黑客攻击链v.s.零信任【专业正规黑客24小时在线QQ】

这是我的第12篇零信任文章。全文3700字,预计阅读时间22分钟。

美国最大的军火商,也是,提出的“攻击链”模型认为,一次成功的黑客攻击一般都会经历以下这7个步骤:

1、侦察

2、准备武器

3、投放武器

4、渗透攻击

5、植入后门

6、控制

7、目标行动

这7步环环相扣,完整地描述了黑客进攻的一般规律。

了解攻击链模型,可以帮助我们了解如何防御黑客的进攻。

从防御的角度看,如果想阻止一次网络攻击,那就必须打断攻击链中的一步或几步。打断的步骤越多,防御体系越全面,黑客攻击的成功率就越低。最新一代的综合多层防御体系就是“零信任”体系。

下面就来介绍攻击链模型中,黑客每一步会如何攻击,我们一般要如何防御,以及零信任在不同阶段如何发挥其独特的作用。

1、侦察

任何攻击的第一步都是收集信息,了解目标的弱点。

攻击

黑客可以从公开渠道收集信息。例如,

(1)WHOIS查询域名注册信息

(2)百度、信息

(3)SHODAN上搜索目标服务器信息

(4)官网

息搜集完成,下一步就是直接去扫描目标的服务器。

(1)NMAP扫描IP段和开放的端口

(2)Banner信息抓取

(3)漏洞扫描(通常漏洞扫描行为都太明显了,所以目前很多黑客都会缩小范围、降低扫描速度,以防被发现)

防御

公开渠道的保密工作:

(1)不在招聘网站、微博上暴露自家的机密

(2)不在官网的错误提示中暴露服务器信息

服务器的防护措施:

(1)服务器上不必要的端口一定要关掉。端口开的越少,攻击者可以利用的入口就越少

(2)采用蜜罐产品,可以用来吸引黑客,转移攻击目标,让黑客暴露自己

(3)带IPS(入侵防御)的防火墙产品可以过滤一些威胁,监测黑客的扫描行为

(4)一些黑客会通过TOR网络连接或多层跳转连接过来,大多数下一代防火墙都可以阻断一些已知的恶意IP

零信任

之所以黑客可以侦察到信息,是因为服务器对陌生人是默认信任的,除非发现异常才进行防御。

而零信任默认对任何人都不信任,陌生人必须验证自己的身份之后,才能看到服务器的信息。所以,在合适的场景下,零信任体系可以完美地对抗攻击者的侦察行动。

(1)零信任体系中一般有一个零信任**作为网络的统一入口。

(2)零信任**平时不对外映射任何端口,合法用户通过私有协议通知**,**验证用户身份后,才会对合法用户的IP开放指定端口。

(3)对没有合法身份的人来说,零信任网络是完全不暴露任何端口的。

黑客一般都会寻找有价值的目标下手。如果使用了零信任体系,那么正在寻找目标的攻击者很可能会发现侦察不到什么信息,然后转向其他目标。

2、准备武器

知道目标的弱点之后,就可以针对弱点准备攻击用的工具了。

攻击

制作攻击工具的方式很多,下面是一些常见的:

(1)用Metasploit框架编写一些攻击脚本

(2)Exploit-DB上查询已知的漏洞

(3)用Veil框架生成可以绕过杀毒软件的木马

(4)用各类社会工程学工具制作钓鱼网站

(5)其他如CAINANDABEL、SQLMAP、AIRCRACK、MALTEGOWEBAPP、WAPITI、BURPSUIT、FRATRAT等等不一一说明了。

防御

黑客可以准备攻击工具,我们可以准备防御工具:

(1)补丁管理:时至今日,大部分的攻击还是针对漏洞的,补上就没漏洞了,没漏洞就不会被攻击了

(2)禁用office宏,浏览器插件等等

(3)安装杀毒软件,部署防毒墙

(4)IPS上设置检测规则,以便检测攻击行为

(5)邮件安全产品,检测钓鱼邮件

(6)敏感系统开启多因子认证

(7)开启服务器的日志审计功能

零信任

零信任需要部署客户端和**,为后续的攻击做好准备

(1)零信任需要部署**,作为网络的统一入口

(2)零信任一般会要求用户安装一个客户端,以便进行设备检测

(3)还可以提前收集数据,分析用户行为习惯,建立行为基线

3、投放武器

有针对性地将武器(恶意代码)输送至目标环境内。

攻击

不同的投放方式:

(1)网站:感染用户常用的网站,以便传播木马或病毒

(2)邮件:侦察阶段有合作伙伴的话,黑客可以伪装成合作伙伴发送邮件,邮件附带病毒,公司的小白员工很可能就上当了

(3)USB:U盘病毒越来越少见了

防御

(1)邮件安全检测产品,可以识别垃圾邮件,把来自恶意IP邮件会被屏蔽掉,把没有合法数字签名的邮件屏蔽掉,这样可以减少病毒的传播

(2)上网行为管理产品,屏蔽恶意网站,避免员工乱下载东西

(3)关闭USB,或者不给用户管理员权限,可以避免大部分USB病毒传播的情况

(4)DNS过滤,在DNS解析时过滤恶意域名,可以阻断病毒利用Https协议通信

零信任

零信任客户端持续对用户进行检测,检测合格了才允许接入零信任网络。

电脑上如果存在恶意代码或者可疑进程,零信任会对用户的可信等级进行降级。信任等级低的用户不能连接敏感度高的业务系统。

这样,就可以大大降低病毒木马在企业内部传播的可能性。

4、渗透攻击

利用漏洞或缺陷触发已经投放的恶意代码,获得系统控制权限。

攻击

(1)缓存溢出攻击

(2)SQL注入攻击

(3)运行木马、恶意软件

(4)在客户端执行Javascript恶意代码

防御

如果黑客已经到了可以执行恶意代码这一步了,那么我们剩下的防御手段也就不多了

(1)DEP(数据执行保护)可以检测内存中是否有恶意代码正在执行

(2)有些杀毒软件会监测内存,拦截恶意的漏洞利用行为

(3)检测沙箱技术,可以让软件在模拟环境里运行,通过对软件的行为进行分析,进而识别恶意软件

零信任

零信任的主要针对网络内连接的管控,端上的安全需要与传统产品进行集成。

5、植入后门

植入恶意程序及后门,以后即使漏洞被修复了或者系统重启了,黑客还可以利用后门进来持续获得控制权限。

攻击

© 版权声明
THE END
喜欢就支持以下吧
点赞5
分享
相关推荐
  • 暂无相关文章
  • 评论 抢沙发
    Kico的头像-源码客

    昵称

    取消
    昵称表情图片