据、设备或业务运营,直到受害者支付赎金。根据 Threat Intelligence Index,勒索占事件的 24%,是第二大常见攻击影响。
受雇进行企业间谍活动,从客户公司的竞争对手那里窃取知识产权或其他机密信息。
恶意黑客有时除了金钱之外还有其他动机。例如,心怀不满的员工可能纯粹因为错失晋升机会而入侵雇主的系统。
灰帽黑客并不完全属于道德阵营或恶意阵营。这些义务黑客未经许可闯入系统,但他们这样做是为了帮助他们入侵的组织,并可能获得一些回报。
“灰帽”这个名称是指这些黑客在道德灰色地带活动。他们会告知相关公司他们在系统中发现的缺陷,并可能会主动提出修复这些漏洞,以便收取费用甚至获得工作机会。虽然他们的初衷是好的,但他们可能会不小心向恶意黑客提供新的攻击媒介。
一些业余程序员只是为了好玩、学习新知识,或因攻破高难度目标而声名鹊起。例如,生成式 AI的兴起推动了业余爱好者人工智能黑客的激增,他们尝试越狱的 AI 模型,让他们做新的事情。
“黑客行动主义者”是指通过黑客攻击系统来引起人们对社会和政治问题关注的活动家。松散组织 Anonymous 可能是最著名的黑客行动组织,曾对俄罗斯政府和联合国等知名目标发动过攻击。
国家支持的黑客有民族国家的官方支持。他们与政府合作,经常以国家安全的名义监视对手、破坏关键基础设施或传播虚假信息。
这些黑客是道德的还是恶意的,仁者见仁智者见智。以 Stuxnet 对伊朗核设施的攻击为例,据信这是美国和以色列政府所为。任何将伊朗核计划视为安全威胁的人都可能认为这种攻击是合乎道德的。
归根结底,黑客所做的是以系统设计者不希望他们做的某种方式访问系统。如何做到这一点,取决于他们的目标和针对的系统。
黑客攻击可以很简单,例如发送网络钓鱼电子邮件以窃取任何被攻击者的密码,也可以像高级持续性威胁 (APT) 一样复杂,能够在网络中潜伏数月。
一些最常见的黑客攻击方法包括:
虽然人们可以使用 标准的 Mac 或 Microsoft 操作系统进行黑客攻击,但许多黑客使用定制的操作系统 (OS),其中加载了量身定制的黑客工具,例如凭证破解工具和网络扫描程序。
例如,Kali Linux,一种专为渗透测试而设计的开源 Linux 发行版,在道德黑客中很受欢迎。
黑客会使用各种工具来了解目标,找出他们可以利用的漏洞。
例如,数据包嗅探器分析网络流量以确定其来自何处、去往何处以及包含哪些数据。端口扫描程序远程测试设备中是否存在黑客可以连接的开放和可用端口。漏洞扫描程序搜索已知漏洞,使黑客能够快速找到目标的入口。
恶意软件或恶意程序是恶意黑客武器库中的关键武器。根据 X-Force Threat Intelligence Index,43% 的网络攻击涉及恶意软件。
一些最常见的恶意软件类型包括:
勒索软件锁定受害者的设备或数据,并要求支付赎金才能解锁它们。
僵尸网络是由黑客控制、连接到互联网并感染恶意软件的设备组成的网络。僵尸网络恶意软件通常以物联网 (IoT) 设备为目标,因为这类设备的保护措施通常比较薄弱。黑客使用僵尸网络发起分布式拒绝服务 (DDoS) 攻击。
特洛伊木马会伪装成有用的程序或隐藏在合法软件中,欺骗用户进行安装。黑客使用木马在用户不知情的情况下秘密远程访问设备或下载其他恶意软件。
间谍软件秘密收集敏感信息(如密码或银行账户详细信息)并将其传输回攻击者。
信息窃取恶意软件在网络罪犯中特别流行,因为网络安全团队已经学会了挫败其他常见的恶意软件。威胁情报指数发现,信息窃取者的活动在 2022-2023 年间增加了 266%。
黑客一直在寻找阻力最小的路径,在许多企业网络中,这意味着窃取员工凭据。根据 IBM X-Force Threat Intelligence Index,有效帐户滥用是最常见的网络攻击媒介,占所有事件的 30%。
有了员工密码,黑客可以伪装成授权用户轻松绕过安全控制。黑客可以通过各种手段获取账户凭据。
他们可以使用间谍软件和信息窃取程序来获取密码或通过社会工程诱骗用户共享登录信息。他们可以使用凭据破解工具发起暴力攻击 — 自动测试潜在的密码,直到密码有效 — 甚至从暗网上购买以前被盗的凭据。
就像防御者如今使用人工智能 (AI) 来打击网络威胁一样,黑客们也在利用 AI 来攻击目标。这一趋势表现在两个方面:黑客利用 AI 工具攻击目标,以及黑客瞄准 AI 应用程序中的漏洞。
黑客可以使用生成式 AI 来开发恶意代码、发现漏洞并设计漏洞。在一项研究中,研究人员发现,ChatGPT 等广泛使用的大型语言模型 (LLM)可以在 87% 的情况下利用一日漏洞(ibm.com 外部链接)。
黑客还可以使用 LLM 大幅缩短编写网络钓鱼电子邮件的时间 — 根据X-Force Threat Intelligence Index ,起草一封电子邮件只需 5 分钟,而手动起草同一封电子邮件则需要 16 个小时。
这些 AI 工具将黑客攻击过程中的重要部分自动化,从而降低黑客入侵的门槛,这既有积极的一面,也有消极的一面。
至于不断扩大的 AI 攻击面,AI 应用程序的日益普及为黑客提供了更多危害企业和个人的方式。例如,数据投毒攻击将低质量或故意扭曲的数据引入训练集,以此来降低 AI 模型的性能。提示注入使用恶意提示来诱骗 LLM 泄露敏感数据、销毁重要文档或实施更糟糕的破坏。
中间人 (MITM) 攻击也称为中间对手 (AITM),是指黑客窃听双方之间的敏感通信,例如用户之间的电子邮件或网页浏览器与网络服务器之间的连接。
例如,DNS 欺骗攻击将用户从合法网页重定向到黑客控制的网页。用户会以为自己是在真实网站上,而黑客可以秘密窃取他们共享的信息。
注入攻击(如跨站点脚本 (XSS))使用恶意脚本来操纵合法应用程序和网站。例如,在 SQL 注入攻击中,黑客在面向公众的用户输入字段中输入 SQL 命令,使网站泄露敏感数据。
无文件攻击,也称为“以土地为生”,是一种黑客使用他们已经入侵的资产在网络中横向移动或造成进一步损害的技术。例如,如果黑客获得了对机器命令行界面的访问权限,他们可以直接在设备内存中运行恶意脚本,而不会留下太多痕迹。
恶意黑客(有时称为“黑帽黑客”)自己进行网络攻击,或开发恶意软件或漏洞,然后在暗网上出售给其他黑客(例如,请参阅勒索软件即服务)。他们可能单独行动,也可能是有组织的黑客或网络犯罪团伙的成员。
经济利益是恶意黑客最常见的动机。他们通常会
窃取信息或个人数据(登录凭证、信用卡号、银行账号、社会保障编号),用来闯入其他系统或进行身份盗窃。
实行勒索,例如,使用勒索软件攻击或分布式拒绝服务 (DDoS) 攻击来劫持数据、设备或业务运营,直到受害者支付赎金。根据 X-Force Threat Intelligence 指数,27% 的网络攻击会勒索受害者。
受雇进行企业间谍活动,从客户公司的竞争对手那里窃取知识产权或其他敏感信息
但是,恶意黑客实施或促成网络攻击也可能会各有其不同或额外动机。例如,心怀不满的员工可能纯粹因为被拒绝晋升而入侵雇主的系统。
任何依赖计算机系统实现关键功能的组织(包括大多数企业)都面临被黑客攻击的风险。没有办法避开黑客的雷达,但公司可以使黑客更难闯入,从而降低黑客成功的可能性和成本。
根据数据泄露成本报告,凭据失窃和泄露是数据泄露最常见的攻击媒介。
强密码可以增强黑客窃取凭据的难度。严格的身份验证措施,例如多重身份验证 (MFA) 和特权访问管理 (PAM) 系统,使得黑客仅仅依靠窃取的密码无法劫持用户的帐户。
对员工进行网络安全最佳实践培训,例如识别社会工程攻击、遵守公司政策以及安装适当的安全控制措施,可以帮助组织防止更多黑客攻击。根据数据泄露成本报告,培训可以将数据泄露的成本降低多达 258,629 美元。
数据泄露成本报告发现,在 AI 和网络安全自动化方面进行大量投资的组织可以将平均泄露成本降低 188 万美元。与未投资 AI 和自动化的组织相比,他们还能将发现和遏制数据泄露的时间缩短 100 天。
该报告指出,在攻击面管理、红队和态势管理等威胁防御工作流程中部署 AI 和自动化尤其有益。
防火墙和入侵防御系统 (IPS) 可以帮助检测和阻止黑客进入网络。安全信息和事件管理 (SIEM) 软件可以帮助发现正在进行的黑客攻击。防病毒程序可以查找并删除恶意软件,端点检测和响应 (EDR) 平台甚至可以自动响应复杂的黑客攻击。远程员工可以使用虚拟专用网络 (VPN) 来加强网络安全并防止通信被窃听。
1 2023 年是网络犯罪猖獗的一年 – 我们可以采取以下措施来提高系统安全性。世界经济论坛。2024 年 1 月 10 日。(ibm.com 外部链接。)