压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

對于各類數(shù)字化應用系統(tǒng)而言，都需要依靠訪問權(quán)限來限制用戶和設備對系統(tǒng)進行設置和應用。因此，訪問權(quán)限是一個非常重要的安全特性，它們決定了用戶可以與應用系統(tǒng)及其相關(guān)資源進行交互的程度。而那些具有廣泛系統(tǒng)控制能力的管理員賬號或根權(quán)限賬號，則被稱為特權(quán)訪問賬號。隨著網(wǎng)絡威脅態(tài)勢的不斷發(fā)展，企業(yè)的特權(quán)賬號正在成為攻擊者的重點攻擊目標。

為了遠離惡意特權(quán)攻擊，企業(yè)首先有必要了解攻擊者會使用什么策略來實現(xiàn)特權(quán)攻擊。實際上這很困難，因為攻擊者常常結(jié)合不同的技術(shù)來逃避安全檢測，并在受害企業(yè)的網(wǎng)絡中橫向移動。以下收集整理了8種較常見卻又很危險的特權(quán)攻擊路徑，并給出了相應的防護建議可供參考。

1?惡意軟件

惡意軟件是一個統(tǒng)稱，指攻擊者可能試圖安裝到系統(tǒng)上的眾多感染和病毒，包括間諜軟件、廣告軟件、病毒和勒索軟件等。在大多數(shù)的情況下，安裝惡意軟件需要更高的權(quán)限，這就是特權(quán)賬戶存在如此大風險的關(guān)鍵原因。

當前，惡意軟件攻擊最典型的例子是勒索軟件。獲取贖金通常是勒索軟件攻擊的最終目標。但是攻擊者首先需要使用本文介紹的其他策略和方法來獲得成功安裝勒索軟件所需的特權(quán)。惡意軟件的其他事例還包括監(jiān)視或偵察軟件，這幫助黑客識別安全弱點，比如未修補的漏洞或活動內(nèi)存中的密碼。

防護建議

? 定期安裝防病毒軟件和軟件更新。

? 實施最小特權(quán)原則，縮小可能的攻擊面。

? 使用持續(xù)監(jiān)控工具檢測可疑的特權(quán)賬號活動。

2?系統(tǒng)漏洞

漏洞是攻擊者最廣泛使用的策略之一。他們可以利用這些代碼錯誤來獲得訪問權(quán)限、提升特權(quán)或執(zhí)行攻擊。這也是攻擊闖入組織系統(tǒng)的初始立足點。漏洞有多種形式，包括錯誤配置、不安全代碼、糟糕的API或其他各種安全性問題。為了利用漏洞，黑客必須使用漏洞利用代碼或工具。一旦得逞，就可以實施SQL注入、特權(quán)提升、遠程代碼執(zhí)行、拒絕服務和信息泄露等攻擊。

防護建議

? 使用漏洞掃描器識別未修補的漏洞。

? 使用CVSS分數(shù)和組織的內(nèi)部定性數(shù)據(jù)，按嚴重程度對漏洞分類。

? 盡快修補最嚴重的漏洞。組織通常不會有足夠的資源來修補所有漏洞，所以合理利用資源很重要。

3?網(wǎng)絡釣魚和社會工程

網(wǎng)絡釣魚指誘騙最終用戶泄露敏感信息（通常是登錄憑據(jù)）的一系列策略。攻擊者通常已經(jīng)獲得了電子郵件地址或電話號碼，然后他們向目標發(fā)送看似正規(guī)的信息，誘使他們點擊鏈接或填寫資料。

網(wǎng)絡釣魚常用作闖入IT環(huán)境的渠道。成功的網(wǎng)絡釣魚攻擊通常不會被最終用戶及其組織發(fā)現(xiàn)，這為黑客分析系統(tǒng)和橫向移動創(chuàng)造了條件。在某些情況下，攻擊的目的也可能是為了布置更復雜的網(wǎng)絡釣魚騙局，尤其是當黑客企圖竊取敏感信息、個人資料或知識產(chǎn)權(quán)時。

防護建議

? 加強用戶培訓，以便員工發(fā)現(xiàn)警告信號。

? 使用最新的網(wǎng)絡安全工具（比如SIEM平臺）來檢測異常行為，如可疑的電子郵件和鏈接。

? 打上最新的安全補丁，因為黑客可能利用過時的安全補丁執(zhí)行成功的網(wǎng)絡釣魚攻擊。

? 安裝多因素身份驗證機制，以加強防御。

4?供應鏈攻擊

供應鏈攻擊正成為一種越來越普遍的手法。攻擊者通過利用第三方供應商、合作伙伴或供應商來攻擊組織，這其中也需要借助某種形式的特權(quán)訪問來實現(xiàn)。現(xiàn)代企業(yè)對自身的安全性建設已經(jīng)高度重視，但對第三方的安全性常常缺乏了解和控制，因此這成為備受黑客關(guān)注的一個安全防護薄弱環(huán)節(jié)。黑客們可以通過各種商業(yè)軟件產(chǎn)品獲得被泄露的特權(quán)訪問權(quán)限，隨后進而伺機闖入受害者客戶的IT環(huán)境。

?防護建議

? 對第三方賬戶和服務賬戶以及內(nèi)部員工運用最小權(quán)限。

? 簽署協(xié)議為所有第三方供應商、合作伙伴和供貨商明確具體的安全要求。

5?錯誤配置

錯誤配置往往很難定義，因為它們涉及一系列不同的問題和挑戰(zhàn)。從本質(zhì)上講，使黑客更容易攻擊和訪問組織IT環(huán)境的現(xiàn)有IT策略和配置實踐都可以被認為是錯誤配置。下面是幾種典型的錯誤配置及相應的解決辦法：

1、出現(xiàn)在軟件、服務器、物聯(lián)網(wǎng)設備等系統(tǒng)的代碼中的硬編碼憑據(jù)。

?防護建議

使用現(xiàn)代PAM軟件來識別硬編碼憑據(jù)，然后將它們換成可以加密、保存、轉(zhuǎn)換的密碼。

2、使用空白或默認密碼，因而更容易被蠻力破解方法猜中。

?防護建議

實施嚴格的策略，要求密碼具有獨特性、復雜性、定期輪換。

3、特權(quán)過高的用戶和服務賬戶為黑客創(chuàng)建了廣泛的攻擊面，便于攻擊和橫向移動。

?防護建議

實施最小權(quán)限原則，并定期檢查用戶賬戶和服務賬戶中是否存在不必要的權(quán)限。

4、缺乏密碼輪換或即時訪問使密碼更容易被猜中，一旦黑客成功登錄，毫無屏障可言。

防護建議

實施密碼輪換和及時訪問機制，這樣被盜的密碼變得無用，仍可以鎖定泄密的賬戶。

5、賬戶共享使黑客更容易獲得訪問權(quán)限，因為密碼常存儲在消息、郵件或其他不安全的介質(zhì)中

?防護建議

??嚴格限制賬戶共享使用；

??如果使用共享賬戶，應通過安全的數(shù)字令牌或密碼庫授予訪問權(quán)限；

??共享賬戶密碼對最終用戶應該是不可見的。

6、對特權(quán)賬戶缺乏多因素身份驗證也會使黑客更方便，因為他們在獲得訪問權(quán)限之前要克服的障礙更少。

?防護建議

對所有特權(quán)賬戶統(tǒng)一實施MFA，最好對所有其他賬戶也實施MFA。這確保了組織在密碼泄露后擁有多一層防御。

7、針對文件、文件夾和本地設備的松散或薄弱的訪問控制也會加大攻擊面。這是由于糟糕的訪問策略實際上創(chuàng)建了更多的賬戶，攻擊者可以通過這些賬戶訪問敏感信息。

?防護建議

實施可靠的身份和訪問管理（IAM）策略，以便只能由盡可能少的人查看敏感信息。

8、不安全的協(xié)議（比如HTTP或SSL）也會使組織易受攻擊。黑客可以利用這些協(xié)議的詳細信息來捕獲、分析、修改或竊取數(shù)據(jù)，常常是在數(shù)據(jù)從客戶端傳輸?shù)椒掌鲿r。這有時可能包括未加密的登錄信息。

?防護建議

始終使用最新的協(xié)議，避免與未做到這點的第三方軟件供應商合作。

9、缺乏實時監(jiān)控也會使?jié)B入到環(huán)境中的黑客更容易逃避檢測。實時監(jiān)控技術(shù)可以幫助組織通過異常分析來發(fā)現(xiàn)可疑活動，因為黑客的活動往往非常特殊。

?防護建議

實施實時監(jiān)控機制，以便在造成危害之前發(fā)現(xiàn)并阻止可疑行為。

10、服務賬戶缺少PAM控制會給黑客提供進一步的訪問渠道。機器身份（比如RPA工作流、物聯(lián)網(wǎng)設備和應用程序）常常需要訪問權(quán)限，才能執(zhí)行自動化功能。黑客可以利用這些賬戶獲得訪問權(quán)限。

?防護建議

部署合適的特權(quán)賬號管理解決方案，并實施最小特權(quán)原則。

6?憑據(jù)利用

憑據(jù)利用是指黑客用來獲取登錄憑據(jù)的一系列手法和策略。登錄憑據(jù)可能包括明文密碼、密碼散列、數(shù)字令牌、API密鑰、SSH密鑰或更多信息。

? 暴力猜測：黑客不斷猜測，直到猜中為止。在這種情況下，密碼通常容易猜到，比如“Password1”、“1234”或用戶的出生日期。糟糕的密碼輪換和密碼強度策略讓黑客更容易猜中密碼。

? 密碼噴灑：類似暴力猜測，但攻擊面更廣。攻擊者可能企圖通過在多個賬戶中嘗試幾個常用密碼來獲得訪問權(quán)限。許多攻擊者使用機器人程序快速自動地完成這項工作。

? 傳遞哈希：哈希是一串加密的字符，可以代替實際的密碼對用戶進行身份驗證。黑客常可以從活動內(nèi)存中提取這些哈希，無需知道它替代的明文密碼即可獲得訪問權(quán)限。

? 密碼抓取：與傳遞哈希相似，攻擊者掃描IT環(huán)境以獲取明文密碼。這些密碼可能存儲在活動內(nèi)存中，也可能存在于應用程序的源代碼中。

? 擊鍵記錄：攻擊者還可能使用擊鍵記錄軟件來記錄用戶鍵入的內(nèi)容，包括密碼。攻擊者可以安裝這種惡意軟件，為橫向移動提供便利。

? 數(shù)據(jù)泄露：有時可以在暗網(wǎng)上買到明文密碼，讓黑客直接訪問賬戶。

? 中間人攻擊：當數(shù)據(jù)在服務器和客戶端設備之間移動時，黑客通常利用不安全的連接來訪問數(shù)據(jù)。不安全協(xié)議就是一個常見的例子。

在幾乎所有上述情況下，黑客通常先試圖訪問網(wǎng)絡環(huán)境，或者在獲得訪問權(quán)限后橫向移動。這些技術(shù)可以用來滲入并獲取特權(quán)賬戶。

防護建議

? 創(chuàng)建可靠的策略，以確保密碼是獨特的、強大的，并定期更換。

? 實施多因素認證技術(shù)，那樣黑客需要克服另一道屏障才能獲得訪問權(quán)限。

? 盡可能使用無密碼技術(shù)，包括單點登錄、密碼保管和加密。這可以確保最終用戶不需要看到明文密碼，而是可以通過MFA、單點登錄、數(shù)字令牌或密碼庫進行身份驗證。

7?SQL注入

當黑客將惡意SQL代碼注入數(shù)據(jù)庫或服務器時，就會發(fā)生SQL攻擊，黑客因此能夠查看、修改或刪除數(shù)據(jù)庫中的信息，或者在某些情況下在服務器上執(zhí)行命令。SQL注入既可能是攻擊的最終目的，也可能是用于幫助更廣泛的攻擊策略的一種方法。黑客常通過網(wǎng)頁或應用程序中的漏洞實現(xiàn)SQL注入。

防護建議

? 運用最小權(quán)限以縮小攻擊面。

? 使用能夠?qū)崟r阻止SQL注入的防火墻。

? 使用數(shù)據(jù)庫加密，這樣信息不容易被訪問和竊取。

? 用參數(shù)化查詢和預定義語句替換SQL查詢。

8?拒絕服務攻擊

拒絕服務攻擊（DoS）旨在通過向攻擊目標發(fā)送大量互聯(lián)網(wǎng)流量來關(guān)閉正常運營的系統(tǒng)、服務或網(wǎng)絡。攻擊目標常常可能是某個網(wǎng)站、服務器、客戶應用程序或其他關(guān)鍵任務系統(tǒng)。分布式拒絕服務（DDoS）攻擊的目的一樣，但黑客會從不同的系統(tǒng)或地方發(fā)動統(tǒng)一協(xié)調(diào)的攻擊，以掩蓋攻擊，盡量造成最大的潛在損害。

防護建議

? 可以通過限制來自任何端點、設備或IP地址的流量來避免DoS攻擊。

? 實施速率限制措施拒絕無法處理的流量。

? 實施網(wǎng)絡分段，并安裝防火墻，阻止攻擊范圍擴大。

? 結(jié)合使用現(xiàn)代技術(shù)和實時異常檢測，以識別和動態(tài)阻止可疑活動。

參考鏈接：

https://heimdalsecurity.com/blog/privileged-attack-vectors/