攻击面是网络攻击方面的漏洞、途径或方法(有时称为攻击媒介)的总和,黑客可以利用这些攻击面,未经授权地访问网络或敏感数据,或者发起网络攻击。
0x01 数字资产攻击面
数字资产攻击面有可能将组织的云和本地基础架构暴露给使用互联网连接的任何黑客。组织的数字攻击面中常见的攻击媒介包括:
低安全性的密码:容易被猜到或易于通过蛮力攻击破解的密码会增加网络犯罪分子破解用户帐户的风险,从而可以访问网络、窃取敏感信息、传播恶意软件以及以其他方式破坏基础架构。根据 IBM 的《2021 年数据泄露成本报告》,泄露的凭证是 2021 年最常被利用的初始攻击媒介。
配置错误:配置不当的网络端口、通道、无线接入点、防火墙或协议成为黑客的攻击入口。例如,中间人攻击利用消息传递通道上的弱加密协议,拦截系统之间的通信。
软件、操作系统 (OS) 和固件漏洞:黑客和网络犯罪分子可以利用第三方应用、操作系统和其他软件或固件中的编码或实现错误来渗透网络、访问用户目录或植入恶意软件。例如,在 2021 年,网络犯罪分子利用 Kaseya 的虚拟存储设备 (VSA) 平台中的缺陷(链接位于 ibm.com 外部),将伪装成软件更新的勒索软件分发给 Kaseya 的客户。
面向互联网的资产:Web 应用、Web 服务器和其他面向公共互联网的资源本质上容易受到攻击。例如,黑客可以将恶意代码注入不安全的应用编程接口 (API),致使其不当泄露甚至破坏关联数据库中的敏感信息。
共享的数据库和目录:黑客可以利用系统和设备之间共享的数据库和目录,未经授权地访问敏感资源或发起勒索软件攻击。2016 年,Virlock 勒索软件(链接位于 ibm.com 外部)通过感染多个设备访问的协作文件夹而广泛传播。
过时或淘汰的设备、数据或应用:如果未坚持安装升级和补丁,可能会产生安全风险。一个典型的例子是 WannaCry 勒索软件,它利用一个 Microsoft Windows 操作系统漏洞(链接位于 ibm.com 外部)进行传播,而其实针对这个漏洞已经发布了补丁。与此类似,如果过时的终端、数据集、用户帐户和应用未正确卸载、删除或丢弃,它们也会产生不受监控的漏洞,使网络犯罪分子有机可乘。
影子 IT:"影子 IT"是软件、硬件或设备,指的是员工在 IT 部门不知情或未批准的情况下使用的免费或流行的应用、便携式存储设备以及不安全的个人移动设备。由于影子 IT 不受 IT 或安全团队的监控,因此会形成黑客可以利用的严重漏洞。
0x02 实体攻击面
实体攻击面会暴露通常只有授权进入组织的实体办公场所或授权使用终端设备(服务器、计算机、笔记本电脑、移动设备、IoT 设备、运营硬件、无线网络等)的用户才能访问的资产和信息。
恶意内部人员:心怀不满或被收买的员工或其他有恶意意图的用户使用其访问权限窃取敏感数据、禁用设备、植入恶意软件或制造更严重的破坏。
设备偷窃:犯罪分子可能会潜入组织场所,窃取或访问终端设备。一旦拥有硬件,黑客就可以访问存储在这些设备上的数据和程序。他们还可以使用设备的身份和许可权,访问其他网络资源。远程工作人员使用的终端、员工的个人设备和未正确废弃的设备是典型的盗窃目标。
诱饵:诱饵也是一种攻击形势,黑客将已感染恶意软件的 U 盘留在公共场所,试图诱骗用户将设备插入计算机并在无意中下载恶意软件。
0x03 社会工程攻击面
由于社会工程利用的是人性弱点,而不是技术或数字系统漏洞,因此有时被称为"人性黑客攻击"。
钓鱼(Phishing):钓鱼攻击是通过伪造电子邮件、短信、即时消息等方式,诱使用户点击恶意链接或提供个人敏感信息。攻击者通常伪装成可信的组织或个人,以欺骗用户泄露密码、账号信息等。
假冒身份(Impersonation):攻击者冒充他人的身份,通过电话、电子邮件、社交媒体等方式与目标进行互动,获得目标的敏感信息或诱导其采取某些行动,例如转账或共享机密数据。
垃圾邮件(Spamming):攻击者通过大量发送垃圾邮件,试图引诱受害者点击恶意链接、下载恶意软件或泄露敏感信息。垃圾邮件可能伪装成合法的服务提供商或企业,以增加受害者的信任度。
窃听和窃取信息(Eavesdropping and Information Gathering):攻击者通过监听或监视通信渠道,窃取机密信息。这可能包括窃听电话通话、盗取电子邮件或获取社交媒体上的个人信息。
垃圾短信(Smishing):类似于钓鱼攻击,但是通过发送欺骗性的短信来诱使受害者点击恶意链接或共享敏感信息。
社交工程(Pretexting):攻击者通过编造虚假的情节或身份,与目标进行深入交谈,以获取目标的信任,并从中获得敏感信息。
染料打印(Dumpster Diving):攻击者在垃圾桶或废纸篓中搜寻有关组织或个人的敏感信息,例如账单、重要文件或备忘录等。这些信息可以用于进行其他类型的攻击。
0x04 特定行业的攻击面
每个行业都有不同的攻击面,由于行业的特点和相关技术的使用方式不同所导致的,举例车企:
远程入侵:现代汽车配备了许多电子控制单元(ECU),通过无线网络与外部设备和云服务进行通信。黑客可以通过入侵车辆的无线连接或通过汽车的娱乐系统等入侵车辆的网络,从而获取对车辆控制的权限。
CAN 总线攻击:控制区域网络(CAN)是汽车电子系统中用于通信的标准总线。黑客可以通过对CAN总线进行恶意注入、传播虚假数据或干扰正常通信来篡改车辆的行为,例如关闭引擎或破坏刹车系统。
软件和固件漏洞:汽车的控制软件和固件中可能存在漏洞,黑客可以利用这些漏洞通过远程攻击或物理接触来获取对车辆的控制权。
共享和远程服务:一些汽车提供了与其他车辆、手机应用或云服务的连接,使车主能够远程控制车辆功能,如解锁、启动和锁定车辆。黑客可以利用这些服务的漏洞或通过伪造身份来获取对车辆的未授权访问。
诱骗攻击:黑客可以通过钓鱼邮件、恶意软件下载链接或伪装成合法服务机构的方式欺骗汽车企业的员工,从而获取他们的登录凭据或敏感信息。
物理入侵:黑客可以通过物理方式进入汽车制造厂或汽车维修中心,植入恶意硬件或篡改车辆组件,以影响汽车的功能和安全。
供应链攻击:黑客可以通过攻击汽车制造商的供应链环节,如零部件制造商或软件供应商,植入恶意软件或硬件,从而在车辆的生产过程中引入漏洞或后门。
免责声明
由于传播、利用本公众号渗透测试网络安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透测试网络安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
进交流群 请添加管理员
备注:进群,将会自动邀请您加入 渗透测试网络安全 技术 官方 交流群
好文分享收藏赞一下最美点在看哦
还在等什么?赶紧点击下方名片开始学习吧!