技術(shù)
導(dǎo)讀:“水坑攻擊 ”是網(wǎng)絡(luò)犯罪分子用來破壞組織在線信息系統(tǒng)的眾多技術(shù)之一。網(wǎng)絡(luò)安全管理員應(yīng)該了解水坑攻擊是如何工作的,以及如何防范它們。
“ 水坑攻擊 ”是網(wǎng)絡(luò)犯罪分子用來破壞組織在線信息系統(tǒng)的眾多技術(shù)之一。網(wǎng)絡(luò)安全管理員應(yīng)該了解水坑攻擊是如何工作的,以及如何防范它們。
水坑攻擊這句話來自自然界的掠食者,他們潛伏在水坑附近,等待他們想要的獵物。在網(wǎng)絡(luò)水坑攻擊中,網(wǎng)絡(luò)犯罪分子在網(wǎng)站上設(shè)置了陷阱,他們的目標(biāo)受害者經(jīng)常被發(fā)現(xiàn)。 通常情況下,陷阱網(wǎng)站是較小的,利基網(wǎng)站往往安全性有限。這些網(wǎng)站可以包括業(yè)務(wù)合作伙伴網(wǎng)站或向目標(biāo)公司或行業(yè)提供特定產(chǎn)品,服務(wù)或信息的小型網(wǎng)站。訪問時(shí),受感染的網(wǎng)站會(huì)使用鍵盤記錄程序,勒索軟件和其他類型的惡意軟件感染目標(biāo)最終用戶計(jì)算機(jī)或設(shè)備。
水坑攻擊如何發(fā)揮作用
水坑攻擊是經(jīng)過精心設(shè)計(jì)和執(zhí)行的攻擊,通常包括以下階段:
攻擊者最初會(huì)分析其目標(biāo),以了解他們經(jīng)常訪問的網(wǎng)站。
然后,攻擊者會(huì)對(duì)那些經(jīng)常訪問的網(wǎng)站進(jìn)行探測(cè),識(shí)別出任何有漏洞和漏洞的網(wǎng)站。
攻擊者使用各種技術(shù)破壞易受攻擊的網(wǎng)站。一種常見的方法是注入JavaScript或HTML代碼,將受害者重定向到托管惡意軟件的備用站點(diǎn)。
當(dāng)目標(biāo)用戶的瀏覽器連接到惡意站點(diǎn)時(shí),網(wǎng)站上運(yùn)行的代碼會(huì)與受害者的瀏覽器進(jìn)行交互,并探測(cè)受害者的PC或設(shè)備,以查找未修補(bǔ)且易受攻擊的應(yīng)用程序或操作系統(tǒng)。
如果在受害者的設(shè)備上發(fā)現(xiàn)漏洞,惡意網(wǎng)站會(huì)在受害者的計(jì)算機(jī)上安裝惡意軟件。
一旦被感染,用戶設(shè)備上的惡意軟件將根據(jù)所涉及的惡意代碼類型嘗試進(jìn)行各種惡意活動(dòng)。它可能會(huì)擾亂用戶的數(shù)據(jù)并請(qǐng)求贖金來恢復(fù)它,或者捕獲用戶輸入的ID,密碼和支付卡數(shù)據(jù)?;蛘?,惡意軟件可能會(huì)竊取受害者雇主的數(shù)據(jù)或執(zhí)行許多其他惡意活動(dòng)。
水坑攻擊對(duì)網(wǎng)絡(luò)安全造成重大威脅
雖然水坑攻擊不一定常見,但它們確實(shí)構(gòu)成了重大威脅,因?yàn)樗鼈兒茈y被發(fā)現(xiàn)。受感染的網(wǎng)站通常是受信任的實(shí)體,個(gè)人和組織可能無法對(duì)其進(jìn)行全面審查。在某些情況下,它們屬于沒有強(qiáng)大安全程序的業(yè)務(wù)合作伙伴。這增加了與他們交互的任何組織或個(gè)人的風(fēng)險(xiǎn)。
水坑攻擊的另一個(gè)問題是難以培訓(xùn)員工避免受感染的網(wǎng)站。組織可以培訓(xùn)員工如何識(shí)別和避免大多數(shù)網(wǎng)絡(luò)釣魚電子郵件,但用戶無法在沒有專門設(shè)計(jì)的工具的幫助下識(shí)別受感染的網(wǎng)站。幸運(yùn)的是,有一些技術(shù)解決方案不依賴于最終用戶。
防止水坑襲擊
組織可以采取一些措施來保護(hù)自己免受水坑攻擊。首先,每家公司都應(yīng)該強(qiáng)制執(zhí)行或至少鼓勵(lì)遵守以下規(guī)定:
將所有常用軟件和操作系統(tǒng)修補(bǔ)并更新到最新版本;
確保正確配置防火墻和其他安全產(chǎn)品;
檢查員工訪問的所有熱門網(wǎng)站,并定期檢查這些網(wǎng)站是否存在惡意軟件;
立即阻止所有受感染網(wǎng)站的流量并通知網(wǎng)站所有者;
檢查您自己的網(wǎng)站,甚至內(nèi)部網(wǎng)站,以確保它們是免費(fèi)的惡意軟件;
在實(shí)際可用的范圍內(nèi),配置瀏覽器或其他工具以使用網(wǎng)站信譽(yù)服務(wù)來通知用戶已知的壞網(wǎng)站;
教育您的員工,尤其是那些能夠訪問關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施的員工,了解水坑攻擊。
網(wǎng)絡(luò)安全監(jiān)控至關(guān)重要
除了上述基本步驟外,為防止復(fù)雜的水坑攻擊,組織必須部署先進(jìn)的網(wǎng)絡(luò)安全監(jiān)控工具。
復(fù)雜的水坑攻擊使用以前看不見的漏洞和戰(zhàn)術(shù),通常被稱為零日威脅。由于傳統(tǒng)的基于簽名的控制依賴于過去的威脅知識(shí),因此無法有效地檢測(cè)復(fù)雜的水坑和其他攻擊。因此,組織必須部署額外的高級(jí)威脅防護(hù)層,例如網(wǎng)絡(luò)安全監(jiān)控和行為分析。
雖然水坑攻擊具有不同的有效載荷和目標(biāo),但這些攻擊使用的惡意軟件幾乎都與命令和控制服務(wù)器(C&C)進(jìn)行通信。通過實(shí)施專門用于檢測(cè)這些惡意通信的網(wǎng)絡(luò)安全監(jiān)控工具,組織可以及早發(fā)現(xiàn)攻擊并防止其升級(jí)。同樣,通過對(duì)可疑網(wǎng)站頁面或代碼執(zhí)行深度內(nèi)容檢查,高級(jí)惡意軟件檢測(cè)技術(shù)可以在惡意行為造成額外損害之前識(shí)別它們。
水坑攻擊是網(wǎng)絡(luò)犯罪分子繞過典型企業(yè)安全控制并針對(duì)特定受眾的有效方式。因此,他們不太可能很快消失。網(wǎng)絡(luò)安全管理員需要預(yù)測(cè)他們的存在并采取適當(dāng)?shù)膶?duì)策。