网络侦察是威胁行为者用来查找漏洞和攻击路径的过程。在侦察过程中,攻击者会收集有关受害者的数据,并试图避免被目标的安全团队或软件检测到。您的企业必须了解这一初始步骤,以便尽早发现攻击。安全的计算机系统还可以使用高级检测工具来发现和阻止可疑活动,甚至抓住对手。
侦察如何运作
在实施攻击前进行侦察,黑客必须确定目标网络的延伸范围,并收集开放的网络端口、端口上运行的服务以及网络整体地图等数据。同时,黑客还试图在整个侦察过程中不被发现。
确定目标网络的范围
攻击您企业的个人可能知道您的网络规模,因为他们已经做过调查。此外,攻击者需要确定攻击将覆盖多大范围。他们是计划针对整个网络,逐步渗透,还是只想针对特定子网?侦察过程要求攻击者非常明确他们的目标,这样他们在实际发起攻击时才能更有效。
找到开放端口和接入点
当威胁行为者检查目标网络时,他们会寻找开放端口(网络流量未经过彻底评估或丢弃)并对其进行分类。他们还会记录任何其他接入点,例如未正确配置或保护的端点。物联网设备通常不支持安全更新,因此它们是企业网络安全中最薄弱的部分之一。威胁行为者可能会使用物联网设备作为接入点。
识别端口上的服务
威胁者还想知道哪些服务与哪个端口相对应。这让他们在制定攻击策略时有更好的方向感。如果他们执行端口扫描技术并了解哪些服务驻留在特定网络端口上,他们就不必在主动攻击期间浪费时间弄清楚这一点。如果他们的初步侦察成功,这也会降低在攻击期间被发现的机会。
绘制网络图
网络映射对于安全专家和黑客来说都是一个有用的工具,可以全面查看整个 IT 基础设施,查看所有子网、服务和端点之间的连接。但对于黑客来说,网络映射包括了解路由器和端口的位置以及他们需要在哪里绕过防火墙。
避免检测
避免初步检测是侦察策略中最关键的步骤之一。一些持续时间最长的网络攻击需要数周、数月甚至数年才能渗透到计算机系统或网络中,这就要求威胁行为者在整个过程中保持隐秘。
虽然大多数黑客不会花费数年时间执行侦察行动,但他们会努力避免被目标的安全团队或任何其他员工发现。他们通常会花时间收集攻击受害者网络或计算机系统所需的一切。
4 种侦察技术
为了成功发动攻击,威胁者需要事先掌握大量信息,这样他们才不会盲目行动,并尽可能长时间地避免被发现。流行的侦察技术包括收集数据、进行社会工程实验、扫描网络端口和指纹识别操作系统活动。
数据聚合
数据聚合是一个广义的术语,涵盖了黑客收集有关企业、网络、计算机、用户和物理场所的信息的所有方法。聚合数据的常见方法包括:
- 研究公司网站:收集数据最简单的方法之一是浏览公司的主页甚至面向公众的文档。
- 进行员工研究: LinkedIn 个人资料揭示有关业务运营和组织结构图的数据,包括员工联系信息。
- 探索物理场所:有时黑客会在办公楼或数据中心周围窥探,以寻找弱点或观察流量。
- 研究开源情报:开源信息对于安全很有用,但它们也是攻击者研究现有漏洞的工具。
黑客可能需要几个小时才能收集数据,也可能需要几年的时间。一些入侵事件之所以发生,是因为攻击者在执行攻击的最后阶段之前,在系统中移动了很长一段时间,却没有被发现。
社会工程学
通常,社会工程学的过程是一种侦察形式,因为它涉及收集目标电子邮件地址等信息并了解组织运营的详细信息。社会工程学的例子包括:
- 网络钓鱼:受害者收到电子邮件或电话,要求提供金钱或登录凭证,或收到催促他们点击的恶意链接。
- 短信网络钓鱼:短信网络钓鱼是一种通过短信或文本发送的网络钓鱼形式,旨在诱骗用户在手机上快速做出决定。
- 鱼叉式网络钓鱼:这种方法通常比某些网络钓鱼攻击更为具体,专注于几个特定的个体,而不是联系很多人。
即使发送带有恶意链接的电子邮件也可能是侦察,因为攻击者正在探索受害者是否会上钩。如果受害者上钩,攻击者就会尝试使用他们的信息访问业务资源。这是黑客窃取您的业务数据的一种主要方式。如果黑客很好地执行攻击,受害者可能不会意识到他们已经被钓鱼了。
端口扫描
当黑客探索网络以评估其安全控制时,他们通常会通过向端口发送数据包并观察发生的情况来扫描网络端口。有时,他们会发现数据包成功到达目的地,但有时预配置的防火墙规则会阻止流量。通过执行端口扫描,黑客可以观察到:
- 任何现有的防火墙:这会告诉他们是否必须绕过初始防火墙。
- 潜在的网络用户:攻击者可能能够确定哪些用户负责特定的网络服务。
- 当前端口状态:他们想知道每个端口是否对流量开放或关闭,或者是否正在过滤和阻止流量。
此外,当可疑活动触发警报时,安全产品有时可以检测到端口扫描,因此黑客必须小心谨慎,以免被发现。
操作系统指纹识别
黑客利用操作系统指纹识别技术读取来自计算机系统的数据包,并尝试从中确定操作系统的安全策略和漏洞。虽然这种方法并不总是确定系统当前状态的可靠方法,但它可以用于观察:
- 任何系统弱点:在某些情况下,数据包可以揭示攻击者可能成功实施攻击的地方。
- 潜在的网络安全策略:如果攻击者观察到某些数据包被允许但没有看到其他数据包,他们可能会猜测某些策略正在生效。
- 典型的流量模式:黑客可能能够分辨出计算机系统何时接收更多流量以及何时处于休眠状态。
当黑客已经访问网络并且可以在不被发现的情况下观察流量时,操作系统指纹识别最为有效。
主动侦察与被动侦察
两种主要的侦察方法(主动和被动)具有不同的策略,并且对威胁行为者都很有用。此外,渗透测试人员经常结合这两种方法来评估漏洞并防止有害利用。
主动侦察
在主动侦察策略中,攻击者直接与目标机器交互以枚举可利用的数据。Ping 探测、端口扫描或跟踪路由是主动寻找访问敏感资源和系统的路线的一些示例。由于主动侦察涉及直接接触系统,因此用户更容易弄清楚你在做什么。主动侦察比被动侦察更危险。
被动侦察
被动侦察则相反:攻击者不参与攻击,而是间接收集数据。这涉及的技术包括但不限于 Google dork、开源情报 (OSINT)、高级 Shodan 搜索、WHOIS 数据和数据包嗅探。被动侦察还可以包括非数字形式的窥探,例如监视建筑物的弱点、窃听对话和窃取书面凭证。
保护您的组织免遭侦察的 8 种方法
为了防止黑客对您的网络进行侦察,您需要确定他们可以收集数据的所有地方,创建网络段,并定期监控和评估网络。此外,让您的员工了解情况,使用限制网络访问的安全工具,并加强您的安全,这样黑客就更难执行侦察技术。
虽然您可以按照不同的顺序遵循这些做法,也可以从下面的列表中进行选择,但我们建议按照给定的顺序执行所有做法,以便您的团队做好最佳准备来检测和防止侦察。
进行初步侦察
保护您的企业免遭侦察的最重要方法之一是亲自在自己的网络上进行侦察。检查流量模式、安全策略、后门、未修补的漏洞、IP 地址和其他数据将揭示攻击者还可以看到和利用的内容。
还要检查您的网站。它是否泄露了任何不需要明确对外公开的信息,这些数据是否会给黑客提供便利?还要检查您的实体场所——数字后门并不是威胁者找到敏感数据的唯一方式。观察个人可以亲自访问您的网络或计算机的方式。
仔细配置防火墙
让企业防火墙为您服务。如果您担心侦察,请配置专门设计用于检测可能表明数据包嗅探、端口扫描和操作系统指纹识别的活动的规则。确保规则不会相互矛盾或留下漏洞,因为黑客可以利用这些弱点绕过防火墙并收集更多信息。在完成配置之前,请仔细审核您的规则以查找任何矛盾或漏洞。
实施网络分段
对企业网络进行分段可以限制攻击者的侦察机会,因为他们无法像其他方式那样轻松地在网络中移动。配置子网以要求在每个入口点或应用程序进行验证。您可以在每个子网上设置防火墙,并设置需要身份验证的安全策略。这大大减少了横向移动的机会,并限制了威胁参与者可以收集的数据。
监控网络流量和日志
贵公司的监控和日志管理解决方案应该能够捕捉到来自网络流量和用户的异常信号。当然,您需要一种成功分析它的方法,但一个好的监控工具将比人员手动发现的更多潜在侦察尝试。如果您没有监控或日志管理系统,请尽快配置一个,这样您就不会错过网络上的更多危险信号。
有时,侦察确实会导致安全团队能够观察到的奇怪流量模式,但威胁行为者也会使用技术来隐藏其行为。您不应该仅仅依靠流量模式来判断有人在窥探。但有时网络安全监控工具会标记可疑活动,例如数据包嗅探。
考虑入侵检测和预防系统
入侵检测系统 (IDS) 和入侵防御系统 (IPS) 通常会组合成一个产品,即入侵检测和防御系统 (IDPS)。同时使用检测和防御 — 二者同时运行时,可以更有效地阻止威胁。IDPS 解决方案提供威胁识别功能(如日志分析和系统监控)以及威胁根除功能(如阻止和隔离恶意行为)。
部署漏洞扫描工具
使用漏洞扫描软件不断查找企业 IT 基础设施(包括网络、重要应用程序和端点)中的弱点。漏洞扫描程序可消除安全人员原本需要进行的一些手动工作,还有助于发现人类并不总是能注意到的东西。
除了安全软件产品外,您的团队还应随时了解 MITRE ATT&CK、CISA、NIST 和其他可靠来源概述的最新漏洞。确定修复的优先顺序,对其进行修补,并应用其他推荐的缓解措施。
定期进行安全评估
经常评估 IT 基础设施的安全状况是了解黑客会看到什么的最佳方法之一。试着从威胁者的角度看问题——他们有哪些机会观察流量或找到后门?然后记录你发现的每个漏洞,并指派一名团队成员来解决每个漏洞,即使这只是意味着暂时采取一些初步措施。
网络和防火墙审计是评估网络安全有效性的两个有用工具。如果您想深入研究漏洞,请考虑聘请渗透测试人员。渗透测试人员旨在发现网络和计算机系统中所有可能的弱点。他们还可能能够识别人为错误带来的风险,这是造成漏洞的最大原因之一。
对员工进行安全风险教育
一旦你的企业确定了需要发展的方式,就立即让员工参与进来。这包括从首席执行官到实习生的所有人。基本的网络安全培训课程很有帮助,但要尽最大努力让它们变得有趣和令人难忘——团队成员越了解安全的重要性,他们就越有动力帮助你。
确保定期与员工进行对话,直至微型团队层面。管理人员应该谈论他们的团队应该警惕的侦察技术,例如可疑电子邮件或在大楼周围鬼鬼祟祟的人。频繁的讨论还可以阻止内部威胁;如果安全是经常谈论的话题,有不良动机的员工会更害怕实施攻击。
猜你喜欢
