什么是网络攻击？

网络攻击是由威胁行为者执行的一系列行为，他们试图获得未经授权的访问、窃取数据或对计算机、计算机网络或其他计算系统造成损坏。网络攻击可以从任何地点发起。攻击可以由个人或团体使用一种或多种策略、技术和程序 (TTP) 来执行。

发起网络攻击的个人通常被称为网络犯罪分子、威胁行为者、不良行为者或黑客。他们可以单独行动，也可以与其他攻击者合作，或者作为有组织犯罪集团的一部分。他们试图识别漏洞——计算机系统中的问题或弱点——并利用它们来进一步实现他们的目标。

网络犯罪分子发起网络攻击时可能有多种动机。有些人为了个人或经济利益而进行攻击。其他人则是以社会或政治事业名义行事的“黑客行动主义者”。有些攻击是民族国家针对其对手实施的网络战行动的一部分，或者是作为已知恐怖组织的一部分进行的行动。

这是有关应用程序安全性的广泛指南系列的一部分。

网络攻击统计

网络攻击对企业造成的成本和影响有哪些？

全球网络攻击造成的损失预计将以每年 15% 的速度增长，预计将超过 10 万亿美元。其中越来越多的部分是勒索软件攻击，目前每年给企业造成的损失高达 200 亿美元。

美国数据泄露的平均成本为 380 万美元。另一个令人震惊的统计数据是，上市公司在成功违规后平均损失 8% 的股票价值。

组织针对网络攻击的准备情况如何？

在最近的一项调查中，78%的受访者表示，他们认为公司的网络安全措施需要改进。多达 43% 的小型企业没有任何网络防御措施。与此同时，各种规模的组织都面临着全球网络安全技能短缺的问题，全球有近 350 万个职位空缺，其中仅美国就有 50 万个。

网络攻击示例

以下是最近产生全球影响的网络攻击的一些例子。

Kaseya 勒索软件攻击

总部位于美国的远程管理软件提供商 Kaseya 遭遇了供应链攻击，该攻击于 2021 年 7 月 2 日公开。该公司宣布，攻击者可以利用其 VSA 产品通过勒索软件感染客户机器。

据报道，该攻击非常复杂，将 Kaseya 产品中发现的几个新漏洞链接在一起：CVE-2021-30116（凭据泄漏和业务逻辑缺陷）、CVE-2021-30119（XSS）和 CVE-2021-30120（双因素身份验证缺陷）。利用这些漏洞的恶意软件是使用标记为“Kaseya VSA Agent Hot Fix”的虚假软件更新推送给客户的。

此次攻击是由总部位于俄罗斯的 REvil网络犯罪组织发起的。Kaseya 表示，不到 0.1% 的客户受到此次泄露的影响，但其中一些是使用 Kaseya 软件的托管服务提供商 (MSP)，此次攻击影响了他们的客户。攻击发生后不久，媒体报道称，800-1500 家中小型公司因此次攻击而受到 REvil 勒索软件的感染。

SolarWinds 供应链攻击

这是 2020 年 12 月检测到的大规模、高度创新的供应链攻击，并以受害者总部位于奥斯汀的 IT 管理公司 SolarWinds 命名。此次攻击是由 APT 29 实施的，该组织是一个与俄罗斯政府有联系的有组织的网络犯罪组织。

这次攻击破坏了SolarWinds 软件平台 Orion 的更新。在攻击过程中，威胁行为者将恶意软件（后来被称为 Sunburst 或 Solorigate 恶意软件）注入到 Orion 的更新中。然后将更新分发给 SolarWinds 客户。

SolarWinds 攻击被认为是对美国最严重的网络间谍攻击之一，因为它成功侵入了美国军方、许多美国联邦机构，包括负责核武器、关键基础设施服务的机构以及大多数财富 500 强企业组织。

亚马逊 DDoS 攻击

2020 年 2 月，亚马逊网络服务 (AWS) 成为大规模分布式拒绝服务 (DDoS) 攻击的目标。该公司经历并缓解了 2.3 Tbps（太比特每秒）DDoS 攻击，该攻击的数据包转发率为 293.1 Mpps，每秒请求率 (rps) 为 694,201。它被认为是历史上最大的 DDoS 攻击之一。

Microsoft Exchange 远程代码执行攻击

2021 年 3 月，流行的企业电子邮件服务器 Microsoft Exchange 遭到大规模网络攻击。它利用了Microsoft Exchange 服务器中发现的四个独立的零日漏洞。

这些漏洞使攻击者能够伪造不受信任的 URL，利用它们访问 Exchange Server 系统，并为恶意软件提供直接的服务器端存储路径。这是一种远程代码执行 (RCE) 攻击，允许攻击者完全破坏服务器并获取其所有数据的访问权限。在受影响的服务器上，攻击者以几乎无法追踪的方式窃取敏感信息、注入勒索软件并部署后门。

仅在美国，这些攻击就影响了 9 个政府机构和 60,000 多家私营企业。

推特名人攻击

2020 年 7 月，Twitter 遭到三名攻击者的攻击，他们接管了热门 Twitter 账户。他们利用社会工程攻击窃取员工凭证并获得对公司内部管理系统的访问权限，后来被 Twitter 识别为网络钓鱼（电话网络钓鱼）。

数十个知名账户遭到黑客攻击，包括巴拉克·奥巴马、杰夫·贝佐斯和埃隆·马斯克。攻击者利用被盗账户发布比特币诈骗信息，并赚取了超过 10 万美元。事件发生两周后，美国司法部对三名嫌疑人提出指控，其中一名当时 17 岁。

其他值得注意的攻击

2018年

• 万豪旗下喜达屋酒店 (Starwood Hotels) 宣布发生一起泄露事件，导致超过 5 亿客人的个人数据被泄露。
• UnderArmor 的 MyFitnessPal 品牌泄露了 1.5 亿用户帐户的电子邮件地址和登录信息。

2017年

• WannaCry 勒索软件攻击影响了 150 个国家的 30 万多台计算机，造成了数十亿美元的损失。
• Equifax 的一个未修补的软件组件中存在一个开源漏洞，该漏洞泄露了 1.45 亿人的个人信息。

2016年

• NotPetya 攻击袭击了世界各地的目标，数波攻击持续了一年多，造成的损失超过 100 亿美元。
• FriendFinder 成人交友网站遭到攻击，导致 4.12 亿用户的数据遭到泄露。
• 雅虎的数据泄露事件损害了 10 亿用户的帐户，而不久之前的一次攻击还暴露了 5 亿用户帐户中包含的个人信息。

6 种网络攻击类型

虽然已知的网络攻击有数千种变体，但以下是组织每天都会经历的一些最常见的攻击。

勒索软件

勒索软件是一种恶意软件，它使用加密来拒绝对资源（例如用户的文件）的访问，通常试图迫使受害者支付赎金。一旦系统被感染，文件就会被不可逆转地加密，受害者必须支付赎金才能解锁加密资源，或者使用备份来恢复它们。

勒索软件是最流行的攻击类型之一，其中一些攻击使用勒索技术，例如威胁如果目标不支付赎金则公开敏感数据。在许多情况下，支付赎金是无效的，也无法恢复用户的数据。

恶意软件

恶意软件有很多种类型，勒索软件只是其中的一种变种。恶意软件可用于多种目的，从窃取信息到破坏或更改网络内容，再到永久损坏计算系统。

恶意软件形势发展非常迅速，但最流行的恶意软件形式是：

• 僵尸网络恶意软件— 将受感染的系统添加到僵尸网络中，允许攻击者利用它们进行犯罪活动
• Cryptominers — 使用目标计算机挖掘加密货币
• Infostealers — 收集目标计算机上的敏感信息
• 银行木马— 窃取银行网站的财务和凭证信息
• 移动恶意软件——通过应用程序或短信攻击设备
• Rootkit — 使攻击者能够完全控制设备的操作系统

拒绝服务(DoS) 攻击使目标系统不堪重负，使其无法响应合法请求。分布式拒绝服务(DDoS) 攻击类似，但涉及多个主机。目标站点充斥着非法服务请求，被迫拒绝向合法用户提供服务。这是因为服务器消耗所有可用资源来响应请求过载。

DoS 和 DDoS 攻击

这些攻击不会为攻击者提供对目标系统的访问权限或任何直接的好处。它们纯粹用于破坏目的，或者在攻击者进行其他攻击时用来分散安全团队的注意力。

防火墙和网络安全解决方案可以帮助防范小规模 DoS 攻击。为了防御大规模 DDoS，组织利用基于云的 DDoS 防护，该防护可以按需扩展以响应大量恶意请求。

网络钓鱼和社会工程攻击

社会工程是一种严重依赖人类交互的攻击媒介，90% 以上的网络攻击都使用社会工程。它涉及冒充可信的个人或实体，并诱骗个人向攻击者授予敏感信息、转移资金或提供对系统或网络的访问。

当恶意攻击者从目标获取敏感信息并发送看似来自可信合法来源的消息时，就会发生网络钓鱼攻击。“网络钓鱼”一词暗指攻击者“钓鱼”访问权限或敏感信息，用情感诱饵和可信身份引诱毫无戒心的用户。

作为网络钓鱼消息的一部分，攻击者通常会发送恶意网站的链接，提示用户下载恶意软件，或直接通过电子邮件、短信系统或社交媒体平台请求敏感信息。网络钓鱼的一种变体是“鱼叉式网络钓鱼”，攻击者向具有特殊权限的个人（例如网络管理员、高管或担任财务职务的员工）发送精心设计的消息。

中间人攻击

中间人(MitM) 攻击是指允许攻击者拦截网络、计算机或用户之间传输的数据的漏洞。攻击者位于两方的“中间”，可以监视他们的通信，而且通常不会被发现。攻击者还可以在将消息发送给目标收件人之前对其进行修改。

您可以使用 VPN 或对接入点应用强加密来保护自己免受中间人攻击。

无文件攻击

无文件攻击是一种新型恶意软件攻击，它利用用户设备上已安装的应用程序。与需要将自身部署在目标计算机上的传统恶意软件不同，无文件攻击使用已安装的被认为是安全的应用程序，因此传统防病毒工具无法检测到。

无文件恶意软件攻击可以由用户发起的操作触发，也可以通过利用操作系统漏洞在没有用户操作的情况下触发。无文件恶意软件驻留在设备的 RAM 中，通常会访问本机操作系统工具（例如 PowerShell 和 Windows Management Instrumentation (WMI)）来注入恶意代码。

特权系统上的可信应用程序可以在多个端点上执行系统操作，使它们成为无文件恶意软件攻击的理想目标。

网络攻击预防：常见网络安全解决方案

以下是组织通常部署的一些用于防止网络攻击的安全工具。当然，工具不足以防止攻击 – 每个组织都需要经过培训的 IT 和安全人员或外包安全服务来管理工具并有效地使用它们来减轻威胁。

Web 应用程序防火墙 (WAF)

WAF 通过分析 HTTP 请求和检测可疑的恶意流量来保护 Web 应用程序。这可能是入站流量（如尝试代码注入攻击的恶意用户），也可能是出站流量（如部署在与命令和控制 (C&C) 中心通信的本地服务器上的恶意软件）。

WAF 可以在恶意流量到达 Web 应用程序之前将其阻止，并且可以防止攻击者利用许多常见漏洞，即使这些漏洞尚未在底层应用程序中修复。它是对传统防火墙和入侵检测系统(IDS) 的补充，可保护攻击者在应用层（OSI 网络模型的第 7 层）执行的攻击。

DDoS 防护

DDoS 防护解决方案可以保护网络或服务器免受拒绝服务攻击。它使用由组织在本地部署的专用网络设备或作为基于云的服务来实现此目的。只有基于云的服务才能抵御涉及数百万个机器人的大规模 DDoS 攻击，因为它们能够按需扩展。

DDoS 保护系统或服务监视流量以检测DDoS 攻击模式，并区分合法流量和恶意流量。当它检测到攻击时，它会执行“清理”，检查流量数据包并丢弃那些被视为恶意的数据包，防止它们到达目标服务器或网络。同时，它将合法流量路由到目标系统，以确保服务不会中断。

机器人防护

机器人程序占互联网流量的很大一部分。机器人给网站带来沉重负担，占用系统资源。虽然有些机器人很有用（例如为搜索引擎索引网站的机器人），但其他机器人可能会执行恶意活动。机器人可用于 DDoS、从网站抓取内容、自动执行 Web 应用程序攻击、传播垃圾邮件和恶意软件等。

机器人防护系统可检测并阻止不良机器人，同时允许合法机器人执行搜索索引、测试和性能监控等活动。它通过维护已知机器人来源的大型数据库并检测可能表明机器人是恶意的行为模式来实现这一点。

云安全

如今，几乎所有组织都在云中管理基础设施、应用程序和数据。云系统特别容易受到网络威胁，因为它们通常暴露在公共网络中，并且由于它们高度动态且在公司网络之外运行，因此可见性通常较低。

云提供商负责保护其基础设施的安全，并提供内置安全工具来帮助云用户保护其数据和工作负载。然而，第一方的云安全工具是有限的，并不能保证它们被正确使用并且所有云资源都得到真正的安全。许多组织使用专用的云安全解决方案来确保部署在云中的所有敏感资产得到适当的保护。

数据库安全

数据库通常保存敏感的关键任务信息，并且是攻击者的主要目标。保护数据库安全涉及强化数据库服务器、正确配置数据库以启用访问控制和加密以及监控恶意活动。

数据库安全解决方案可以帮助确保整个组织内的数据库具有一致的安全级别。它们可以帮助防止诸如过多的特权、数据库引擎中未修补的漏洞、未受保护的敏感数据和数据库注入等问题。

API安全

现代应用程序使用应用程序编程接口 (API) 与其他应用程序进行通信，以获取数据或服务。API 用于集成组织内部的系统，并且越来越多地用于联系第三方运营的系统并接收来自第三方运营的系统的数据。

所有 API，尤其是通过 Internet 访问的公共 API，都对攻击很敏感。由于 API 是高度结构化和文档化的，因此攻击者很容易学习和操纵它们。许多 API 没有得到适当的保护，可能身份验证较弱，或者容易遭受跨站脚本(XSS)、SQL 注入和中间人 (MitM) 攻击等漏洞。

保护 API 需要采取多种措施，包括强大的多因素身份验证 (MFA)、身份验证令牌的安全使用、传输中的数据加密以及对用户输入进行清理以防止注入攻击。API 解决方案可以帮助以集中方式对 API 实施这些安全控制。

威胁情报

威胁情报在后台运行并支持许多现代安全工具。安全团队在调查事件时也可以直接使用它。威胁情报数据库包含从各种来源收集的有关威胁行为者、攻击策略、技术和程序以及计算系统中已知漏洞的结构化信息。

威胁情报解决方案从大量的源和信息源中收集数据，并允许组织快速识别危害指标 (IOC)，使用它们来识别攻击、了解威胁行为者的动机和操作模式，并设计适当的攻击策略。回复。

使用 LvBug 预防网络攻击

LvBug 提供的安全解决方案可保护组织免受所有常见网络攻击。

LvBug 应用程序安全

LvBug 为应用程序、API 和微服务提供全面的保护：

Web 应用程序防火墙– 通过对应用程序的 Web 流量进行世界一流的分析来防止攻击。

运行时应用程序自我保护 (RASP) – 无论您的应用程序位于何处，都可以从应用程序运行时环境进行实时攻击检测和预防。阻止外部攻击和注入并减少漏洞积压。

API 安全– 自动 API 保护可确保您的 API 端点在发布时受到保护，从而保护您的应用程序免遭利用。

高级机器人防护– 防止来自所有访问点（网站、移动应用程序和 API）的业务逻辑攻击。获得对机器人流量的无缝可见性和控制，以阻止通过帐户接管或有竞争力的价格抓取来阻止在线欺诈。

DDoS 防护– 在边缘阻止攻击流量，以确保业务连续性，并保证正常运行时间且不会影响性能。保护您的本地或基于云的资产 – 无论您托管在 AWS、Microsoft Azure 还是 Google 公共云中。

攻击分析– 通过机器学习和整个应用程序安全堆栈的领域专业知识确保完整的可见性，以揭示噪音模式并检测应用程序攻击，使您能够隔离和防止攻击活动。

客户端保护– 获得对第三方 JavaScript 代码的可见性和控制，以降低供应链欺诈的风险，防止数据泄露和客户端攻击。

LvBug 数据安全

LvBug 保护所有基于云的数据存储，以确保合规性并保持您从云投资中获得的敏捷性和成本效益：

云数据安全– 简化云数据库的保护，以跟上 DevOps 的步伐。LvBug 的解决方案使云管理服务用户能够快速获得云数据的可见性和控制。

数据库安全– LvBug为您的本地和云端数据资产提供分析、保护和响应，为您提供风险可见性，以防止数据泄露并避免合规事件。与任何数据库集成以获得即时可见性、实施通用策略并加快实现价值的速度。

数据风险分析– 自动检测企业范围内所有数据库中的不合规、有风险或恶意数据访问行为，以加速修复。

请参阅我们有关关键应用程序安全主题的附加指南

我们与我们的内容合作伙伴一起编写了有关其他几个主题的深入指南，这些指南在您探索应用程序安全世界时也很有用。

网站安全

了解如何保护关键网站和 Web 应用程序免受网络威胁。

• 什么是会话劫持？
• 什么是点击劫持？
• 什么是网站篡改攻击？

安全测试

作者：光明安全

了解现代应用程序和微服务的安全测试技术和最佳实践。

• 应用程序安全测试：3 种类型和 4 种安全解决方案
• 动态应用程序安全测试 (DAST)：终极指南 [2022]
• 微服务安全的 5 大挑战

跨站脚本攻击

作者：光明安全

了解跨站点脚本 (XSS) 攻击，该攻击允许黑客将恶意代码注入访问者浏览器。

• XSS 攻击：3 个现实生活中的攻击和代码示例
• 基于 DOM 的 XSS 攻击如何工作
• XSS 漏洞终极初学者指南