什么是攻击向量？

8 分钟阅读

攻击向量是威胁行为者用来访问或渗透目标网络、系统、应用程序或设备的技术或途径。组织的威胁面代表可以成为威胁向量的目标的所有易受攻击的系统。

威胁行为者拥有广泛的攻击媒介，并定期创建新的威胁媒介。攻击媒介可能允许攻击者窃取信息、造成破坏、监视目标、远程控制 IT 或实施欺诈行为。  

常见的攻击媒介包括凭证泄露、网络钓鱼、恶意软件、内部威胁、漏洞和 SQL 注入。威胁行为者可以利用一个或多个攻击媒介来实现目标。例如，攻击者可以使用网络钓鱼技术和暴力攻击来尝试破坏凭据。

在本文中：

• 攻击向量与攻击面
• 常见的攻击向量类型
• 凭证遭到泄露
• 网络钓鱼
• 恶意软件
• 内部威胁
• 漏洞利用
• SQL注入
• 防范攻击媒介的 8 种方法
• 使用 HackerOne 进行攻击面保护

攻击向量与攻击面

攻击向量为威胁行为者提供了进入目标的入口点。以下是两种主要类型的向量：

• 直接攻击向量——威胁行为者直接攻击目标。例如，网络钓鱼或恶意软件。 
• 间接攻击媒介——威胁行为者利用其他系统中的漏洞。例如，利用操作系统中的互联网浏览器漏洞。

攻击面由目标面临的所有安全风险和入口点组成。它包括所有系统、硬件和网络组件中的所有未知（潜在）和已知漏洞。 

相关内容：阅读我们的攻击面管理指南
 

常见的攻击向量类型

凭证遭到泄露

威胁行为者使用受损的凭据来破坏应用程序、系统、设备和网络。他们积极尝试通过各种技术破坏凭证。例如，网络钓鱼攻击可能会诱骗用户泄露其凭据。暴力攻击尝试不同的用户名-密码组合来查找一组真实的凭据。 

网络钓鱼

网络钓鱼是最广泛使用的攻击媒介之一。这种攻击媒介依靠社会工程技术来诱骗用户下载恶意文件、点击恶意链接或泄露敏感信息。威胁行为者将其用于各种目的，例如获取凭据、发起勒索软件攻击和窃取财务信息。 

恶意软件

恶意软件（恶意软件）充当攻击媒介，帮助威胁行为者窃取数据、破坏系统和执行恶意任务。大多数恶意软件旨在实现特定目标。例如，勒索软件会加密文件并要求赎金以换取加密密钥，而间谍软件会监视用户并将此信息发送给攻击者。 

内部威胁

内部威胁作为授权用户从组织内部发起攻击。员工可能无意中向社会工程参与者泄露了机密信息，例如凭证。还有恶意威胁行为者——故意滥用特权执行未经授权的活动的雇员或前雇员。例如，权限未被撤销的前雇员可以窃取商业机密并删除这些文件。 

漏洞利用

漏洞是威胁行为者可以利用对软件或硬件发起攻击的缺陷。漏洞主要有两种类型：向公众披露的已知漏洞和未知向量的零日漏洞。威胁行为者使用这两种类型来发起攻击，但零日漏洞被认为更有利可图，因为它们让攻击者有更多时间在任何人知道他们的活动之前进行攻击。 

SQL注入

结构化查询语言 (SQL) 是一种支持与数据库通信的编程语言。许多存储敏感数据的服务器依赖 SQL 来管理数据。SQL注入是一种注入恶意SQL以使服务器暴露信息的攻击媒介。 

针对存储信用卡号、个人身份信息 (PII) 或凭据的数据库的成功 SQL 注入是一种合规性违规行为，不仅会威胁到用户，还会威胁到拥有该数据库的企业和管理该数据库的软件供应商。
 

防范攻击媒介的 8 种方法

攻击者采用各种技术渗透企业网络并损害 IT 资产。具体技术不断发展，因此 IT 团队必须定期更新用于防范网络攻击的工具、实践和策略。

防御矢量攻击的一些有效技术包括： 

1. 实施强身份验证——组织应该制定密码策略，以确保所有用户名和密码都强大且正确存储。多重身份验证 (MFA) 应该是强制性的，至少对于敏感系统和管理帐户来说是这样，以提供额外的保护层。
2. 执行渗透测试——渗透测试使组织能够识别安全漏洞、确定优先级并测试安全漏洞。通常，道德黑客作为内部员工或外部服务提供商执行渗透测试。渗透测试人员模仿攻击者的技术来评估网络、应用程序或计算机系统的可破解性。 
3. 定期审计和漏洞测试——组织应至少每季度进行一次 IT 漏洞测试，外部审计员每年进行一次测试。测试和审核对于识别 IT 资源漏洞并使组织能够更新其安全控制和策略至关重要。 
4. 员工培训——每位新员工都必须接受全面的IT安全培训。所有员工都应定期（至少每年一次）接受培训，以了解最新的安全策略和最佳实践。
5. 立即安装更新— IT 部门必须在软件、硬件和固件更新可用后立即安装它们。现场设备应通过“推送”机制自动接收安全更新。
6. 实施封闭网络——有多种方法可以限制对敏感企业系统和数据的访问。基于云的系统对于提供远程访问非常有用。制定 BYOD 策略的组织必须实施控制措施来保护其系统，同时允许用户使用其设备访问网络。一种策略是使用虚拟专用网络 (VPN) 限制对一组定义的用户的访问，而不将数据暴露到公共互联网。
7. 加密便携式设备上的数据——强大的数据加密对于保护笔记本电脑和智能手机等边缘设备上的数据非常重要。组织可以选择高级加密标准 (AES) 等强大的加密技术，以最大限度地降低数据泄露的风险。 
8. 应用物理访问控制——大多数黑客和数据泄露都会影响 IT 基础设施，但物理基础设施也可以提供攻击媒介。攻击者可以侵入敏感服务器、数据中心和存储设施的物理空间。组织必须保护和监控对其物理资产的访问，包括分支机构、现场传感器和文件柜。 

使用 HackerOne 进行攻击面管理

仅靠可见性不足以最大限度地降低风险和抵御攻击。组织需要了解他们的攻击面。他们需要根据不良行为者如何优先考虑和执行攻击来对资产进行风险排名。 

HackerOne Assets 将道德黑客的情报与资产发现、持续评估和流程改进相结合，以降低不断扩大的数字环境中的风险。您可以在一个地方识别、分析、管理测试范围并跟踪测试结果，以获得完整的资产清单。 

一旦确定，就可以对资产风险进行排名，解决覆盖范围差距并分配补救资源。我们的道德黑客社区可以丰富资产数据，包括技术映射，以实现资产跟踪和足迹。借助 HackerOne Assets，组织将了解其攻击面并做好有效抵御攻击的准备。