网络攻击泛指一切针对网络、系统或电子设备的恶意攻击或入侵行为,由未经授权人士发动,并擅自对他人数码财产进行破坏或转移。
今时今日,更多大企业倾向使用云端科技,以至于网络攻击的频率和规模在近年亦呈现大幅增长。
按调查机构指出,在2022年间,世界各地的企业及组织合共检测到超过4.9亿次勒索软件攻击,其中因为网络攻击而遭窃取的数据价值更超过3千万港元,未来预计网络攻击只会有增无减,且波及的范围或会越来越大,无疑是现代企业的一大挑战。
网络攻击渐趋智能化 未来规模更大频率更高
人工智能在近年来快速的发展并得到了广泛的应用,不但改变了我们日常的生活和工作方式,同时亦改变了网络攻击的趋势。黑客可以使用机器学习(Machine Learning) 来生成自动扫描工具,快速寻找目标系统中的漏洞,又或者是利用人工智能分析受害者的社交足迹,了解其行为和兴趣,从而制定更加精确的钓鱼攻击方案,毋需人手逐一安排,进一步提高网络攻击的效率、精确度和成功率。
近来物联网(IoT)技术快速发展,越来越多的物理设备通过互联网连接起来,形成了庞大的物联网生态系统。由于物联网设备需要长期连接网络,而且彼此之间环环相扣,只需成功入侵物联网中的其中一个设备,就能影响其他相连设备的运作,达到骨牌效应的连锁效果,因此令物联网系统成为了黑客新兴的头号攻击目标。
安全威胁是未知的,使用常规的检测手段,规则匹配,日志审计,流量审计等方法很难发现。
几种已知的检测未知威胁的方法:
威胁诱捕,就是我们俗称的蜜罐,通过仿真环境诱捕攻击;
沙箱,通过高仿真虚拟环境检测分析未知文件行为;
大数据分析,检测到未知数据后会将未知数据传给威胁分析系统,通过威胁分析系统对未知数据进行分析识别;若没有检测到恶意数据,则生成对应的匹配规则,以继续收集与匹配规则对应的未知数据,继续进行分析;
行为分析,通过大量的数据以IP,MAC,账号等信息为主键,进行UEBA建模分析;
有监督建模,通过人工输入样本数据训练模型,在模型训练过程中,根据各特征向量和对应的输出数据进行收敛判断,并在收敛完成时终止模型训练,将当前收敛模型作为预测模型;
无监督建模,基于大数据分析系统提供的数据,建立无监督模型。
攻击者在攻击前需要进行大量的信息收集,进入到企业内网后不会盲目的进行端口扫描和漏洞扫描,而是会利用现有的权限再次进行信息收集。
通过对各类安全事件的分析与统计,在内网的渗透攻击过程中,凭据窃取和身份盗用是90%以上的攻击者都会使用的技术手段。
采用主动威胁诱捕技术设计,设计了以身份为切入点的威胁诱捕解决方案
1、攻击者希望隐藏自身位置的心理,攻击者在通过主动信息收集发现高权限凭据后,一般情况都会进行尝试登录;
2、此时攻击者对身份认证系统请求蜜罐账户认证,随即暴露所在位置,安全人员即可定位到失陷主机;
3、通过流量转发技术,将攻击者对真实业务系统的认证流量转发到提前准备好的蜜罐,造成认证成功的假象,拖延攻击进度。
4、安全人员有充足的时间溯源攻击路径和入口并开展封堵工作,将攻击者踢出边界防护。
以攻击者视角分析安全威胁,在攻击链的必经之路,设计针对性的防护方案,可以有效的防范未知威胁的攻击。
739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
