一文詳解網絡安全事件的防護與響應 - 網安 - 專業的網絡安全產業、社區、知識平臺

網絡安全事件的發生，往往意味著一家企業的生產經營活動受到影響，甚至數據資產遭到泄露。日益復雜的威脅形勢使現代企業面臨更大的網絡安全風險。因此，企業必須提前準備好響應網絡安全事件的措施，并制定流程清晰、目標明確的事件響應計劃。為了讓企業能夠有效地識別各種常見的網絡安全事件，減小破壞損失，并降低響應的成本，本文將對網絡安全攻擊的發現、網絡攻擊的途徑、網絡攻擊的手法、網絡攻擊防護建議以及如何制定應急響應計劃等進行分析和介紹。

如何發現網絡安全事件？

現代企業遭遇數據泄露、勒索攻擊的新聞屢見不鮮，但由于企業往往不能第一時間掌握網絡攻擊的跡象，因此還有更多的安全事件沒有被發現。

以下是企業快速發現安全事件的一些方法：

特權用戶賬戶的異常行為。控制特權用戶賬戶是網絡攻擊事件的重要步驟，一旦特權賬戶出現異常狀況，極有可能表明有人在惡意利用該賬戶試圖進入企業的網絡和系統；
未經授權訪問服務器和數據。許多內部人員會嘗試究竟可以訪問哪些系統和數據。危險信號包括未經授權的用戶試圖訪問服務器和數據，請求訪問與工作無關的數據，在異常時間從異常位置訪問系統，以及在短時間內從多個不同位置登錄系統；
出站網絡流量異常。企業要關注的不僅僅是進入網絡的流量，還應該監測離開企業邊界的流量。這可能包括惡意人員人員正在外發大量的企業數據；
來源或去向異常的網絡流量。對于企業組織來說，其網絡應用流量都是有一定規律的，一旦出現來源或去向異常的流量，可能表明是惡意網絡活動引發。管理員應及時調查發送到未知網絡的流量，以確保是合法流量；
資源過度消費。服務器內存或存儲空間的使用量增加也意味著有攻擊者可能在非法訪問網絡系統；
系統配置更改。未經批準的配置更改表明可能存在惡意活動，包括重新配置服務、安裝啟動程序或更改防火墻，添加的額外計劃任務也是如此；
隱藏的文件。通過文件名、大小或位置的判斷，一些突然出現的隱藏文件很可能是可疑的惡意文件，很有可能會導致數據或日志信息泄露；
異常瀏覽行為。這些異常行為包括意外的重定向、瀏覽器配置變化或重復的彈出窗口等；
異常的注冊表修改。這種情況主要發生在惡意軟件感染操作系統后，這也是惡意軟件確保其留在受感染系統中的主要方式之一。

網絡攻擊的常用途徑

攻擊途徑是指攻擊者用來訪問計算機或網絡服務器、投放攻擊載荷或實現惡意訪問的路徑或手段，主要包括病毒、郵件附件、網頁、彈出窗口、即時消息、聊天室和欺騙等。這些方法會涉及軟件應用、硬件設備以及社會工程欺騙等。

在企業網絡安全事件應用響應中，首先應該要妥善處理使用常見攻擊途徑的事件，包括如下：

外部/可移動介質。網絡攻擊會從磁盤、閃驅或USB外圍設備等可移動介質來執行；
暴力消磨。這種攻擊使用暴力方法來攻擊、削弱或破壞網絡、系統或服務；
Web攻擊。攻擊會從網站或基于Web的應用程序來執行；
電子郵件攻擊。攻擊通過電子郵件或其附件來發起，攻擊者引誘收件人點擊惡意鏈接、進入受感染的網站，或者打開受感染的附件；
不當使用。這種類型的事件源于授權的用戶違反了企業的可接受使用政策；
無意識下載。用戶瀏覽觸發惡意軟件下載的網站，這可能在用戶不知情的情況下發生。無意識下載利用了Web瀏覽器中的漏洞，使用JavaScript及其他瀏覽功能注入惡意代碼；
基于廣告的惡意軟件。這種攻擊通過嵌入在網站廣告中的惡意軟件來執行。僅僅查看惡意廣告就可能將惡意代碼注入到不安全的設備中。此外，惡意廣告還可以直接嵌入到受信任的應用程序中，并通過它們來投放；
鼠標懸停。這利用了PowerPoint等知名軟件中的漏洞。當用戶將鼠標懸停在鏈接上而不是點擊鏈接以查看去向時，shell腳本可以自動啟動；
恐嚇軟件。通過恐嚇用戶來說服用戶購買和下載危險的軟件，如果用戶下載了該軟件并允許程序執行，系統就會被感染。

網絡攻擊的手法和目的

雖然企業永遠無法確定攻擊者會通過哪條路徑進入網絡，但可以總結了解一些有共性的常用攻擊方法，在每個攻擊階段中，攻擊者都會有一些特定的實現目標。安全行業將這種方法名為網絡殺傷鏈（Cyber Kill Chain）。現代網絡攻擊通常分為以下幾個階段：

偵察（識別目標）。攻擊者從企業外面評估目標，以識別使他能夠是實現的目標。攻擊者的目標是找到那些幾乎沒有保護措施或存在漏洞的信息系統，進而實現非法的訪問；
武器化（準備行動）。在這個階段，攻擊者會創建專門設計的惡意軟件。攻擊者根據在前一階段收集而來的情報，定制工具，以滿足攻擊目標網絡的特定需求；
投放載荷（實施行動）。攻擊者會通過多種入侵方法向目標發送惡意軟件，比如釣魚郵件、中間人攻擊或水坑攻擊；
利用（闖入系統）。威脅分子利用漏洞訪問目標的網絡；一旦黑客侵入了網絡，他就會安裝持久性的后門植入程序，以便在較長時間內自由訪問；
指揮和控制（遠程控制植入程序）。惡意軟件打開一條指揮通道，使攻擊者能夠通過網絡遠程操縱目標的系統和設備。然后，黑客可以從管理員手中獲取整個系統的控制權；
行動（達到任務的目的）。鑒于攻擊者已掌握了目標系統的指揮和控制權，接下來發生什么完全取決于攻擊者，他們可能破壞或竊取數據、毀壞系統或索要贖金等。

網絡安全事件的防護

多種類型的網絡安全攻擊都可能導致企業網絡安全事件的發生，企業必須要提前對此做好應對準備：

未經授權的訪問

為了防止威脅分子使用授權用戶的賬戶訪問系統或數據，企業應實施完善的身份驗證保護。企業應該要求用戶提供除密碼之外的第二種身份信息比對。此外，應該使用合適的軟硬件技術對公司的敏感數據進行加密，讓攻擊者難以訪問機密數據。

特權升級攻擊

攻擊者經常使用一些特權升級漏洞，以獲取更高級別的權限。一旦特權升級攻擊得逞，威脅分子就能獲得普通用戶沒有的特權。為了降低特權升級的風險，企業應定期在IT環境中尋找并修復安全薄弱環節企業還應該遵循最小特權原則，即將用戶的訪問權限制在他們完成工作所需的最低權限，并實施安全監控。

內部威脅

這是指企業的安全或數據面臨的惡意或意外威脅，通常歸因于員工、前員工或第三方，包括承包商、臨時工或客戶。為發現和防止內部威脅，企業應實施員工異常行為監控管理，通過識別粗心、不滿或惡意的內部人員，降低數據泄露和知識產權被盜的風險。

釣魚攻擊

在釣魚攻擊中，攻擊者使用釣魚郵件分發執行各種功能的惡意鏈接或附件，包括提取受害者的登錄憑據或賬戶信息。一種更有針對性的釣魚攻擊名為魚叉式網絡釣魚：攻擊者花時間研究受害者，以實施更成功的攻擊。有效防御釣魚攻擊始于教育用戶識別釣魚郵件。此外，網關郵件過濾器可以誘捕許多廣撒網的釣魚郵件，并減少到達用戶收件箱的釣魚郵件數量。

惡意軟件攻擊

惡意軟件包括木馬、蠕蟲、勒索軟件、廣告軟件、間諜軟件和各種類型的病毒。惡意軟件的跡象包括不尋常的系統活動，比如磁盤空間突然丟失、速度異常慢、反復崩潰或死機以及彈出廣告。安裝防病毒工具可以檢測和刪除惡意軟件。這類工具可以提供實時保護，或者通過執行常規系統掃描來檢測和刪除惡意軟件。

拒絕服務（DoS）攻擊

DoS攻擊為此采取的手段是向目標發送龐大流量或發送觸發崩潰的某些信息。企業通常可以通過重新配置防火墻、路由器和服務器來阻止惡意虛假流量。此外，整合到網絡中的應用交付設備有助于分析和篩查數據包，即在數據包進入系統時將數據分類成優先數據、常規數據或危險數據，并對有威脅的數據進行阻斷。

中間人（MitM）攻擊

中間人攻擊指攻擊者秘密攔截并篡改通信雙方之間發送的消息，以獲得數據訪問權。MitM攻擊的例子包括會話劫持、郵件劫持和Wi-Fi竊聽。雖然很難檢測到MitM攻擊，但企業可以采用TLS（傳輸層安全）加密協議，這種協議可以在兩個通信的計算機應用程序之間提供身份驗證、隱私和數據完整性。企業還應該向員工闡明使用公共Wi-Fi帶來的危險，并留意瀏覽器發出的異常威脅警告。

密碼攻擊

這種攻擊旨在獲取用戶密碼或賬戶密碼，包括密碼破解程序、字典攻擊、密碼嗅探器或通過暴力破解等方法。為了防護密碼攻擊，企業應采用多因素身份驗證來驗證用戶。此外，用戶應使用強密碼，并定期更改密碼。同時，企業還應對存儲在安全存儲庫中的密碼進行加密。

Web應用程序攻擊

Web應用程序也是一條經常被利用的攻擊途徑，包括利用應用程序中的代碼漏洞以及身份驗證欺騙機制。企業需要在應用系統開發階段的早期審查代碼以發現漏洞，靜態和動態代碼掃描器可以自動檢查這些漏洞。此外，實施機器人程序檢測功能，可以防止機器人程序非法訪問應用程序的數據。而Web應用防火墻可以幫助企業監控網絡，并阻止潛在的攻擊。

高級持續性威脅（APT）

APT是一種長期的、有針對性的網絡攻擊，在這種攻擊中，入侵者獲得對網絡的訪問權，并在長時間內不被發現。APT的目的通常是監控網絡活動并竊取數據，而不是對網絡或企業搞破壞。監控進出流量可以幫助企業防止黑客安裝后門、提取敏感數據。企業還應該在網絡邊緣安裝Web應用防火墻，這有助于過濾掉常常在APT滲透階段使用的應用層攻擊，比如SQL注入攻擊。

提升安全響應能力的建議

企業不能在安全事件發生時才被動響應，因此許多企業都已經制定了安全事件響應的策略和計劃，但隨著網絡威脅形勢的不斷變化，需要定期對其進行調整和優化改進。

建立定期的事件響應溝通機制

當網絡安全事件發生時，不知道從何處入手可能會加劇攻擊的損害后果。當需要制定或啟動計劃時，每個參與人員都必須準確地知道自己該做什么。為確保每個人都能保持同步，使用清晰的溝通機制，提高每個安全事件響應團隊成員對自身角色和責任的認識至關重要。當然，這還遠遠不夠，為了讓安全事件響應計劃能夠順利進行，每個人還必須知道其他人都在做什么，以及誰是每個工作小組的關鍵聯系人。

持續優化安全事件響應計劃

安全事件響應計劃創建后，不代表可以一勞永逸了，應該定期進行評估和審核。這一點在當今技術和相應的信息系統快速發展和變化的環境中尤為重要。安全事件響應計劃必須定期修訂，尤其是在公司不斷成長的情況下。安全事件響應計劃需足夠健壯，同時還需足夠靈活，企業應經常審查并更新事件響應計劃。

主動測試計劃的有效性

企業不能在安全事件發生時才發現目前的響應計劃缺陷，因此必須主動測試計劃的有效性。更重要的是，如果有足夠的練習，那些負責執行該計劃的人會更容易做到這一點。事件響應計劃壓力測試應涉及到公司每一個人，這樣可以保持事件響應計劃能夠不斷更新，并適應企業數字化業務發展的需求，同時還有助于發現并修復業務部門存在的安全風險隱患。

定期開展企業安全狀況審查

可靠的安全事件響應計劃還需要健康的安全習慣。定期開展安全狀況審查將使事件響應工作更加有效，并有助于降低事故發生的風險。常見的審查工作應包括更改密碼、更新和輪換密鑰、審查訪問級別以及檢查舊員工賬戶或威脅者創建的賬戶。

重視安全事件響應培訓

缺乏培訓可能會導致事件響應計劃不能正確的執行和落地。企業應該將安全事件響應培訓作為優先事項并相應地賦予預算。培訓內容應該包括討論各種被攻擊的威脅場景和響應行動的練習。通過安全培訓可以讓每個人知道他們的職責是什么，還可以讓團隊成員之間的知識更好共享。