知己知彼 解析网络攻击五大步骤(下)

日期: 2009-02-02 来源:TechTarget中国

  第三阶段:获得权限

  攻击者获得了连接的权限就意味着实际攻击已经开始。通常情况下,攻击者选择的目标是可以为攻击者提供有用信息,或者可以作为攻击其它目标的起点。在这两种情况下,攻击者都必须取得一台或者多台网络设备某种类型的访问权限。

  除了在上面提到的保护措施外,安全管理人员应当尽一切努力,确保最终用户设备和服务器没有被未经验证的用户轻易连接。这其中包括了拒绝拥有本地系统管理员权限的商业客户以及对域和本地管理的服务器进行密切监测。此外,物理安全措施可以在发现实际攻击的企图时,拖延入侵者足够长的时间,以便内部或者外部人员(即保安人员或者执法机构)进行有效的反应。

  最后,我们应该明确的一点是,对高度敏感的信息来说进行加密和保护是非常关键的。即使由于网络中存在漏洞,导致攻击者获得信息,但没有加密密钥的信息也就意味着攻击的失败。不过,这也不等于仅仅依靠加密就可以保证安全了。对于脆弱的网络安全来说,还可能存在其它方面的风险。举例来说,系统无法使用或者被用于犯罪,都是可能发生的情况。

  第四阶段:保持连接

  为了保证攻击的顺利完成,攻击者必须保持连接的时间足够长。虽然攻击者到达这一阶段也就意味他或她已成功地规避了系统的安全控制措施,但这也会导致攻击者面临的漏洞增加。

  对于入侵防御(IDS)或入侵检测(IPS)设备来说,除了用来对入侵进行检测外,你还可以利用它们进行挤出检测。下面就是入侵/挤出检测方法一个简单的例子,来自理查德·帕特里克在2006年撰写的《挤出检测:内部入侵的安全监控》一书的第三章:挤出检测图解。它包括了:

  对通过外部网站或内部设备传输的文件内容进行检测和过滤

  对利用未受到控制的连接到服务器或者网络上的会话进行检测和阻止

  寻找连接到多个端口或非标准的协议

  寻找不符合常规的连接参数和内容

  检测异常网络或服务器的行为,特别需要关注的是时间间隔等参数

  第五阶段:消除痕迹

  在实现攻击的目的后,攻击者通常会采取各种措施来隐藏入侵的痕迹和并为今后可能的访问留下控制权限。因此,关注反恶意软件、个人防火墙和基于主机的入侵检测解决方案,禁止商业用户使用本地系统管理员的权限访问台式机。在任何不寻常活动出现的时间发出警告,所有这一切操作的制定都依赖于你对整个系统情况的了解。因此,为了保证整个网络的正常运行,安全和网络团队和已经进行攻击的入侵者相比,至少应该拥有同样多的知识。

  结论

  本文的目的不是让你成为网络防护方面的专家。它仅仅是介绍黑客经常使用的一些攻击方式。有了这些资料的帮助,安全专家可以更好地进行准备,以便在出现安全事件时,能够更轻松地找出敌人究竟在哪里以及在做什么?

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 当IT员工不可信 企业如何防范?

    一个流氓IT员工造成的损失要远比一群黑客攻击造成的损失大的多。尽管很少有关于IT员工变成流氓管理员的消息被媒体曝光,但大多数公司都要尽可能的防范这种事情。

  • 怎样做好安全漏洞管理

    企业使用的应用程序越多,安全漏洞管理就越复杂。在找出每一个安全漏洞并修复以防止黑客攻击的过程中,漏掉一些重要的是很容易的,怎样才能做好安全漏洞管理?

  • 微软官网每秒遭遇7000次黑客攻击

    北京时间8月30日,据国外媒体报道,微软高级安全架构师Rocky Heckman表示,当黑客开发病毒并导致系统崩溃时,他们经常会将病毒代码直接发送给微软。

  • 甲骨文高管:企业内部安全隐患远大于黑客攻击

    目前互联网在线交易受攻击的概率非常高,存在极大的安全隐患。根据权威机构调查显示,36%企业担心内部员工行为失当导致泄露,而担心受到外部攻击的只有13%。